Port Knocking auf VServer?

Dieses Thema im Forum "Firewalls" wurde erstellt von Fahrenheit, 19.04.2006.

  1. #1 Fahrenheit, 19.04.2006
    Fahrenheit

    Fahrenheit Mitglied

    Dabei seit:
    30.12.2004
    Beiträge:
    37
    Zustimmungen:
    0
    Hallo!

    Ich beschäftige mich zur Zeit etwas mit der Sicherheit meines VServers und ich bin am überlegen, ob ich für den SSH Zugang ein Port Knock Daemon einrichten soll. Ich vermute aber, das jeder Port Knocking Server iptables Regeln -DROPP und -ACCEPT verwendet um die Ports zu öffnen oder zu schließen oder?

    Auf meinem tollem VServer darf ich nämlich nichts mit IPTABLES anstellen...X(

    Hab mir bisher doorman und knockd angeguckt (habe ein Debian System)

    Kann man generell sagen, dass alle Port Knock Geschichten über IPTABLES geregelt werden ?
    Weiß jemand nähreres dazu? :think:


    Danke und Gruß
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Havoc][, 19.04.2006
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Soweit ich weiss ja.
    Du musst halt eine Firewall/Packetfilter haben um die Ports zu schliessen und zu öffnen. Beim Portknocking arbeitest du ja weitestgehend mit LOGDROP. Der verwirft also das Packet und schreibt den "Versuch" in eine Log-File. Jetzt überwacht der KnockDaemon diese Logfile und werte die "Versuche" aus. Wenn die Versuche in einer bestimmten Reihenfolge (und Zeit?) kommen schickt er ne IPTABLES Regel mit ACCEPT ab. Mehr ist das eigentlich nicht. Aber wenn du nicht mit IPTABLES arbeiten darfst, bekommst du bei diesem Projekt eher Probleme.

    Ich dachte nen vServer ist mit root rechten ausgestattet?! Und der sollte doch auch über "Virtuelle Netzwerkschnittstellen" verfügen, oder? Über diese sollt es doch IPTABLES technisch keine Probleme geben *überleg*. Naja...

    Havoc][
     
  4. #3 Fahrenheit, 19.04.2006
    Fahrenheit

    Fahrenheit Mitglied

    Dabei seit:
    30.12.2004
    Beiträge:
    37
    Zustimmungen:
    0
    Mein VServer ist bei www.deserver.de gehostet und auf bei dem Verein sind alle VServer ohne iptables ausgestattet und ist auch nicht installierbar..
    Danke für deine Antwort.

    Gruß
     
  5. #4 MrFenix, 19.04.2006
    MrFenix

    MrFenix Executor

    Dabei seit:
    16.10.2004
    Beiträge:
    480
    Zustimmungen:
    0
    Ort:
    Siegen, NRW
    Kann man sich sowas nicht zur Not selbst schreiben? Einfach ein Programm, dass auf sämtlichen Ports nen Socket startet und alles was ankommt logt...
     
  6. hehejo

    hehejo blöder Purist

    Dabei seit:
    12.10.2003
    Beiträge:
    1.280
    Zustimmungen:
    0
    Ort:
    Stein (Mittelfranken)
    Dann muss er aber auch wieder aufpassen, dass dieses Programm keine schlimmen Fehler enthällt.
     
  7. #6 MrFenix, 19.04.2006
    MrFenix

    MrFenix Executor

    Dabei seit:
    16.10.2004
    Beiträge:
    480
    Zustimmungen:
    0
    Ort:
    Siegen, NRW
    Hmm Java und ab in ne Sandbox...
     
  8. #7 Havoc][, 19.04.2006
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Eine Firewall in Java?

    // No Comment.

    Also ich würde in allen sprachen (sogar in Delphi *scnr) ne Firewall programmieren, aber in Java ;D?

    Aber um OnTopic zu bleiben:
    Ich glaube, einen eigenen Packetfilter zu programmieren ist etwas unbefriedigend.
    Mich würde nebenbei interessieren warum man iptables nicht installieren kann - ich versteh einfach nicht wo da das Problem liegt. Wie sieht es denn dann überhaupt mit der Sicherheit aus? Auch mal im internen Netzwerk gesehen.

    Havoc][
     
  9. #8 MrFenix, 19.04.2006
    MrFenix

    MrFenix Executor

    Dabei seit:
    16.10.2004
    Beiträge:
    480
    Zustimmungen:
    0
    Ort:
    Siegen, NRW
    Heh soll doch keine richtige Firewall sein, sondern nur en Programm, dass auf allen Ports nen Socket aufmacht.
     
  10. #9 Fahrenheit, 19.04.2006
    Fahrenheit

    Fahrenheit Mitglied

    Dabei seit:
    30.12.2004
    Beiträge:
    37
    Zustimmungen:
    0

    vserverxxx:/# iptables
    bash: iptables: command not found

    vserverxxx:/# apt-get install iptables

    Reading Package Lists... Done
    Building Dependency Tree... Done
    Suggested packages:
    ipmasq iproute
    The following NEW packages will be installed:
    iptables
    0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
    Need to get 381kB of archives.
    After unpacking 1270kB of additional disk space will be used.
    Get:1 ftp://ftp.freenet.de stable/main iptables 1.2.11-10 [381kB]
    Fetched 381kB in 0s (874kB/s)
    (Reading database ... 13392 files and directories currently installed.)
    Unpacking iptables (from .../iptables_1.2.11-10_i386.deb) ...
    Setting up iptables (1.2.11-10) ...

    vserverxxx:/# iptables -L
    iptables v1.2.11: can't initialize iptables table `filter': Permission denied (y
    ou must be root)
    Perhaps iptables or your kernel needs to be upgraded.

