PDA

Bekijk de volledige versie : Есть ли замена knock?


SergeyVl
23-10-2007, 22:42
А я бы поставил knock (на форуме про него написано), прикрутил бы к нему скриптик для выдергивания (umount) флеша. Тыкнул ярлык, и через пару секунд можно дергать флешку. И ни в какие ssh-ы ходить не надо.
al37919
23-10-2007, 22:53
Угу, а еще сзади есть бесполезная кнопка ez-setup, на которую можно скрипт повесить в последней прошивке. :)
el-pashteto
24-11-2007, 20:06
Я не имею ввиду doorman. )
В принципе, задачи те же, что и выполняет knockd. Волнует его ресурсоёмкость, он ведь слушает весь-весь траффик через интерфейс.
ZZToP
20-11-2009, 09:49
Есть относительно удобная и очень интересная в плане защиты всего, что угодно штучка - knock daemon.
ipkg install knock

Конфигурим /opt/etc/knockd.conf

Закрываем доступ из WAN в post-firewall на все интересующие порты

Теперь чтобы подключиться к нужному сервису (будь то шелл, фтп, самба, нфс, и т.д) снаружи, нам нужно пнуть несколько портов в определенной последовательности. Тогда демон добавляет в iptables разрешение на доступ к указанным портам только от ИП-шника, который только что стучал по портам.
Далее вариантов 2: либо закрывает эти порты по таймауту, либо по второму стуку по портам в определенной последовательности.

Единственное неудобство - на чужой машине приходится телнетом стучаться на каждый порт, а только затем лезть шеллом. На своей стоит knock-клиент, который простукивает по портам, а затем выполняет указанную команду, у меня это putty <ip_сервера>
joohny
20-11-2009, 10:00
Я подзаморочился и на своем хостинге написал php скрипт для простукивания... С той лишь особенностью что knockd открывает ssh для всех ip,
Alexandre
12-11-2010, 06:28
я думаю, вторая проблема просто решается через ssh, без всяких доработок прошивок.
kyarik
12-11-2010, 10:00
Через SSH не устроит. Мне нужно, чтобы роутер открывал и закрывал порты анализируя ICMP пакеты.
Lupo_Alberto
12-11-2010, 21:21
Через SSH не устроит. Мне нужно, чтобы роутер открывал и закрывал порты анализируя ICMP пакеты.
Не совсем icmp-пакеты, но...


%ipkg info knock
Package: knock
Version: 0.5-2
Status: unknown ok not-installed
Section: Security
Architecture: mipsel
maintainer: Don Lubinski <nlsu2@shine-hs.com>
MD5Sum: 9a2984159c341974035e4849fc8e8a26
Size: 87668
Filename: knock_0.5-2_mipsel.ipk
Source: http://www.zeroflux.org/knock/files/knock-0.5.tar.gz
Description: knockd is a port-knock server.
It listens to all traffic on an ethernet (or PPP) interface, looking for special knock sequences of port-hits.
A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server.
This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port.
When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file.
This can be used to open up holes in a firewall for quick access.
kyarik
13-11-2010, 17:09
Это очень похоже на то, что мне нужно... Спасибо большое.
Но мне нужно обязательно через ICMP. В этом случае у клиента не нужно никого дополнительного программного обеспечения... Можно работать с любого компьютера, под любой операционкой.
Есть ли кто-то кто может доработать эту программу под ICMP?
С меня отплата деньгами или ответной услугой...
garlands
13-11-2010, 18:54
Это очень похоже на то, что мне нужно... Спасибо большое.
Но мне нужно обязательно через ICMP. В этом случае у клиента не нужно никого дополнительного программного обеспечения... Можно работать с любого компьютера, под любой операционкой.
Есть ли кто-то кто может доработать эту программу под ICMP?
С меня отплата деньгами или ответной услугой...

интересно, каким образом планируется "анализировать ICMP пакеты" и как это сочетать с "под любой операционкой", учитывая что конструировать ICMP под виндой нельзя?.. тогда уже проще носить с собой на флешке необходимую тулзу.

