SSH com KNOCKD – Fechando a porta com o serviço funcionando
Olá pessoal, vou falar brevemente sobre o knockd (instalação e utilização).
O knock serve para deixar a porta do ssh fechada, você poderia fazer isso utilizando o iptables, porém, você não conseguiria utilizar o serviço do ssh na máquina server. Por isso o knock vem com essa ajuda, com uma sequência de “toques” por isso o nome knock ele abre a porta do ssh, interessante não ?!
Chega de papo vamos ao que realmente interessa !
Na máquina que você deseja implementar o serviço knockd utilize este comando
aptitude install knockd
Após a instalação, falta algumas configurações o arquivo “knockd.conf”
nano /etc/knockd.conf
Na área [OpenSSH] iremos alterar apenas a linha sequence, mas se a porta do seu servidor ssh for diferente da padrao 22 ( que é o recomendável alterar ) na linha command adicione a porta.
Por padrão o knockd vem com as sequências 7000, 8000, 9000. Algum invasor com experiência irá saber valores default, coloquei os valores 70,80,90 para este tutorial, fique a vontade para mudar estes valores ao seu critério.
Agora na área [closeSSH] configure como antes, mas está configuração serve para fechar a porta ssh, e escolha a sequencia desejada 😉
Ainda falta a configuração do arquivo /etc/default/knockd
nano /etc/default/knockd
Altere o parâmetro “START_KNOCKD” de 0 para 1, assim o serviço sempre será executado quando o seu servidor for inicializado.
Em “KNOCKD_OPTS” deixe a interface que o seu servidor trabalha, no meu caso foi a eth0.
Agora vamos para a curiosidade, o serviço ssh está funcionando, se formos fazer um scan no nmap ele iria nos retorna este resultado.
Agora no seu servidor execute estes comandos
service knockd start
iptables -P INPUT DROP
Agora, scaneando novamente a máquina com o nmap, pode ver que a posta 22 do serviço do ssh está fechada.
Você pode tentar o acesso via ssh
ssh root@192.168.100.9
Mas não vai conseguir, porque a porta está fechada !
A porta está fechada e agora ? Agora vamos abrir, utilizando aquele sequencias de toques que configuramos.
knock 192.160.100.9 70 80 90
Agora a porta ssh está com a porta aberta, use o nmap para fins de curiosidade. E pode fazer o login normalmente via ssh.
Para fechar a porta é a mesma lógica usada anteriormente.
knock 192.168.100.9 900 800 700
E pode dizer adeus para bruteforce ou qualquer curioso que tentar acessar seu server via ssh.
Abraços.