Knockd - Erfahrungen?

Ganzjahresgriller · 22. November 2022

Hallo zusammen,

gibt es dazu Erfahrungen? Scheint ja eine recht gute Möglichkeit zu sein den SSH zu verstecken

SW

m_ueberall · 24. November 2022

Ich nutze knock schon eine ganze Weile (für Verbindungen außerhalb des eigenen VPN) und bin sehr zufrieden damit, man kann sich fail2ban und/oder willkürliche Nichtstandardportauswahlen für die entsprechenden Dienste sparen. Wie bei allen Schlüsselsequenzen sollte man ggf. eine regelmäßige Änderung vorsehen.

aRaphael · 24. November 2022

Und wie nutze ich das dann per ssh-Client?

m_ueberall · 24. November 2022

Zitat von aRaphael

Und wie nutze ich das dann per ssh-Client?

Zeitnah vor der Ausführung von ssh […] [remoteuser:]remotehost […] ist einfach jeweils knock remotehost […] aufzurufen ([…]-Vorgaben lassen sich in den jeweiligen Konfigurationsdateien hinterlegen, also /etc/ssh/ssh_config bzw. ~/.ssh/config und /etc/knockd.conf).

Leider ist es meines Wissens bislang nicht direkt möglich, einen hook für ssh zu definieren, welcher automatisch für den Aufruf sorgt, wenn bestimmte Hosts kontaktiert werden. Man kann sich aber ein ssh-Wrapper-Skript erstellen, welches mittels PATH-Initialisierung oder /etc/alternatives/ssh aufgerufen wird und dies leistet.

Tipp: Insbesondere, wenn man UDP-(Teil-)Sequenzen zur Portöffnung für die anklopfende IP-Adresse verwendet und/oder das Timeout etwas knapp gewählt ist, kann natürlich auch einmal ein Paket verloren gehen, wodurch die Sequenz nicht erkannt wird; hier schadet wiederholtes Anklopfen nicht.

aRaphael · 24. November 2022

Zitat von m_ueberall

Zeitnah vor der Ausführung von ssh […] [remoteuser:]remotehost […] ist einfach jeweils knock remotehost […] aufzurufen

Was auf meinem Windowsrechner, von dem aus ich mich per Bitvise-ssh-Client immer mit meinen Servern verbinde aber wohl von Haus aus nicht so einfach gehen wird.

m_ueberall · 24. November 2022

Zitat von aRaphael

Was auf meinem Windowsrechner, von dem aus ich mich per Bitvise-ssh-Client immer mit meinen Servern verbinde aber wohl von Haus aus nicht so einfach gehen wird.

Laut Anleitung können BvSsh alle erforderlichen Parameter übergeben werden, um (direkt) einen bestimmten Host zu kontaktieren. Erstellt man eine Verknüpfung zu einem host-spezifischen Batch-Script, kann in die Zeile davor einfach der erforderliche knock-Aufruf. Eine Host-Auswahl per Menü ist auf diese Weise allerdings eher schwierig. (Aber es gilt ja „no pain, no gain“ )

Ganzjahresgriller · 25. November 2022

aRaphael: evtl. hilft das https://www.epinox.de/de/windows/port-knocking-tool.html

aRaphael · 25. November 2022

Zitat von m_ueberall

Laut Anleitung können BvSsh alle erforderlichen Parameter übergeben werden, um (direkt) einen bestimmten Host zu kontaktieren. Erstellt man eine Verknüpfung zu einem host-spezifischen Batch-Script, kann in die Zeile davor einfach der erforderliche knock-Aufruf. Eine Host-Auswahl per Menü ist auf diese Weise allerdings eher schwierig. (Aber es gilt ja „no pain, no gain“ )

Na das mit dem Skript und dass es keine Menüauswahl gibt hatte ich auch nicht als Hürde angesehen , sondern dass ich ja erstmal irgendwie ein "knock" auch auf Windows ausführen kann.

m_ueberall · 25. November 2022

Zitat von aRaphael

Na das mit dem Skript und dass es keine Menüauswahl gibt hatte ich auch nicht als Hürde angesehen , sondern dass ich ja erstmal irgendwie ein "knock" auch auf Windows ausführen kann.

Im WSL sollte eigentlich auch das funktionieren (wenn man kein Windows-Pendant verwendet), da iptables die Windows-Firewall ansteuern kann.

Vielleicht testet das ja mal jemand und gibt hier Rückmeldung? Das von Ganzjahresgriller empfohlene Windows-Programm ist aber wohl der einfachere Weg.