Por Federico Pereira, FMSI Sistemas de Informática

Cómo instalar y configurar knockd, un demonio de port-knocking

El port-knocking una técnica de seguridad muy peculiar, tan sencilla como eficaz. Sirve para no dejar expuesto un puerto ante el público general, evitando que sea vulnerable ante muchos ataques e incluso ante simples escaneos de puertos.

El uso más habitual es ocultar el puerto del servidor SSH, y para eso lo vamos a usar en la receta. La idea es que la máquina aparentemente no tiene ningún puerto abierto (de eso se encarga el firewall) pero al realizar intentos de conexión a ciertos puertos (cerrados), el demonio abre temporalmente el puerto “oculto” (con ayuda del firewall) y el cliente puede entonces realizar la conexión.

El nombre de la técnica “knock” es por el sonido que hacen los nudillos al golpear una puerta (al menos para los ingleses). Así que es el equivalente a las claves de golpecitos que das en una puerta para que sepan que eres tú… Ingredientes

• knockd (paquete Debian)

• Habilitar el servidor en /etc/default/knockd

################################################
#
# knockd's default file, for generic sys config
#
################################################

# control if we start knockd at init or not
# 1 = start
# anything else = don't start
START_KNOCKD=1

# command line options
KNOCKD_OPTS="-i eth0"

Iniciar demonio:

/etc/init.d/knockd start

iniciar el demonio en el inicio de la maquina:

update-rc.d -f knockd defaults

• Escribir un fichero /etc/knockd.conf de configuración, por ejemplo:

[options]
        logfile = /var/log/knockd.log

  [opencloseSSH]
        sequence      = 2222,3333,4444
        seq_timeout   = 15
        tcpflags      = syn,ack
        start_command = /usr/sbin/iptables -I INPUT 1 -s %IP% -p tcp --syn --dport 22 -j ACCEPT
        cmd_timeout   = 10
        stop_command  = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT

Si te fijas, el puerto se abre sólo para la IP que “marca” la secuencia. El programa permite cosas más sofisticadas como:

• Cerrar el puerto con una secuencia diferente, en lugar de con un timeout.
• Usar secuencias de un solo uso.
• Usar una secuencia almacenada en un fichero (que puedes subir al servidor por ftp, webdav, etc)

El cliente necesita un programa que realice intentos de conexión a los puertos de la secuencia y después intente abrir la sesión SSH. Lo más fácil es:

$ knock server.example.org 2222 3333 4444; ssh usuario@server.example.org

Lo más cómodo es hacerte un scriptillo, que tendrás que poner a buen recaudo si tiene la secuencia en claro. Conclusiones

Aunque parezca una medida un tanto paranoica, lo cierto es que es tan sencillo de utilizar que merece la pena, aunque sea sólo para ahorrarte los intentos de intrusión SSH con ataques por fuerza bruta.

para ver el log de knockd

tail -f --follow=name /var/log/knockd.log