Port Knocking auf VServer?

F

Fahrenheit

Mitglied
Hallo!

Ich beschäftige mich zur Zeit etwas mit der Sicherheit meines VServers und ich bin am überlegen, ob ich für den SSH Zugang ein Port Knock Daemon einrichten soll. Ich vermute aber, das jeder Port Knocking Server iptables Regeln -DROPP und -ACCEPT verwendet um die Ports zu öffnen oder zu schließen oder?

Auf meinem tollem VServer darf ich nämlich nichts mit IPTABLES anstellen...X(

Hab mir bisher doorman und knockd angeguckt (habe ein Debian System)

Kann man generell sagen, dass alle Port Knock Geschichten über IPTABLES geregelt werden ?
Weiß jemand nähreres dazu? :think:


Danke und Gruß
 
Soweit ich weiss ja.
Du musst halt eine Firewall/Packetfilter haben um die Ports zu schliessen und zu öffnen. Beim Portknocking arbeitest du ja weitestgehend mit LOGDROP. Der verwirft also das Packet und schreibt den "Versuch" in eine Log-File. Jetzt überwacht der KnockDaemon diese Logfile und werte die "Versuche" aus. Wenn die Versuche in einer bestimmten Reihenfolge (und Zeit?) kommen schickt er ne IPTABLES Regel mit ACCEPT ab. Mehr ist das eigentlich nicht. Aber wenn du nicht mit IPTABLES arbeiten darfst, bekommst du bei diesem Projekt eher Probleme.

Ich dachte nen vServer ist mit root rechten ausgestattet?! Und der sollte doch auch über "Virtuelle Netzwerkschnittstellen" verfügen, oder? Über diese sollt es doch IPTABLES technisch keine Probleme geben *überleg*. Naja...

Havoc][
 
Havoc][ schrieb:
Soweit ich weiss ja.
Du musst halt eine Firewall/Packetfilter haben um die Ports zu schliessen und zu öffnen. Beim Portknocking arbeitest du ja weitestgehend mit LOGDROP. Der verwirft also das Packet und schreibt den "Versuch" in eine Log-File. Jetzt überwacht der KnockDaemon diese Logfile und werte die "Versuche" aus. Wenn die Versuche in einer bestimmten Reihenfolge (und Zeit?) kommen schickt er ne IPTABLES Regel mit ACCEPT ab. Mehr ist das eigentlich nicht. Aber wenn du nicht mit IPTABLES arbeiten darfst, bekommst du bei diesem Projekt eher Probleme.

Ich dachte nen vServer ist mit root rechten ausgestattet?! Und der sollte doch auch über "Virtuelle Netzwerkschnittstellen" verfügen, oder? Über diese sollt es doch IPTABLES technisch keine Probleme geben *überleg*. Naja...

Havoc][

Mein VServer ist bei www.deserver.de gehostet und auf bei dem Verein sind alle VServer ohne iptables ausgestattet und ist auch nicht installierbar..
Danke für deine Antwort.

Gruß
 
Kann man sich sowas nicht zur Not selbst schreiben? Einfach ein Programm, dass auf sämtlichen Ports nen Socket startet und alles was ankommt logt...
 
Dann muss er aber auch wieder aufpassen, dass dieses Programm keine schlimmen Fehler enthällt.
 
Eine Firewall in Java?

// No Comment.

Also ich würde in allen sprachen (sogar in Delphi *scnr) ne Firewall programmieren, aber in Java ;D?

Aber um OnTopic zu bleiben:
Ich glaube, einen eigenen Packetfilter zu programmieren ist etwas unbefriedigend.
Mich würde nebenbei interessieren warum man iptables nicht installieren kann - ich versteh einfach nicht wo da das Problem liegt. Wie sieht es denn dann überhaupt mit der Sicherheit aus? Auch mal im internen Netzwerk gesehen.

Havoc][
 
Heh soll doch keine richtige Firewall sein, sondern nur en Programm, dass auf allen Ports nen Socket aufmacht.
 
Havoc][ schrieb:
Eine Firewall in Java?

// No Comment.

Also ich würde in allen sprachen (sogar in Delphi *scnr) ne Firewall programmieren, aber in Java ;D?

Aber um OnTopic zu bleiben:
Ich glaube, einen eigenen Packetfilter zu programmieren ist etwas unbefriedigend.
Mich würde nebenbei interessieren warum man iptables nicht installieren kann - ich versteh einfach nicht wo da das Problem liegt. Wie sieht es denn dann überhaupt mit der Sicherheit aus? Auch mal im internen Netzwerk gesehen.

Havoc][


vserverxxx:/# iptables
bash: iptables: command not found

vserverxxx:/# apt-get install iptables

Reading Package Lists... Done
Building Dependency Tree... Done
Suggested packages:
ipmasq iproute
The following NEW packages will be installed:
iptables
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 381kB of archives.
After unpacking 1270kB of additional disk space will be used.
Get:1 ftp://ftp.freenet.de stable/main iptables 1.2.11-10 [381kB]
Fetched 381kB in 0s (874kB/s)
(Reading database ... 13392 files and directories currently installed.)
Unpacking iptables (from .../iptables_1.2.11-10_i386.deb) ...
Setting up iptables (1.2.11-10) ...

vserverxxx:/# iptables -L
iptables v1.2.11: can't initialize iptables table `filter': Permission denied (y
ou must be root)
Perhaps iptables or your kernel needs to be upgraded.

