Abbildung 1: Wenn er das Klopfzeichen erkennt, öffnet »knockd« per IPtables den Port 22 für die anfragende IP.
Konventionelles Port Knocking in Spechtmanier ist anfällig für Angriffsversuche von Lauschern und Brute-Force-Klopfern. Sicherer und moderner ist es, dem Server ein individuell verschlüsseltes Paket zu schicken mit der Bitte um Einlass. Böse Angreifer hassen so was.
|
Inhalt |
|---|
|
66 | Test: Endian Firewall Macro X2 Eine Firewall-Appliance mit vielerlei Sicherheitstechnik, 70 | Sysstat-Paket Die Tools um Sar, Iostat, Mpstat und Pidstat erweisen sich als 74 | Marathon in Big Apple Eine Webapplikation für extreme Lasten optimieren. |
Das konventionelle Port Knocking, das ich in der letzten Ausgabe beschrieben habe, bietet Schutz gegen Angreifer, die routinemäßig ganze Netze in der Hoffnung auf leichte Beute scannen. Ein Cracker, der sich mehr Mühe gibt und die Kommunikation eine Zeit lang mitschneidet, kann allerdings auch die Klopfsignale aufspüren, denn es sind ja immer die gleichen Sequenzen.
Theoretisch gibt es zwar die Möglichkeit, Listen mit Einmal-Klopfsignalen zu benutzen, die nach dem ersten Einsatz verfallen – leider ist das furchtbar umständlich. Außerdem kann der Angreifer ja auch durch stures Ausprobieren eingängiger Klopfrhythmen (Port 7000, 8000, 9000 …) zum Erfolg kommen, wenn der Admin bei der Wahl der Sequenz nicht kreativ genug war.
Verschlüsseltes Paket
Ein Ausweg ist die Single Packet Authentication (SPA). Dabei verschickt der Anklopfer ein einziges Paket, das in verschlüsselter Form die Authentisierungsinformation – in der Regel eine Passphrase – und die Forderung des Clients enthält, einen bestimmten Port zu öffnen. Eine gut funktionierende SPA-Implementation heißt Firewall Knock Operator, kurz Fwknop [1]. Die Installation setzt neben den üblichen Build-Werkzeugen die Anwesenheit von Perl, des Libpcap-dev-Pakets und des CPAN-Moduls Net-Pcap voraus. Sind alle an Bord, erweist sich die Installation mit Hilfe des in Perl geschriebenen Installers als Klacks.
Passende Schrauben
Fwknop besteht aus dem Server »fwknopd« und dem Client »fwknop«. Den Server konfiguriere ich im Verzeichnis »/etc/fwknop/« über zwei Dateien. »fwknop.conf« enthält die Grundkonfiguration. Im ersten Schritt muss ich hier nur wenige Parameter anpassen – sie sind mit »__CHANGEME__« gekennzeichnet. Die anderen Schräubchen, an denen ich laut Dokumentation drehen könnte, sind durchweg mit sinnvollen Werten vorbelegt. Wichtig scheint mir der Hinweis auf die Synchronisation der Uhrzeit zwischen Server und Client: Gerät die Differenz zu groß, wird »fwknopd« das zaghafte Anklopfen ignorieren.
Die Einträge in »/etc/fwknop/access.conf« definieren, wie »fwknopd« auf das Anklopfen des Clients reagiert. Hier ist auch der geheime Schlüssel eingetragen, mit dem der Client sich auszuweisen hat. In der »SOURCE«-Zeile kann ich einschränken, aus welchen Netzen sich der Daemon beklopfen lassen muss. In »OPEN_PORTS« stelle ich ein, welchen Port das System nach erfolgreichem Knocking öffnet, zum Beispiel »tcp/22« für SSH. Einen erfolgreichen Versuch zeigt Abbildung 1. Der Client »fwknop« holt seinen Schlüssel aus einer eigenen »/etc/fwknop/access.conf«.
Bin ich am Client beim Eröffnen der SSH-Verbindung nicht schnell genug, schlägt die in »FW_ACCESS_TIMEOUT« eingestellte Zeitbeschränkung des Servers zu. Sie steht normalerweise auf 30 Sekunden, ich habe sie auf eine Minute verdoppelt – ein alter Admin ist ja schließlich kein D-Zug. (jk)
|
Infos |
|---|
|
[1] Fwknop: [http://www.cipherdyne.org/fwknop/] |
|
Der Autor |
|---|
|
|