PS: почитал ТЗ... н-да. и сразу возникли вопросы... 1) система хранения - это хост во внутренней сети, например, с syslog, или винт/флешка в 320? 2) есть сомнения, по поводу производительности проца для "путем анализа пакетов протокола". если "анализ все-таки не является крайне необходимым, то вполне можно выкрутиться на vnstat, наверное... и port knocking для предоставления доступа.
kyarik
14-11-2010, 06:55
Что касается ICMP под любой операционкой... Есть простая вещь PING. Работает из командной строки под любой операционкой. PING может быть разной длины. Скрипт для этого пишется или переделвается за 5 минут(это даже много). В windows это bat или cmd.

Анализируем длины пакетов с помощью TCPDAMP. Производительности процессора хватит с большим запасом. Нам только длину посмотреть...

Через TCP или UDP это неудобно еще и потому, что в некоторых местах закрыты порты на выход. И тогда постучатся не получится...

В крайнем случае буду использовать эту программу.

Но пока ищу человека, который может доработать.

Что касается хранения логов для трафика, можно флешку припаять внутри корпуса...
Lupo_Alberto
14-11-2010, 07:12
Судя по описанию на странице проекта (http://www.zeroflux.org/projects/knock) существует клиент под Windows, а так же возможность управления посредством telnet и netcat, версии которых есть и под Windows.
garlands
14-11-2010, 11:16
про пинг я в курсе не надо ёрничать. я про произвольное содержимое пакета, которым в винде рулить нельзя. а об анализе я говорил вот об этом пункте ТЗ: "- доменное имя (только для протоколов http и ftp – сколько c www.sbr.ru, и сколько с video.mail.ru. Доменное имя определяется НЕ путем обратного преобразования IP отправителя, а путем анализа пакетов протокола или путем чтения логов прозрачного некэширующего прокси). "

telnet в семерке по дефолту не устанавливается...

можно было-бы попрбовать, но 320-го нет для экспериментов...
kyarik
14-11-2010, 17:04
Большое спасибо за ссылку.
Это действительно больше половины решения. Это хорошо.
И то что есть исходники. И то что есть клиент для Виндовс.
Видимо будем считать так, что я хочу осуществить мечту... Или цель=)
Так что буду пытаться дальше.
Если кто может помочь, не стесняйтесь. Пишите, звоните.
kyarik
14-11-2010, 17:10
про пинг я в курсе не надо ёрничать. я про произвольное содержимое пакета, которым в винде рулить нельзя. а об анализе я говорил вот об этом пункте ТЗ: "- доменное имя (только для протоколов http и ftp – сколько c www.sbr.ru, и сколько с video.mail.ru. Доменное имя определяется НЕ путем обратного преобразования IP отправителя, а путем анализа пакетов протокола или путем чтения логов прозрачного некэширующего прокси). "

telnet в семерке по дефолту не устанавливается...

можно было-бы попрбовать, но 320-го нет для экспериментов...

Я это пишу не для того чтобы вас задеть. Уверен, что у вас знаний гораздо больше чем у меня. Я просто максимально подробно описываю чего хочу добиться, чтобы не было недопониманий.

Анализ и подсчет трафика предлагаю пока отложить. Хотя тема очень интересная, нужная и востребованная. Но мне сейчас намного важнее Тук-тук.

Что касается железки, если вы в Москве... Могу вам ее предоставить для экспериментов...

У вас не заполнены никакие контакты. Напишите мне на почту kyarik на mail.ru чтобы можно было переписываться напрямую.
garlands
15-11-2010, 13:59
я не в москве. и даже не в россии... это сильно осложняет дело... :(
а на имеющейся wl700 я прошивку энтузиастов так и не довел до ума... :(
new_guest
23-03-2011, 19:21
спасибо что объеднил темы, но все таки специалисто очень нужен. всё готово к проекту, загвоздка в одном единственном специалисте :(
можно совмещение, не суть, главное чтобы проект был сделан...
ABATAPA
24-03-2011, 07:20
спасибо что объеднил темы, но все таки специалисто очень нужен. всё готово к проекту, загвоздка в одном единственном специалисте :(
можно совмещение, не суть, главное чтобы проект был сделан...