Okay, iptables kann man doch installieren aber eben nicht benutzen (ja, ich bin root).. Anscheinend klappt das mit deren Virtualisierungs-Software nicht. Fakt is, iptables kann ich leider vergessen und somit wohl auch das port knocking.

Mit meinen jetzigen Kenntnissen wäre ich auch nicht in der Lage eine "Firewall" oder der gleichen zu schreiben :) Kann nur ein bischen Perl und C++..

Danke nochmal für Eure Postings!

Grüße
 
wechsel bitte schnell den Anbieter! Ein VServer-Anbieter, der seinen Kernel ohne IPTables baut, ist nicht ganz normal, also hurtig weg da.

Unfassbar sowas...
 
slasher schrieb:
wechsel bitte schnell den Anbieter! Ein VServer-Anbieter, der seinen Kernel ohne IPTables baut, ist nicht ganz normal, also hurtig weg da.
Grundsätzlich seh ich das genauso. Mich würde hingegen interessieren wie die die Virtualisierung vornehmen (mit XEN oder mit VMWare ESX?). Beide varrianten (es gibt im "profi" bereich wahrscheinlich noch mehr) sollten aber ohne Probleme mit IPTables zusammen arbeiten. Aber wenn das wirklich unterbunden wird, wäre es schon interessant wie die Sicherung vorgenommen wird. Ich würd ja mal am liebsten mal Ethereal oder nen TCPDump laufen lassen um zu schauen was da so an Packeten vorbei fliegt.

@Fahrenheit:
Grundsätzlich kann ich dir nur zustimmen. Ohne IPTables wirds nix mit Portknocking. Und selbst wenn es einen anderen Ansatz dafür gibt mit einem Portknocking Daemon auf die Ports zu "hören", benötigst du ja die Möglichkeit die Ports zu öffnen oder zu schliessen. Wenn die Ports nicht durch einen Packetfilter/Firewall geschlossen sind, bringt dir ja der ganze Aufwand nichts. Immerhin möchtest du ja mit dem Daemon bewirken das ein Portscan, einem Angreifer sagt: "All Closed". Nur du, der die Ports und die Anklopfzeichen weiss, kann dann einen Port (für eine gewisse Zeit) öffnen. Verstehst du was ich sagen möchte?

@MrFenix:
Ich glaube da haben wir aneinander vorbei gesprochen. Du wolltest das nur so lösen das der Portknocking Daemon auf seine bestimmten Ports hört, oder :)?

Havoc][
 
Kann mich slasher nur anschließen. Ein vServer ohne iptables ist der Witz!

mfg hex
 
Havoc][ schrieb:
Grundsätzlich seh ich das genauso. Mich würde hingegen interessieren wie die die Virtualisierung vornehmen (mit XEN oder mit VMWare ESX?). Beide varrianten (es gibt im "profi" bereich wahrscheinlich noch mehr) sollten aber ohne Probleme mit IPTables zusammen arbeiten. Aber wenn das wirklich unterbunden wird, wäre es schon interessant wie die Sicherung vorgenommen wird. Ich würd ja mal am liebsten mal Ethereal oder nen TCPDump laufen lassen um zu schauen was da so an Packeten vorbei fliegt.

@Fahrenheit:
Grundsätzlich kann ich dir nur zustimmen. Ohne IPTables wirds nix mit
Portknocking. Und selbst wenn es einen anderen Ansatz dafür gibt mit einem Portknocking Daemon auf die Ports zu "hören", benötigst du ja die Möglichkeit die Ports zu öffnen oder zu schliessen. Wenn die Ports nicht durch einen Packetfilter/Firewall geschlossen sind, bringt dir ja der ganze Aufwand nichts. Immerhin möchtest du ja mit dem Daemon bewirken das ein Portscan, einem Angreifer sagt: "All Closed". Nur du, der die Ports und die Anklopfzeichen weiss, kann dann einen Port (für eine gewisse Zeit) öffnen. Verstehst du was ich sagen möchte?

@MrFenix:
Ich glaube da haben wir aneinander vorbei gesprochen. Du wolltest das nur so lösen das der Portknocking Daemon auf seine bestimmten Ports hört, oder :)?

Havoc][

Ich weiß das mein Anbiter nicht gerade das non plus ultra ist aber er ist einer der günstigsten.. 40 € im Jahr!
@ Havoc

Klar versteh ich was du mir sagen willst.. Ich habe es auch so vermutet!
Weiß jemand noch günstige VServer Anbieter?
 
Danke für den Link! Hab heute mal bei meinem Provider angerufen und gefragt ob denn in absehbarer Zeit iptables auf den Vservern verfügbar sei.. Der nette Herr meinte, sie stellen gerade alle Server auf die Xen Virtualisierung um aber das ganze könnte dauern.. ^^ Naja, für 3 € im Monat kann man auch nicht mehr erwarten.

Danke nochmal für Eure Beiträge!
 
selbst fuer nur drei euro ist fahrlaessiges verhalten dieser art eine frechheit.
 
Zurück
Oben