TCP Knocking. TCP Knocking fornisce un'implementazione a portata di porta.
Scarica ora

TCP Knocking. Classifica e riepilogo

TCP Knocking. Tag

TCP. accesso remoto porta colpi bussare al porto Attuazione bussatura

TCP Knocking. Descrizione

TCP Knocking fornisce un'implementazione a portata di porta. TCP Knocking fornisce un'implementazione a portata di porta. Un sistema sicuro ha bisogno di una porta aperta in modo che solo le persone autorizzate possano accedere a un determinato servizio e anche il servizio non dovrebbe essere esposto ad aggressori e worm che possono utilizzare le vulnerabilità che esistono nel server di ascolto. Port Knocking è progettato per essere utilizzato come servizio complementare al meccanismo di autenticazione esistente. Ma uno dei più grandi problemi con Port Knocking sta manipolando il firewall con timeouts. Quando viene inviata la sequenza di bussare corretta, il firewall viene modificato per un paio di secondi. Avere il firewall aperto automaticamente per un periodo di tempo renderà a disagio qualsiasi amministratore di sistema. TCP Knocking tenta di risolvere il problema incorporando il bussare alla stretta di mano TCP. TCP Knocking è simile a Port Knocking, ma invece inviare pacchetti UDP con porte segrete, i pacchetti di handshake TCP devono includere i codici secernere. È almeno il sicuro come il bussare a porta e può essere reso sicuro con più indurenza. Stretta di mano TCPModificata: nella normale handshake TCP, il client invia il pacchetto SYN e sceglie un numero di sequenza iniziale casuale. Il server risponde con un pacchetto con un set di flag SYN e ACK, scegliendo una casuale La handshake TCP modificata utilizza i campi vuoti nell'intestazione. Il server non risponde alle richieste di connessione senza un codice speciale generato insieme al pacchetto SYN. Il server crittografa anche l'ISN nel pacchetto ACK (2) e il pacchetto finale del handshake a tre vie deve avere il corretto conferma per i server non è. Il sistema è ulteriormente protetto dagli attacchi di forza bruta chiudendo la connessione se il primo tentativo per il terzo pacchetto non ha la sequenza di riconoscimento previsto. Inoltre, anziché utilizzare tecniche di crittografia convenzionali come HMAC per la verifica, questo sistema utilizza un file con casuale numeri come chiave. Questo a causa dello spazio limitato non utilizzato disponibile nell'intestazione TCP / IP che rende HMAC molto debole. Utilizzando un file condiviso, la lunghezza della chiave può essere molto maggiore dei sistemi tradizionali e anche se alcune parti della chiave possono essere rivelate dagli attacchi, il server può proteggersi dagli attacchi di replay. La handshake: 1) SYN Il pacchetto SYN non utilizza il campo di conferma a 32 bit nell'intestazione TCP come il primo pacchetto per avviare la connessione. Inoltre è possibile utilizzare ulteriormente il IPID a 16 bit per trasmettere informazioni. Nell'attuale implementazione viene utilizzato solo il campo di conferma a 32 bit. Attualmente l'ACK a 32 bit deriva da un file da 64 kb che contiene numeri casuali. L'indirizzo IP dell'Isn e l'IP di origine insieme ai numeri casuali vengono utilizzati per generare questo valore. 2) SYN / ACKThe ISN è crittografato utilizzando i numeri casuali dal file da 64 kb utilizzando l'indirizzo IP di destinazione e un numero casuale a 16 bit utilizzato come IPID. Non ho ancora il codice per questa parte. 3) ACKL Il client decrittografa il numero di syn dal syn crittografato, il file chiave, il file IPID a 16 bit e il proprio indirizzo IP e invia il pacchetto ACK. Il server chiude tutte le connessioni dal client per un paio di minuti se invia un valore ACK errato. Parte della sicurezza si basa sul fatto che l'ISN generato da Linux 2.6 è abbastanza casuale. Implementazione: ho implementato solo la prima parte, che è il server che si aspetta il codice segreto insieme al primo pacchetto Syn dal client. Quindi è molto possibile rafforzare il server. Anche il sistema è progettato con la seconda fase in mente, che è il numero di sequenza iniziale crittografato nel pacchetto ACK e chiudendo la connessione se il corretto ACK non viene inviato al primo tentativo. Non ho ancora un'implementazione per questo. La sicurezza sarà aumentata notevolmente quando la seconda fase è incorporata. Anche la possibilità di rilevare gli attacchi di forza bruta può essere aggiunto a questo sistema. Ma il sistema corrente può essere utilizzato per proteggere il server da worm e scansione casuale. Il caso d'uso è simile a Port Knocking ma non utilizza il brutto sistema di apertura del firewall per un paio di secondi. Anche il porto di vaniglia che bussa è suscettibile anche agli attacchi di forza bruta. Inoltre, inserire un modulo del kernel a SSH nel tuo server aumenterà i tuoi punti sysadmin pazzi. Cosa c'è di nuovo in questa versione: · TCP Knocking con la fase 1 del protocollo è stato implementato.

TCP Knocking. Software correlato