Pomysł

Port knocking jest jedną z metod zabezpieczeń. Działa to w ten sposób, że klient otwiera połączenia do serwera na wskazane porty w ścisłej kolejności. Po przechwyceniu takiej sekwencji, serwer otwiera jakiś inny port, dzięki czemu jest możliwe połączenie np. SSH.

Zaprezentowany tu pomysł jest uproszczeniem wspomnianej idei. Klient otwiera stronę i po uwierzytelnieniu, czyli podaniu nazwy użytkownika i hasła, serwer otwiera port (lub porty) dla klienta. Największymi zaletami są: dodatkowe sprawdzenie uprawnień (bo klient musi się zalogować) oraz uniezależnienie się od dodatkowego oprogramowania używanego do standardowej techniki port knocking.

Trzeba pamiętać, że uwierzytelnianie podstawowe (HTTP Basic) jest bardzo łatwe do podsłuchania i użycia przez innych, dlatego zalecane jest włączenie szyfrowania (TLS).

Wymagania

• apache (lub lightdm) + php
• iptables
• dtach
• inotify-tools
• crontab
• konto root

Opis działania

Klient wchodzi na stronę allow.php, wpisuje nazwę użytkownika i hasło. Jego adres IP jest pobierany i zapisywany do katalogu good-ip.

Dzięki skryptowi dirwatch.sh uruchomionemu jako root (tylko on może wykonywać iptables) plik utworzony przez allow.php zostaje "zauważony".

Zostaje uruchomiony skrypt allow.sh z jednym parametrem - nazwą pliku, w którym został zapisany adres IP. Adres IP zostaje wczytany i reguła dopuszczająca IP klienta jest dodawana do łańcucha reguł GOOD.

Reguły iptables są konfigurowane dzięki /etc/network/if-pre-up.d/firewall, który wczytuje reguły firewalla przy nawiązaniu połączenia sieciowego z plików /etc/ip6tables.firewall.rules oraz /etc/iptables.firewall.rules.

Dodatkowo dzięki crontab skrypt monitorujący dirwatch.sh jest uruchamiany przy starcie systemu.

Konfiguracja

Aby przetestować działanie port knocking wystarczy uruchomić (pamiętając o zamianie nazw katalogów na właściwe):

/root/dirwatch.sh /var/www/html/portknocking/good-ip/ /root/allow.sh

Po wejściu na stronę allow.php w konsoli powinny wyświetlić się informacje o próbie dodania adresu klienta do łańcucha reguł. Można też skorzystać z programu curl:

curl -u user:password https://devsite.pl/portknocking/allow.php

allow.sh

Główna część konfiguracji. Skrypt przyjmuje adres IP jako parametr, sprawdza czy już wcześniej nie był dodany do łańcucha GOOD reguł iptables i go dodaje.

#! /usr/bin/env bash

REGEXP_IP='([0-9]{1,3}[\.]){3}[0-9]{1,3}'

listGood() {
	iptables -nL GOOD | \
		awk '{print($4);}' | \
		grep -E "$REGEXP_IP" | \
		sort -t . -k 1,1n -k 2,2n -k 3,3n -k 4,4n
}

help() {
cat <<EOF
Allowed IPs manager.

Parameters
	-l, --list	list good ips
	-r, --reset	reset firewall
	-h, --help	show this help
EOF
}

if [[ "$1" == '-h' || "$1" == '--help' ]]; then
	help
	exit 0
fi

if [ "$EUID" -ne 0 ]; then
	echo "Please run as root."
	echo "Run `basename $0` --help for help."
	exit 3
fi

if [[ "$1" == '-l' || "$1" == '--list' ]]; then
	listGood
	exit 0
elif [[ "$1" == '-r' || "$1" == '--reset' ]]; then
	/etc/network/if-pre-up.d/firewall
	RESULT=$?
	exit $RESULT
elif [[ "$1" != "" ]]; then
	echo "Checking $1 on `date`"
	if [ -f "$1" ]; then
		echo "It appears to be a file"
		IP=`head -n 1 "$1" | grep -E "$REGEXP_IP"`
	else
		IP=`echo "$1" | grep -E "$REGEXP_IP"`
	fi
	if [[ "$IP" != "" ]]; then
		echo "$IP appears to be an IP"
		found=`listGood | grep -F "$IP"`
		if [[ "$found" == "" ]]; then
			echo "Addig $IP to good-list"
			iptables -A GOOD -s "$IP" -j ACCEPT
			RESULT=$?
			exit $RESULT
		else
			echo "$IP is already good-listed"
			exit 0
		fi
	else
		echo "$1 is not an IP"
		echo "Run `basename $0` --help for help."
		exit 2
	fi
else
	echo "Run `basename $0` --help for help."
	exit 1
fi

dirwatch.sh

Skrypt ten jest odpowiedzialny za monitorowanie katalogu (przy użyciu inotifywait). Jeśli plik zostanie zamknięty po zapisaniu close_write uruchamiany jest skrypt podany jako parametr.

