PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Port Knocking auf VServer?



Fahrenheit
19.04.2006, 07:58
Hallo!

Ich beschäftige mich zur Zeit etwas mit der Sicherheit meines VServers und ich bin am überlegen, ob ich für den SSH Zugang ein Port Knock Daemon einrichten soll. Ich vermute aber, das jeder Port Knocking Server iptables Regeln -DROPP und -ACCEPT verwendet um die Ports zu öffnen oder zu schließen oder?

Auf meinem tollem VServer darf ich nämlich nichts mit IPTABLES anstellen...X(

Hab mir bisher doorman und knockd angeguckt (habe ein Debian System)

Kann man generell sagen, dass alle Port Knock Geschichten über IPTABLES geregelt werden ?
Weiß jemand nähreres dazu? :think:


Danke und Gruß

Havoc][
19.04.2006, 08:49
Soweit ich weiss ja.
Du musst halt eine Firewall/Packetfilter haben um die Ports zu schliessen und zu öffnen. Beim Portknocking arbeitest du ja weitestgehend mit LOGDROP. Der verwirft also das Packet und schreibt den "Versuch" in eine Log-File. Jetzt überwacht der KnockDaemon diese Logfile und werte die "Versuche" aus. Wenn die Versuche in einer bestimmten Reihenfolge (und Zeit?) kommen schickt er ne IPTABLES Regel mit ACCEPT ab. Mehr ist das eigentlich nicht. Aber wenn du nicht mit IPTABLES arbeiten darfst, bekommst du bei diesem Projekt eher Probleme.

Ich dachte nen vServer ist mit root rechten ausgestattet?! Und der sollte doch auch über "Virtuelle Netzwerkschnittstellen" verfügen, oder? Über diese sollt es doch IPTABLES technisch keine Probleme geben *überleg*. Naja...

Havoc][

Fahrenheit
19.04.2006, 13:36
[']Soweit ich weiss ja.
Du musst halt eine Firewall/Packetfilter haben um die Ports zu schliessen und zu öffnen. Beim Portknocking arbeitest du ja weitestgehend mit LOGDROP. Der verwirft also das Packet und schreibt den "Versuch" in eine Log-File. Jetzt überwacht der KnockDaemon diese Logfile und werte die "Versuche" aus. Wenn die Versuche in einer bestimmten Reihenfolge (und Zeit?) kommen schickt er ne IPTABLES Regel mit ACCEPT ab. Mehr ist das eigentlich nicht. Aber wenn du nicht mit IPTABLES arbeiten darfst, bekommst du bei diesem Projekt eher Probleme.

Ich dachte nen vServer ist mit root rechten ausgestattet?! Und der sollte doch auch über "Virtuelle Netzwerkschnittstellen" verfügen, oder? Über diese sollt es doch IPTABLES technisch keine Probleme geben *überleg*. Naja...

Havoc][

Mein VServer ist bei www.deserver.de gehostet und auf bei dem Verein sind alle VServer ohne iptables ausgestattet und ist auch nicht installierbar..
Danke für deine Antwort.

Gruß

MrFenix
19.04.2006, 13:38
Kann man sich sowas nicht zur Not selbst schreiben? Einfach ein Programm, dass auf sämtlichen Ports nen Socket startet und alles was ankommt logt...

hehejo
19.04.2006, 13:41
Dann muss er aber auch wieder aufpassen, dass dieses Programm keine schlimmen Fehler enthällt.

MrFenix
19.04.2006, 13:47
Hmm Java und ab in ne Sandbox...

Havoc][
19.04.2006, 16:44
Eine Firewall in Java?

// No Comment.

Also ich würde in allen sprachen (sogar in Delphi *scnr) ne Firewall programmieren, aber in Java ;D?

Aber um OnTopic zu bleiben:
Ich glaube, einen eigenen Packetfilter zu programmieren ist etwas unbefriedigend.
Mich würde nebenbei interessieren warum man iptables nicht installieren kann - ich versteh einfach nicht wo da das Problem liegt. Wie sieht es denn dann überhaupt mit der Sicherheit aus? Auch mal im internen Netzwerk gesehen.

Havoc][

MrFenix
19.04.2006, 20:31
Heh soll doch keine richtige Firewall sein, sondern nur en Programm, dass auf allen Ports nen Socket aufmacht.

Fahrenheit
19.04.2006, 22:56
[']Eine Firewall in Java?

// No Comment.

Also ich würde in allen sprachen (sogar in Delphi *scnr) ne Firewall programmieren, aber in Java ;D?

Aber um OnTopic zu bleiben:
Ich glaube, einen eigenen Packetfilter zu programmieren ist etwas unbefriedigend.
Mich würde nebenbei interessieren warum man iptables nicht installieren kann - ich versteh einfach nicht wo da das Problem liegt. Wie sieht es denn dann überhaupt mit der Sicherheit aus? Auch mal im internen Netzwerk gesehen.

Havoc][


vserverxxx:/# iptables
bash: iptables: command not found

vserverxxx:/# apt-get install iptables

Reading Package Lists... Done
Building Dependency Tree... Done
Suggested packages:
ipmasq iproute
The following NEW packages will be installed:
iptables
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 381kB of archives.
After unpacking 1270kB of additional disk space will be used.
Get:1 ftp://ftp.freenet.de stable/main iptables 1.2.11-10 [381kB]
Fetched 381kB in 0s (874kB/s)
(Reading database ... 13392 files and directories currently installed.)
Unpacking iptables (from .../iptables_1.2.11-10_i386.deb) ...
Setting up iptables (1.2.11-10) ...

vserverxxx:/# iptables -L
iptables v1.2.11: can't initialize iptables table `filter': Permission denied (y
ou must be root)
Perhaps iptables or your kernel needs to be upgraded.

