firewall / linux / security / ssh

Bata no meu porto!

Você já se perguntou como se comporta nos filmes de agentes secretos: eles batem na porta com uma sequência secreta e a porta se abre! Você também pode fazer isso com o seu servidor! (ou RasPi;)

Prepare seu firewall

editar /etc/iptables.test.rules

*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Accept local network traffic, change your home network if needed
-A INPUT -s 192.168.1.1/8 -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
#-A INPUT -p tcp --dport 80 -j ACCEPT
#-A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SSH connections 
#-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access 
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

Ative essas novas regras:

iptables-restore < /etc/iptables.test.rules

Quando estiver satisfeito, salve as novas regras no arquivo iptables mestre:

iptables-save > /etc/iptables.up.rules

Para ativar essas regras na inicialização, edite /etc/network/if-pre-up.d/iptables

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules

O arquivo precisa ser executável, portanto, altere as permissões:

chmod +x /etc/network/if-pre-up.d/iptables

Configurar Knockd no servidor

apt-get install knockd

E coloque isso em /etc/knockd.conf

[options]
    UseSyslog

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -D INPUT -j REJECT;/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT;/sbin/iptables -A INPUT -j REJECT;
    tcpflags    = syn

[closeSSH]
    sequence    = 9000,8000,7000
    seq_timeout = 5
    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Configure para iniciar na inicialização, edite /etc/default/knockd

(...)
START_KNOCKD=1
(...)

E inicie o daemon: 

/etc/init.d/knockd start

Bata no seu porto:

Assista iptables de seu servidor:

watch iptables -L

Bata na porta de seu servidor de sua estação de trabalho TocTocToc:

wget http://www.zeroflux.org/proj/knock/files/knock-macos.tar.gz
tar xvzf knock-macos.tar.gz
server_ip=...
username=...
./knock $server_ip 7000 8000 9000 #open your ssh port
ssh $username@$server_ip
./knock $server_ip 9000 8000 7000 #close your ssh port

e aproveitar!

Para outros clientes, verifique esta página: http://www.zeroflux.org/projects/knock/

Configure seu roteador

Não se esqueça de permitir que seu roteador dê acesso à sua porta ssh e à porta usada para bater.

Preocupação de segurança

Aconselho você a descartar os pacotes do lado do roteador e também do seu firewall (iptables). Caso contrário, é muito fácil, com base no pacote de resposta, ver as portas abertas e tentar em ordem diferente (com base na resposta, endereço mac ..). Se você sabe como descartar pacotes em seu firewall, pode compartilhar comigo nos comentários.

Mas o seu ssh está bem protegido com uma chave própria gerada e não permite autenticação por senha, certo?

PS

Um PortKnock físico
http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impair/

A parte do firewall é inspirada principalmente em http://wiki.debian.org/iptables

Related Posts

IP de exportação bloqueado com PF do FreeBSD

Configuração rápida de firewall no Fedora 20

Use RVM em LANs restritivas