Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

За ЧЗВ.нет

Идеята е да служи за хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ), но ограничения няма да слагаме. Та ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Последни статии

Блогове

абонаменти

Защита на отворени портове

January 13th, 2008 от singu

Появи се нов проект за защита на отворени портове на дадена машина - като алтернатива на portknocking. Генерално, човек има няколко избора за защита, когато трябва да пусне някаква услуга на машината си, а услугата не може/не трябва да бъде защитена чрез самият сървър:

  • пускане на нестандартен порт - практиката показва, че използването на нестандартен порт спестява огромна част от опитите за проникване, както и затруднява идентифицирането на конкретната услуга. В повечето случаи това е лесно да се направи и е добра защита за по повърхностен портскан. При по-задълбочено наблюдение и сканиране обаче, нестандартният порт излиза наяве и се връщаме обратно на изходна позиция. Типичен пример - http сървър, работещ на порт 3442, ssh сървър на порт 37999
  • portknocking - всички портове са затворени, така че дори и обстоен портскан не дава никакъв резултат, но след последователни опити за връзка на определени портове в рамките на няколко секунди се отваря порта на избраната услуга. Например - след заявки на портове 34842, 2049 и 16542 се отваря порт 22 за достъп от адреса, иницииращ заявките. Важно е портовете да не са последователни, за да не бъде задействан механизмът от обикновенно сканиране. Самите заявки могат да се генерират и на ръка ( telnet <host> <port> ) или да се използва инструмент за целта.
  • shimmer - новият проект, на който се натъкнах. Тук във всеки един момент има отворени 16 порта, при което при опит за връзка на 15 от тях, адресът опитал връзката директно отива в черният списък. Един единствен порт води то услугата. Хитрото е, че 16-те отворени порта се сменят на всяка минута по определен алгоритъм, базиран на парола. Идеята е, че оторизираният за връзка човек ще знае паролата и ще стартира софтуер на собствената си машина, който ще следва отвореният порт на услугата, когато скача1

Личното ми мнение е, че shimmer защитата е прекалено усложнена и сътветно - трудна за подкарване ( най-малкото изисква много добро синхронизиране на часовниците на клиента и сървъра ), но пък кой знае - сигурно има специфичен случай, в който точно този тип защита ще бъде идеалното решение.

_________
  1. подобна идея е реализирана в Frequency-hopping spread spectrum модулацията, но на хардуерно ниво [обратно ↩]

Публикувано в Мрежи, Сигурност, ЧЗВ |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.