Okay, iptables kann man doch installieren aber eben nicht benutzen (ja, ich bin root).. Anscheinend klappt das mit deren Virtualisierungs-Software nicht. Fakt is, iptables kann ich leider vergessen und somit wohl auch das port knocking.

Mit meinen jetzigen Kenntnissen wäre ich auch nicht in der Lage eine "Firewall" oder der gleichen zu schreiben :) Kann nur ein bischen Perl und C++..

Danke nochmal für Eure Postings!

Grüße

slasher
19.04.2006, 23:58
wechsel bitte schnell den Anbieter! Ein VServer-Anbieter, der seinen Kernel ohne IPTables baut, ist nicht ganz normal, also hurtig weg da.

Unfassbar sowas...

Havoc][
20.04.2006, 07:15
wechsel bitte schnell den Anbieter! Ein VServer-Anbieter, der seinen Kernel ohne IPTables baut, ist nicht ganz normal, also hurtig weg da.
Grundsätzlich seh ich das genauso. Mich würde hingegen interessieren wie die die Virtualisierung vornehmen (mit XEN oder mit VMWare ESX?). Beide varrianten (es gibt im "profi" bereich wahrscheinlich noch mehr) sollten aber ohne Probleme mit IPTables zusammen arbeiten. Aber wenn das wirklich unterbunden wird, wäre es schon interessant wie die Sicherung vorgenommen wird. Ich würd ja mal am liebsten mal Ethereal oder nen TCPDump laufen lassen um zu schauen was da so an Packeten vorbei fliegt.

@Fahrenheit:
Grundsätzlich kann ich dir nur zustimmen. Ohne IPTables wirds nix mit Portknocking. Und selbst wenn es einen anderen Ansatz dafür gibt mit einem Portknocking Daemon auf die Ports zu "hören", benötigst du ja die Möglichkeit die Ports zu öffnen oder zu schliessen. Wenn die Ports nicht durch einen Packetfilter/Firewall geschlossen sind, bringt dir ja der ganze Aufwand nichts. Immerhin möchtest du ja mit dem Daemon bewirken das ein Portscan, einem Angreifer sagt: "All Closed". Nur du, der die Ports und die Anklopfzeichen weiss, kann dann einen Port (für eine gewisse Zeit) öffnen. Verstehst du was ich sagen möchte?

@MrFenix:
Ich glaube da haben wir aneinander vorbei gesprochen. Du wolltest das nur so lösen das der Portknocking Daemon auf seine bestimmten Ports hört, oder :)?

Havoc][

hex
20.04.2006, 08:12
Kann mich slasher nur anschließen. Ein vServer ohne iptables ist der Witz!

mfg hex

Fahrenheit
20.04.2006, 11:07
[']Grundsätzlich seh ich das genauso. Mich würde hingegen interessieren wie die die Virtualisierung vornehmen (mit XEN oder mit VMWare ESX?). Beide varrianten (es gibt im "profi" bereich wahrscheinlich noch mehr) sollten aber ohne Probleme mit IPTables zusammen arbeiten. Aber wenn das wirklich unterbunden wird, wäre es schon interessant wie die Sicherung vorgenommen wird. Ich würd ja mal am liebsten mal Ethereal oder nen TCPDump laufen lassen um zu schauen was da so an Packeten vorbei fliegt.

@Fahrenheit:
Grundsätzlich kann ich dir nur zustimmen. Ohne IPTables wirds nix mit
Portknocking. Und selbst wenn es einen anderen Ansatz dafür gibt mit einem Portknocking Daemon auf die Ports zu "hören", benötigst du ja die Möglichkeit die Ports zu öffnen oder zu schliessen. Wenn die Ports nicht durch einen Packetfilter/Firewall geschlossen sind, bringt dir ja der ganze Aufwand nichts. Immerhin möchtest du ja mit dem Daemon bewirken das ein Portscan, einem Angreifer sagt: "All Closed". Nur du, der die Ports und die Anklopfzeichen weiss, kann dann einen Port (für eine gewisse Zeit) öffnen. Verstehst du was ich sagen möchte?

@MrFenix:
Ich glaube da haben wir aneinander vorbei gesprochen. Du wolltest das nur so lösen das der Portknocking Daemon auf seine bestimmten Ports hört, oder :)?

Havoc][

Ich weiß das mein Anbiter nicht gerade das non plus ultra ist aber er ist einer der günstigsten.. 40 € im Jahr!
@ Havoc

Klar versteh ich was du mir sagen willst.. Ich habe es auch so vermutet!
Weiß jemand noch günstige VServer Anbieter?

slasher
20.04.2006, 11:16
http://www.webhostlist.de/host/data/vserver.php

Fahrenheit
20.04.2006, 18:46
Danke für den Link! Hab heute mal bei meinem Provider angerufen und gefragt ob denn in absehbarer Zeit iptables auf den Vservern verfügbar sei.. Der nette Herr meinte, sie stellen gerade alle Server auf die Xen Virtualisierung um aber das ganze könnte dauern.. ^^ Naja, für 3 € im Monat kann man auch nicht mehr erwarten.

Danke nochmal für Eure Beiträge!

hoernchen
20.04.2006, 18:58
selbst fuer nur drei euro ist fahrlaessiges verhalten dieser art eine frechheit.