Il knockd è un ottimo sistema per poter raggiungere i propri servizi senza necessariamente dove tenere costantemente in ascolto porte che possono essere sollecitate in modo malevolo, vedi accessi vpn e ssh.

Questo si basa sulla sollecitazione di una predeterminata sequenza di porte, che appena riconosciuta dal demone knockd aggiunge delle regole sul firewall per aprire momentaneamente il servizio richiesto.

Fwknockd va oltre questa impostazione utilizzando un singolo pacchetto SPA (SinglePacketAuthorization), che contiene al suo interno tutte le informazioni da passare al firewall. Il pacchetto così composto, cifrato, non replicabile e autenticato da una chiave HMAC, è ricevuto dal demone fwknockd, che provvede alla creazione di una acl con mittente l’IP sorgente verso il servizio interno (anche natted).

La regola è attiva giusto il tempo (regolabile, default 120sec) di permettere all’applicazione client remota  di aprire un socket sul servizio richiesto ed instaurare la comunicazione, dopo che la connessione è established fwknockd provvede alla rimozione della regola per evitare ulteriori accessi.

 

http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html#design

http://www.cipherdyne.org/fwknop/docs/manpages/fwknop.html

 

 

 

Annunci