С создавшем тему человеком я начал общаться, объяснил ему, что часть его задач решить на роутере нельзя, сделал и продемонстрировал работу "кнокера" по ICMP, человек сказал, что ему пообещали сделать дешевле, и предложил обождать три дня, и... Пропал. Перестал отвечать на сообщения по email, в ICQ... Словом, вот так.
new_guest
25-03-2011, 10:49
С создавшем тему человеком я начал общаться, объяснил ему, что часть его задач решить на роутере нельзя, сделал и продемонстрировал работу "кнокера" по ICMP, человек сказал, что ему пообещали сделать дешевле, и предложил обождать три дня, и... Пропал. Перестал отвечать на сообщения по email, в ICQ... Словом, вот так.

ок. если вы в москве сможем встретиться и обсудить проект?
ryzhov_al
28-03-2012, 14:36
Ползая по дереву пакетов OpenWRT наткнулся на интересную софтину wknock (https://dev.openwrt.org/browser/packages/net/wknock/Makefile), заброшенную шесть лет назад. Она служит для защиты точек доступа Wi-Fi на чипе Broadcom от внешних посягательств интересным способом, схожим с механикой knockd:

Точка доступа на роутере переводится в режим мониторинга, ничего не излучая в эфир,
Для того, чтобы точка доступа "ожила" ей надо послать определённый пакет данных, в данном случае с её SSID-именем.
Автор программы Laurent Oudot делал доклад (http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Oudot/BH_EU_05-Oudot.pdf) на конференции BlackHat 2005, приводя эту программу в качестве рабочего варианта подобной защиты.

Правильно ли я понимаю, что для подключения к скрытым AP клиенты сами "вызывают" её по SSID, не дожидаясь маячка и прочих атрибутов точки?

Если так, то можно попробовать допилить программу до рабочего состояния.
TReX
28-03-2012, 17:58
Ползая по дереву пакетов OpenWRT наткнулся на интересную софтину wknock (https://dev.openwrt.org/browser/packages/net/wknock/Makefile), заброшенную шесть лет назад. Она служит для защиты точек доступа Wi-Fi на чипе Broadcom от внешних посягательств интересным способом, схожим с механикой knockd:

Точка доступа на роутере переводится в режим мониторинга, ничего не излучая в эфир,
Для того, чтобы точка доступа "ожила" ей надо послать определённый пакет данных, в данном случае с её SSID-именем.
Автор программы Laurent Oudot делал доклад (http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Oudot/BH_EU_05-Oudot.pdf) на конференции BlackHat 2005, приводя эту программу в качестве рабочего варианта подобной защиты.

Правильно ли я понимаю, что для подключения к скрытым AP клиенты сами "вызывают" её по SSID, не дожидаясь маячка и прочих атрибутов точки.

Если так, то можно попробовать допилить программу до рабочего состояния.

А софт на клиентах кто допиливать будет, чтобы они знали о этой "несуществующей" точке? )
ryzhov_al
29-03-2012, 05:58
А софт на клиентах кто допиливать будет, чтобы они знали о этой "несуществующей" точке? )Я пока не разобрался как подключается клиент к скрытой точке. Если точка доступа согласно стандартам не должна "кудахтать", то всё получится само собой: излучения от роутера не будет пока не появится клиент, знающий её SSID.

Laurent Oudot показывал работу программы в действии:
он создавал на клиенте Ad-hoc-точку с такми же именем, как на роутере,
роутер, "услышав" правильно имя, переводил Wi-Fi модуль в привычный режим работы,
клиент подключался к точке привычным способом.

Это лишь концепт Wi-Fi защиты security through obscurity. Для выяснения его жизнеспособности необходимо вычитывать стандарты 802.11.