Administrace komentářů

Dospěl jsem nakonec k vcelku přijatelnému řešení, které pokrývá několik jevů:

a) blokace pokusů o brute-force na port 22 odkudkoli, pokud není explicitně povoleno jinde jinak (povolíme 1 pokus za 20 vteřin).

b) ťukání na určitý port ze specifického hosta, které funguje tak, že po zaťukání máme jen 3 vteřiny na uskutečnění SSH spojení a poté se port opět uzavře.

Celé to nyní tedy funguje tak, že z povoleného stroje zaťukáme na příslušný port a během následujících 3 vteřin se zalogujeme (b). Nepodaří-li se nám to, holt si počkáme 20 vteřin, než se půjde znova pokusit o SSH spojení (a).

IPTABLES=/sbin/iptables

### AN INTERFACE

INTERNET=eth0

### NOTICE: DEFAULT POLITIC IS TO DROP EVERYTHING AS USUAL

.
.
.

### BLOCK INCOMING SSH BRUTE-FORCE ATEMPTS 
### ONE ATEMPT PER 10 SECONDS ONLY FOR SSH IS ALLOWED                                                                                
                                                                                                                                                                                   
$IPTABLES -N INTERNET_SSH_BF                                                                                                                                                       
$IPTABLES -A INPUT -i $INTERNET \
          -p tcp \
          -j INTERNET_SSH_BF                                                                                                                                                                                                                                                                                                             

$IPTABLES -A INTERNET_SSH_BF -i $INTERNET \
          -p tcp --dport 22 \
          -m recent --update --seconds 20 \
          -j REJECT --reject-with icmp-port-unreachable                                         

$IPTABLES -A INTERNET_SSH_BF -i $INTERNET \
          -p tcp --dport 22 --tcp-flags syn,ack,rst syn \
          -m recent --set \
          -j ACCEPT                                   

### PORT-KNOCKING FROM SPECIFIC HOST
### PORT WILL BE OPNENED FOR 3 SECONDS ONLY
### PORT-KNOCKING IS POSSIBLE FROM ONE HOST ONLY

OPENEDTIME=3
ALLOWEDHOST=10.10.10.10
KNOCKPORT=1600

$IPTABLES -N INTERNET_SSH_PK                                                                                                                                                       
$IPTABLES -A INPUT -i $INTERNET \
          -p tcp -j INTERNET_SSH_PK                                                                                                                          
                                                                                                                                                                                   
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $ALLOWEDHOST \
          -m state --state NEW \
          -p tcp --dport 22 \
          -m recent --rcheck --seconds $OPENEDTIME --name SSH_PK \
          -j ACCEPT
                         
$IPTABLES -A INTERNET_SSH_PK -i $INTERNET -s $ALLOWEDHOST \
          -m state --state NEW \
          -p tcp --dport $KNOCKPORT \
          -m recent --name SSH_PK --set \
          -j DROP 

Jedinou nevýhodou může být, že když někdo bude zrovna provozovat na náš stroj brute-force, tak se také nezalogujeme, dokud brute-force neskončí. To není příjemná představa a je to asi obecná vlastnost všech port-knockingů jen na jeden port. Myslím, že právě možnost zaťukat na posloupnost portů, by to mohla vyřešit, ale nepovedlo se mi zatím vytvořit žádnou funkční implementaci. Dám opět vědět, jak to pokračuje. Nápady jsou stále vítány.