Fwknop

Fwknop je bolje rijesenje ili sigrunija alternativa knockd korsiti single pocket autch i salje jedinstveni aes paket kao znak auth onda ovaj ist otvara port kojem clinet moze pristupiti

Evo dole neki HowTo na brzaka
http://jasminklipic.blogspot.de/#!/2012/06/fwknop-debian-squeeze.html

Nikad mi postojanje ovihj port knocking servisa nije bila opravdana… Mislim, sa koliko to ti, kao administrator, lokacija (IP adresa) pristupas pa da ti je ovako nesto korisno i sta fali obicnom iptablesu sa limitiranjem na par source IP adresa ?

I plus… necu da instaliram kompajlere na binary distro : )

Ispravno pitanje, ali fwknop je itekako opravdan :slight_smile:

  • Maskiranje/zatvaranje servisa/portova sa polja
  • Pristup samo clientu koji ima KEY (iptables te nemoze autentifzirati putem passworda, znaci IP spoofing je opasnost dok fwknop nudi i pgp key auth)
  • pristup sa dinamicne adresse ipak putem key dok iptables ili pusta sve ili samo odredjenu adresu i mora da joj vjeruje
  • zastita od brute-force napada sto cini fail2ban i sl obsolete (a samim tim je fail2ban malo i opasan)

i jos par :slight_smile:

Da ali je cinjenica da su ovakve stvari korisne samo za SSH ili neke slicne servise (neces 80,443,21 itd sa ovim raditi) prema tome osim ako se tebi, kao nekom ko treba da pristupi masini, ne mjenja IP… ne vidim korist. Cak i ako ti se mjenja IP bolje je imati neku malu remote masinu (VPS) pa sa nje pristupati i onda A INPUT -s x.x.x.x/32 -p tcp -m tcp --dport 22 -j ACCEPT . S ovim si rijesio i bruteforce i sve ostalo…

Na stranu sigurnost navedenog alata, ali ako pustas na SSH bilo koga random… nesiguran si :smiley:

grijesis razmisli malo :slight_smile: mali tip:

sem toga spomenuo sam ip spoofing iptables te nestiti od toga :wink:

ne samo port 22 vec svi servisi koji trebaju da se zastite i svaki pristup integrises komunikaciju sa fwknop
zasto ne 21 i zasto ne 443 i zasto ne 80

ja ne govorim o obicnom shvatanju security i zasticavanjem iptablesima vec mogucnosti otavranja porta po potrebi i samo odredjenim korisnicima i odredjenim servisima
dali to bila baza podatka dali web server ili bilo sta drugo i to ide sigurnije fwknop-om i otvara mnoge mogucnosti

ali naravno svako ima pravo na svoje misljenje ali ne i na argumente :slight_smile: up to you

OK, to ima smisla… Samo ja za setup gdje se port 80 otvara po potrebi jos nisam cuo (i ako jesam to je bio Allow From … ).

Zato ovo moje gore… : )