SSH com KNOCKD – Fechando a porta com o serviço funcionando

Olá pessoal, vou falar brevemente sobre o knockd (instalação e utilização).

O knock serve para deixar a porta do ssh fechada, você poderia fazer isso utilizando o iptables, porém, você não conseguiria utilizar o serviço do ssh na máquina server. Por isso o knock vem com essa ajuda, com uma sequência de “toques” por isso o nome knock ele abre a porta do ssh, interessante não ?!

Chega de papo vamos ao que realmente interessa !

Na máquina que você deseja implementar o serviço knockd utilize este comando

aptitude install knockd

Após a instalação, falta algumas configurações o arquivo “knockd.conf”

nano /etc/knockd.conf

Edicao knocd.conf

Na área [OpenSSH] iremos alterar apenas a linha sequence, mas se a porta do seu servidor ssh for diferente da padrao 22 ( que é o recomendável alterar ) na linha command adicione a porta.

Por padrão o knockd vem com as sequências 7000, 8000, 9000. Algum invasor com experiência irá saber valores default, coloquei os valores 70,80,90 para este tutorial, fique a vontade para mudar estes valores ao seu critério.

Agora na área [closeSSH] configure como antes, mas está configuração serve para fechar a porta ssh, e escolha a sequencia desejada 😉

Ainda falta a configuração do arquivo /etc/default/knockd

nano /etc/default/knockd

Configuracao do arquivo /etc/default/knockd

Altere o parâmetro “START_KNOCKD” de 0 para 1, assim o serviço sempre será executado quando o seu servidor for inicializado.
Em “KNOCKD_OPTS” deixe a interface que o seu servidor trabalha, no meu caso foi a eth0.

Agora vamos para a curiosidade, o serviço ssh está funcionando, se formos fazer um scan no nmap ele iria nos retorna este resultado.

resultado do scan nmap

Agora no seu servidor execute estes comandos
service knockd start

iptables -P INPUT DROP

Agora, scaneando novamente a máquina com o nmap, pode ver que a posta 22 do serviço do ssh está fechada.

ssh com porta fechada scan nmap

Você pode tentar o acesso via ssh

ssh root@192.168.100.9

Mas não vai conseguir, porque a porta está fechada !

A porta está fechada e agora ? Agora vamos abrir, utilizando aquele sequencias de toques que configuramos.

knock 192.160.100.9 70 80 90

Agora a porta ssh está com a porta aberta, use o nmap para fins de curiosidade. E pode fazer o login normalmente via ssh.

Para fechar a porta é a mesma lógica usada anteriormente.

knock 192.168.100.9 900 800 700

E pode dizer adeus para bruteforce ou qualquer curioso que tentar acessar seu server via ssh.
Abraços.