Aktualna wersja skryptu znajduje się w repozytorium.

#! /usr/bin/env bash

help() {
cat <<EOF
Watch given dir for created files using inotify-tools.

Usage:
	`basename $0` directory commands and parameters

The script executes [commands and parameters] [created file]
for every created file and DELETES the file.
EOF
}

fail() {
	echo $*
	echo "Run `basename $0` --help for help."
	exit 1
}

if [[ "$1" == '-h' || "$1" == '--help' ]]; then
	help
	exit 0
fi

if [[ "$1" == "" ]]; then
	fail "This script needs at least two parameters."
fi

pushd "$1" >/dev/null || fail "Cannot cd into the directory $1"
DIR="`pwd`/"
popd >/dev/null
shift

if [ ! -d "$DIR" ]; then
	fail "Directory $DIR does not exist."
fi

if [[ "$1" == "" ]]; then
	fail "This script needs at least two parameters."
fi

inotifywait -m -e close_write -r "$DIR" | \
	while read l; do \
		l=${l/*CLOSE /}; \
		[ -f "${DIR}${l}" ] && \
			$* "${DIR}${l}" && rm -f "${DIR}${l}" || \
			echo "Given command returned non-zero for ${DIR}${l}."
	done

/etc/network/if-pre-up.d/firewall

W Ubuntu jest to plik, który jest uruchamiany przy nawiązaniu połączenia sieciowego. Musi być wykonywalny.

#! /usr/bin/env sh
/sbin/iptables-restore < /etc/iptables.firewall.rules
/sbin/ip6tables-restore < /etc/ip6tables.firewall.rules

/etc/iptables.firewall.rules

Jest to przykładowa konfiguracja. Tworzony jest łańcuch reguł GOOD, do którego dodawane są numery IP autoryzowanych klientów.

Dla każdego portu (w przykładzie 22), który ma być chroniony, są dodane dwie linie:

-A INPUT -p tcp --dport 22 -j GOOD
-A INPUT -p tcp --dport 22 -j DROP

Pierwsza z nich powoduje przeskoczenie filtrowania do łańcucha GOOD, a druga zabrania dostępu do portu.

*filter

-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-N GOOD

-A OUTPUT -j ACCEPT

-A INPUT -p tcp --dport 443 -j ACCEPT

-A INPUT -p tcp --dport 22 -j GOOD
-A INPUT -p tcp --dport 22 -j DROP

-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

/etc/ip6tables.firewall.rules

Reguły dla IPv6. Jeśli w systemie IPv6 jest wyłączony, nie jest konieczne ich dodawanie.

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT

-A INPUT	-m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT	-p ipv6-icmp -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT

COMMIT

crontab

Pierwszy wpis resetuje otwarte porty codziennie, o piątej rano. Druga linia uruchamia skrypt monitorujący katalog good-ip.

0 5 * * *	/etc/network/if-pre-up.d/firewall
@reboot	dtach -n /tmp/dtach.allow.ip /root/dirwatch.sh /var/www/html/portknocking/good-ip/ /root/allow.sh &

allow.php

Należy utworzyć katalog good-ip i umożliwić zapisywanie do niego innym użytkownikom (np. chmod 777 good-ip), ponieważ domyślnie Apache jest uruchomiany jako użytkownik apache.

<?php
@set_time_limit(0);
@error_reporting(E_ALL ^ E_NOTICE);

header("Expires: Tue, 03 Jul 2001 06:00:00 GMT");
// header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate, max-age=0");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");

if($_SERVER['HTTP_CLIENT_IP']) {
		$ip = $_SERVER['HTTP_CLIENT_IP'];
} else if($_SERVER['HTTP_X_FORWARDED_FOR']) {
		$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else if($_SERVER['HTTP_VIA']) {
		$ip = $_SERVER['HTTP_VIA'];
} else if($_SERVER['REMOTE_ADDR']) {
		$ip = $_SERVER['REMOTE_ADDR'];
} else {
		$ip = "?";
}
echo $ip;
$f = "good-ip/" . $ip . ".ip";
$fh = fopen($f, 'w') or die("can't open file");
fwrite($fh, $ip);
fclose($fh);
?>

VirtualHost

Utworzenie pliku z hasłem:

htpasswd -c /etc/htpasswd username

Konfiguracja aplikacji (w Ubuntu /etc/apache2/sites-enabled/domena.conf):

Alias /portknocking /var/www/html/portknocking
<Directory "/var/www/html/portknocking">
	AuthUserFile /etc/htpasswd
	AuthType Basic
	AuthName "devsite.pl http port knocking authentication"
	Require valid-user
</Directory>

Linki

• Port knocking na Wikipedii
• Port knocking na Wikipedii po polsku
• Port knocking na ArchWiki