From: Коротков Евгений <zhokuzma[at]bigfoot.com>
Newsgroups: email
Date: Mon, 13 Oct 2003 14:31:37 +0000 (UTC)
Subject: Реализация идеи "port knocking" на bash для Linux iptables
В связи с последними уязвимостями openssh и идеями навеянными статьей на
http://www.linuxjournal.com о "стуке в порты" ("port knocking")
http://www.linuxjournal.com/article.php?sid=6811 решил написать пару
скриптов с собственной реализацией (призванной быть более безопасной)
сервера и клиента на bash для осуществления ssh соединения (так же могут
использоваться с небольшой доработкой для соединения по другим
протоколам ftp,telnet и т.п.)
Сервер делает следующее:
- считывает из лог файла информацию о "стуке" на заданный диапазон закрытых
портов (port0:port+4095)
- секретные порты из этого диапазона зависят от пароля и временной метки
(защита от прослушивания)
- временная метка считается с точностью до n секунд (по умолчанию 100)
- при правильной последовательности портов (до истечения этих n секунд
эта последовательность больше не принимается)
- открывает на некоторое время ssh порт для получения запросов на соединение
- все остальное время разрешено только ESTABLISHED соединение на ssh порту
листинг сервера:
++++++++++++++++++
#!/bin/bash
# base port of knocking (range from port0 to port0+4095 must be free)
port0=10000
# password
pass="some_password"
# unique string of knocking logs
id_string="PORT_KNOCKING"
# knocking log file
log_file="/var/log/some/file.log"
# ip of our interface
our_ip="xxx.xxx.xx.xxx"
# -------------------------------
# allowing only one connect from ip in this time period (seconds)
# and also in other words max period of client and server clock desynchronisation
time_period=100
# max time (in seconds) between two knocks in knocking sequence
delta=2
# time period (in seconds) when door is open
sleep_time=10
# don't touch
time_flag=0
used_time=0
cnt=0
# iptables initialisation for knocking listening
port1=$(($port0+4095))
# default policy is DROP
iptables -A INPUT -s 0.0.0.0/0 -d $our_ip -p tcp --syn --dport $port0:$port1 -j LOG --log-level notice --log-prefix "$id_string "
# if policy is ACCEPT
#iptables -A INPUT -p tcp --dport $port0:$port1 -j DROP
# allow only established ssh connection
iptables -A INPUT -s 0.0.0.0/0 -d $our_ip -m state --state ESTABLISHED -p tcp --dport 22 -j ACCEPT
tail -n1 --follow=name --retry $log_file |
{
# read no using line
read
# main cycle of reading log lines
while [ 1 == 1 ]
do
read str
# get time in seconds since `00:00:00 1970-01-01 UTC'
time=`date +%s`
# check is it our log line
ok=`echo $str | grep $id_string`
if [ -z "$ok" ]; then
# to next iteration of main cycle
continue
fi
# extract source ip and destination port from log line
for fld in $str
do
case "${fld:0:4}" in
"SRC=")
sip=${fld:4}
;;
"DPT=")
dport=${fld:4}
esac
done
# calculate secure combination of ports and time up to which this combinaton is valid
if [ $time -ge $used_time ]; then
time_stamp=$(($time/$time_period))
sum=`echo $pass$time_stamp | md5sum`
i=0
sec_ports=""
while [ $i -lt 16 ]
do
j=${sum:$i*2:2}
port=$(($port0+0x$j*16+$i))
sec_ports="$sec_ports $port"
i=$((i+1))
done
# time period from last successsful processing
dtime_flag=$(($time-$time_flag))
if [ $dtime_flag -gt $delta -o $cnt -eq 0 ]; then
# check if our ip already processed in current time period
ok=`echo $used_ips | grep $sip`
if [ "$ok" ]; then
# to next iteration of main cycle
continue
fi
# begin processing for this ip
cur_ip=$sip
ports=""
cnt=0
else
# not allowed simultaneously process more then one ip
if [ $sip != $cur_ip ]; then
# to next iteration of main cycle
continue
fi
fi
# time label of successful processing
time_flag=$time
# list of processing ports
ports="$dport $ports"
# port counter
cnt=$((cnt+1))
# it's time to check port sequence
if [ $cnt -eq 16 ]; then
cnt=0
# check if incoming knocking correct
for port in $sec_ports
do
ok=`echo $ports | grep $port`
if [ -z "$ok" ]; then
continue
fi
done
# open our door for some time
if [ "$ok" ]; then
used_ips="$used_ips $cur_ip"
# turn on incoming ssh connects
# if policy is ACCEPT
# iptables -D INPUT -p tcp --dport 22 -j DROP
# if policy is ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
sleep $sleep_time
# turn off incoming ssh connects
iptables -D INPUT -s $cur_ip -d $our_ip -p tcp --syn --dport 22 -j ACCEPT
fi
fi
done
}
++++++++++++++++++++++++
конец листинга сервера
Клиент делает следующее
- срашивает первый порт диапазона за которым следит сервер
- спрашивает пароль (известный только серверу)
- "стучит" в заданные порты (зависящие от пароля и временной метки)
- пытается осуществить ssh соединение
листинг клиента :
---------------
#!/bin/bash
# program to knock (telnet or netcat)
prog="telnet"
# must be equal to time period on knocking server
time_period=100
# period between knocking sequence and ssh connect
sleep_period=2
# ssh user
username=$1
# destination ip
ip=$2
if [ $# -ne 2 ]; then
echo "usage: ./clientname username ip_address"
exit
fi
read -p "enter base port of knocking: " -s port0
echo
read -p "enter knocking password: " -s pass
echo
i=0
ports=""
while [ $i -lt 16 ]
do
j=${sum:$i*2:2}
port=$(($port0+0x$j*16+$i))
ports="$ports $port"
i=$((i+1))
done
# start knocking
(
for port in $ports
do
$prog $ip $port &
done
pkill $prog
) >/dev/null 2>&1
echo "knocking done"
sleep $sleep_period
echo "trying to ssh ..."
ssh -l $username $ip
---------------------
конец листинга клента
Так же можно написать стартовый скрипт что типа этого
---------------
#!/bin/bash
export PATH="/bin:/usr/bin:/sbin:/usr/sbin"
knocking_server.sh &
---------------
запускаться который должен после запуска firewall
но до запуска syslog демона
Существующие недостатки :
- необходимость синхронизации часов на сервере и клиенте
с точностью до заданной величины (по умолчанию 100 секунд)
- возможно проведение DoS
- в коментариях могут быть языковые ошибки :)
Все остальные тонкости о которых не было упомянуто - в коде скриптов.
710 Прочтений • [Реализация идеи "port knocking" на bash для Linux iptables (port security shell linux iptables)] [08.05.2012] [Комментариев: 0]