De qué manera usar las llamadas a puertos en Linux para resguardar los servicios SSH

Golpe de puerto Es una tecnología fantástica para supervisar el ingreso a los puertos al dejar que solo los clientes lícitos accedan a los servicios que se ejecutan en el servidor. La manera en que marcha es que el cortafuegos con gusto va a abrir los puertos bloqueados si el orden de los intentos de conexión es preciso.

La lógica tras las llamadas a los puertos es resguardar su sistema Linux de los escáneres de puertos automáticos que procuran puertos libres. Esta guía le mostrará de qué forma disponer y modificar la activación de puertos para resguardar el servicio SSH, la vamos a usar para objetivos de demostración. Ubuntu 18/04.

Paso 1: pegar. disponer y modificar

Primero comience sesión en su sistema Linux y también instale ataque El demonio es aparente en la fotografía.

$ sudo apt install knockd

En el momento en que se complete la instalación, abra Fichero de configuración Utilice su editor de artículo preferido para modificar. Aquí nos encontramos utilizando el editor de artículo de línea de comandos de vim.

$ sudo vim /etcétera/knockd.conf

El fichero de configuración ya establecido se expone ahora.

Realice click en el perfil

abajo [openSSH] Requerimos cambiar la una parte de la secuencia de tomas estándar: 7000,8000,9000 -A otra cosa. En verdad, estos valores son populares y tienen la posibilidad de poner en una situación comprometedora la seguridad de su sistema.

Establecemos el valor con objetivos de prueba 10005, 10006, 10007Esta es la secuencia usada para abrir el puerto SSH desde el sistema cliente.

En la tercera línea de pedido, Cambiar -A Una suerte de -I Poco tras /sbin/iptables Orden y antes INPUT.

Abajo por fin [closeSSH] En esta sección, cambie el orden por defecto a su opción preferida. Esta es la secuencia usada para cerrar la conexión SSH una vez que el usuario sale y se desconecta del servidor.

Esta es nuestra configuración completa.

Haga clic en Configurar ajustes — Realice click en Modificar cambios

En el momento en que haya terminado, guarde los cambios y salga del programa.

La otra configuración que debemos cambiar es / etcétera / default / knockdÁbralo nuevamente con un editor de artículo.

$ sudo vim /etcétera/default/knockd

Se superan los ajustes de configuración predeterminados — Se sobrepasan los cambios de configuración por defecto

Halla la línea START_KNOCKD=0Quite el comentario del valor y establézcalo en 1.

Entonces ve a la fila KNOCKD_OPTS=”-i eth1” Descomentar y sustituir el por defecto eth1 El valor de el diseño de red activa del sistema. Para contrastar su plataforma de trabajo de red, sencillamente ejecute el comando ip addr o ifconfig.

Para nuestro sistema, enp0s3 Es una tarjeta de red activa.

Interfaz de red activa — Plataforma de trabajo de red activa

La configuración completa se expone en la figura.

Cumplir con el valor de configuración — Realizar el valor de configuración

Guarde los cambios y salga del programa.

Entonces comienza y activa ataque El demonio es aparente en la fotografía.

$ sudo systemctl start knockd
$ sudo systemctl enable knockd

De qué forma revisar el estado ataque Daemon, ejecuta el comando:

$ sudo systemctl status knockd

Verifique el estado de la explosión — Compruebe el estado de la explosión

Paso 2: cierre el puerto SSH 22 en el cortafuegos

Por el gol ataque servicio es aceptar o denegar el ingreso al servicio SSH, cerraremos el puerto SSH en el cortafuegos. Pero primero verifiquemos el estado del cortafuegos UFW.

$ sudo ufw status numbered

Verificar el estado de la UFW — Contrastar el estado de la UFW

Lo podemos consultar precisamente en la salida. SSH Puerto Rico veintidós Los dos libres IPv4 sí IPv6 Número de registro 5 sí 9 respectivamente.

Como exhibe la figura, requerimos remover estas 2 reglas empezando con el valor mucho más prominente y después 9.

$ sudo ufw delete 9
$ sudo ufw delete 5

Eliminar reglas de UFW — Remover reglas de UFW

En este momento, si procura conectarse al servidor de manera recóndita, conseguirá un fallo de tiempo de espera de conexión como se expone en la imagen.

Se agotó el tiempo de espera de la conexión SSH

Paso 3: Configure Knock Client para conectarse al servidor SSH

En el último paso configuramos el cliente y también procuramos conectarnos mandando primero la secuencia de taps que poseemos configurada en el servidor.

Pero instale primero ataque El demonio en el servidor.

$ sudo apt install knockd

Cuando se complete la instalación, use la sintaxis que se expone para mandar la secuencia de clicks

$ knock -v server_ip knock_sequence

En nuestro ejemplo, esto quiere decir:

$ knock -v 192.168.2.105 10005 10006 10007

En dependencia de su secuencia, debería conseguir una salida afín a la nuestra. Esto señala que el intento de ataque fue exitoso.

Secuencia de trazos — Secuencia de encontronazo

En este punto, debería poder conectarse adecuadamente al servidor mediante SSH.

En el momento en que haya terminado de trabajar en el servidor recóndito, cierre el puerto SSH mandando una secuencia de apagado.

$ knock -v 192.168.2.105 10007 10006 10005

Como se expone en la figura, todos y cada uno de los intentos de conectarse al servidor han fallado.

Pensamientos finales

Con esto concluye esta guía sobre la utilización de llamadas a puertos para resguardar el servicio SSH en el servidor. Una manera mejor y mucho más simple es modificar la autenticación de contraseña SSH con unos cuantos claves SSH. Esto afirma que solo los individuos con la clave privada logren autenticarse con el servidor que guarda la clave pública.