    Okay, iptables kann man doch installieren aber eben nicht benutzen (ja, ich bin root).. Anscheinend klappt das mit deren Virtualisierungs-Software nicht. Fakt is, iptables kann ich leider vergessen und somit wohl auch das port knocking.

    Mit meinen jetzigen Kenntnissen wäre ich auch nicht in der Lage eine "Firewall" oder der gleichen zu schreiben :) Kann nur ein bischen Perl und C++..

    Danke nochmal für Eure Postings!

    Grüße
     
  11. #10 slasher, 20.04.2006
    slasher

    slasher König

    Dabei seit:
    22.03.2006
    Beiträge:
    827
    Zustimmungen:
    0
    wechsel bitte schnell den Anbieter! Ein VServer-Anbieter, der seinen Kernel ohne IPTables baut, ist nicht ganz normal, also hurtig weg da.

    Unfassbar sowas...
     
  12. #11 Havoc][, 20.04.2006
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Grundsätzlich seh ich das genauso. Mich würde hingegen interessieren wie die die Virtualisierung vornehmen (mit XEN oder mit VMWare ESX?). Beide varrianten (es gibt im "profi" bereich wahrscheinlich noch mehr) sollten aber ohne Probleme mit IPTables zusammen arbeiten. Aber wenn das wirklich unterbunden wird, wäre es schon interessant wie die Sicherung vorgenommen wird. Ich würd ja mal am liebsten mal Ethereal oder nen TCPDump laufen lassen um zu schauen was da so an Packeten vorbei fliegt.

    @Fahrenheit:
    Grundsätzlich kann ich dir nur zustimmen. Ohne IPTables wirds nix mit Portknocking. Und selbst wenn es einen anderen Ansatz dafür gibt mit einem Portknocking Daemon auf die Ports zu "hören", benötigst du ja die Möglichkeit die Ports zu öffnen oder zu schliessen. Wenn die Ports nicht durch einen Packetfilter/Firewall geschlossen sind, bringt dir ja der ganze Aufwand nichts. Immerhin möchtest du ja mit dem Daemon bewirken das ein Portscan, einem Angreifer sagt: "All Closed". Nur du, der die Ports und die Anklopfzeichen weiss, kann dann einen Port (für eine gewisse Zeit) öffnen. Verstehst du was ich sagen möchte?

    @MrFenix:
    Ich glaube da haben wir aneinander vorbei gesprochen. Du wolltest das nur so lösen das der Portknocking Daemon auf seine bestimmten Ports hört, oder :)?

    Havoc][
     
  13. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Kann mich slasher nur anschließen. Ein vServer ohne iptables ist der Witz!

    mfg hex
     
  14. #13 Fahrenheit, 20.04.2006
    Fahrenheit

    Fahrenheit Mitglied

    Dabei seit:
    30.12.2004
    Beiträge:
    37
    Zustimmungen:
    0
    Ich weiß das mein Anbiter nicht gerade das non plus ultra ist aber er ist einer der günstigsten.. 40 € im Jahr!
    @ Havoc

    Klar versteh ich was du mir sagen willst.. Ich habe es auch so vermutet!
    Weiß jemand noch günstige VServer Anbieter?
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 slasher, 20.04.2006
    slasher

    slasher König

    Dabei seit:
    22.03.2006
    Beiträge:
    827
    Zustimmungen:
    0
  17. #15 Fahrenheit, 20.04.2006
    Fahrenheit

    Fahrenheit Mitglied

    Dabei seit:
    30.12.2004
    Beiträge:
    37
    Zustimmungen:
    0
    Danke für den Link! Hab heute mal bei meinem Provider angerufen und gefragt ob denn in absehbarer Zeit iptables auf den Vservern verfügbar sei.. Der nette Herr meinte, sie stellen gerade alle Server auf die Xen Virtualisierung um aber das ganze könnte dauern.. ^^ Naja, für 3 € im Monat kann man auch nicht mehr erwarten.

    Danke nochmal für Eure Beiträge!
     
Thema:

Port Knocking auf VServer?

Die Seite wird geladen...

Port Knocking auf VServer? - Ähnliche Themen

  1. Linux: Portknocking direkt im Kernel?

    Linux: Portknocking direkt im Kernel?: Geht es nach dem Willen dreier Entwickler, so soll der als Portknocking bekannte Mechanismus der Server- und Systemabsicherung nun direkt in den...
  2. Fwknop Port Knocking Utility 2.0.4

    Fwknop Port Knocking Utility 2.0.4: fwknop implements an authorization scheme that requires only a single encrypted packet to communicate various pieces of information, including...
  3. Fwknop Port Knocking Utility 2.0.3

    Fwknop Port Knocking Utility 2.0.3: fwknop implements an authorization scheme that requires only a single encrypted packet to communicate various pieces of information, including...
  4. Fwknop Port Knocking Utility 2.0.2

    Fwknop Port Knocking Utility 2.0.2: fwknop implements an authorization scheme that requires only a single encrypted packet to communicate various pieces of information, including...
  5. Fwknop Port Knocking Utility 2.0.1

    Fwknop Port Knocking Utility 2.0.1: fwknop implements an authorization scheme that requires only a single encrypted packet to communicate various pieces of information, including...