Historias
Slashboxes
Comentarios
 
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

  • Linux
  • Port Knocking
  • Port Knocking
  • Más sobre el tema "Seguridad"
  • También de fernand0

    • Llama a la puerta antes de entrar

    editada por fernand0 el 10 de Febrero 2004, 10:41h   Printer-friendly   Email story
    desde el dept. toc-toc
    Seguridad
    pobrecito hablador nos cuenta: «O cómo tener todos los puertos de un servidor cerrados y aún así entrar cuando queramos. Si sabemos la combinación claro. Port Knocking» También hay un artículo reciente sobre el tema en Linux Journal: Port Knocking.

    Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
    Llama a la puerta antes de entrar | Log in/Crear cuenta | Top | 51 comentarios | Buscar hilo
    Mostrar opciones Umbral:
    Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

    • Al señor editor de la noticia.

      (Puntos:1)
      por septet (8544) el Martes, 10 Febrero de 2004, 11:06h (#263620)
      ( http://barrapunto.com/ | Última bitácora: Martes, 14 Noviembre de 2006, 11:13h )
      Hombre, la noticia tiene su nosequé...

      Pero la introducción que habéis hecho no me parece muy ortodoxa, si se me permite decirlo.

      --
      -| Todo aparato eléctrico protege a su fusible quemándose antes que él |-

    • Perfecto para mi :)

      (Puntos:1)
      por marcansoft (11951) <marcansoftNO@SPAMmarcansoft.com> el Martes, 10 Febrero de 2004, 12:39h (#263666)
      ( http://www.marcansoft.com/ )
      Justo lo que queria: seguro que se puede adaptar, si no es asi ya, a un firewall stealth (sin respuesta) que aun asi haa un log y abra la puerta con la combinacion. Interesante,....

    • Mala idea

      (Puntos:2, Informativo)
      por Tei (4535) el Martes, 10 Febrero de 2004, 12:49h (#263673)
      ( Última bitácora: Viernes, 03 Febrero de 2012, 15:18h )
      Resumiendo algunas cosas que se dijeron en Slashdot sobre el tema:

      Primero, en TCP/IP no esta garantizado el orden en que lleguen las peticiones.
      Segundo, esto es seguridad por la oscuridad, si alguien puede snifar la red, vera facilmente cual es ese "codigo". No es muy distinto de pasar una contraseña en texto claro, *ough..*..
      Tercero, habria que implementarlo en el sistema operativo cuando es una funcionalidad de aplicaciones.

      De todos modos en lugares y momentos concretos seguro que alguien le da una "buena" utilidad. Por ejemplo, los programadores de troyanos los pueden hacer despertar al llamar a ciertos puertos, para que no esten todo el tiempo con algunos puertos abiertos, que es algo bastante escandaloso.

    • Yo estoy haciendome un servidor

      (Puntos:3, Interesante)
      por alvarezzz (863) <reversethis-{ten ... ta} {otnuparrab}> el Martes, 10 Febrero de 2004, 13:29h (#263694)
      ( http://www.cientifico.net/ | Última bitácora: Martes, 22 Junio de 2004, 13:46h )
      epia, lfs, un pic con soporte usb, conectado a un display y a 4 pulsadores, caja de aluminio tamaño caja de suse 9 (es la que me sirvió de referencia).

      El objetivo, un serviodr de todo (aprender), le pondre desde servidor de X, vpn, chat, paginas web, bind (dns), pop, imap, smtp. Una de las cosas que le quería implemetar al firewall es que si se hacían 3 pings del tamaño X con una frecuencia aprox de 2 segundos, se añadiese la ip del remitente de esos paquetes a la lista de host conocidos, hasta media hora despues de la inactividad desde ese host.

      Claro que no es una cosa segura, pero es una capa más.

      Buscando, no encontré nada parecido.

      Todo lo que haga, estará en www.cientifico.net. De momento, tengo a medias el lfs (epia es 686 pero hay que compilar como 486 o 586, o aplicar un patch a gcc, cosa que me ha retrasado), y la caja está casi terminada. El pic me esta siendo dificil encontrarlo, ni en telkron ni conectrol lo tienen, a sí que igual me paso a otra marca (lo que requerirá aprender otro asm).

      Espero tenerlo terminado en una versión estable para finales de verano, y una versión operativa, para finales de abril (Lo uso para programar un microbot que usaré en hispabot).

      :-)

    • Como curiosidad está bien

      (Puntos:1)
      por movzx (10440) <emmaps@movzx.org> el Martes, 10 Febrero de 2004, 13:51h (#263703)
      ( http://barrapunto.com/ | Última bitácora: Jueves, 10 Febrero de 2005, 20:46h )
      pero no le veo aplicación seria en el mundo real. Como apuntan un poco mas arriba, si te snifan la red se va al traste el asunto. Si el objetivo es tener un servidor con todos los servicios filtrados por el firewall, y utilizar algun método para obtener acceso a dicho servicio, se podrian currar un daemon, escuchando en un puerto X (este NO estaria filtrado) y que recibiese peticiones de acceso, del palo "hola soy 1.2.3.4 y quiero acceder al servicio POP3". Luego iptables -A INPUT -i loquesea -s 1.2.3.4 -p tcp --dport 110 -j ACCEPT y ale. Claro que tienes el problema de que necesitas un programa especial en el cliente para enviar las peticiones, pero todo esto usando conexiones seguras y autentificación debe ser mil veces mas seguro que el Port Knocking...
      --
      El correo enviado a emmaps@movzx.org será tratado automaticamente como SPAM.

    • Mmmm, interesante

      (Puntos:1)
      por Setas (5905) el Martes, 10 Febrero de 2004, 13:57h (#263705)
      ( http://www.turegano.net/ )
      La verdad es que es una posibilidad interesante para implementar una puerta trasera de emergencia. Eso sí como ya se ha comentado tiene sus peligros, pero y si no se tratara de una secuencia fija, es decir podriamos convertilo en secuencias de un solo uso (si sólo lo vamos a usar de vez en cuando) o hacer la secuencia función dependiente de elementos como el horario, etc. Además podemos abrir el puerto sólo para una ip y cerrarlo tras la primera conexión (en el caso de protocolos conectados), no sé, se me ocurren miles de combinaciones posibles. Sí, y ya sé que mucha gente lo criticará por no ser 100% seguro, pero ya sabemos que nada lo es y tan sólo podemos poner el máximo de dificultades para que no nos hagan "pupita".

    • Re:HO NO!!!!!!1 3v1l hax0rs en BARRAPURRO!!!!!!11

      (Puntos:2, Divertido)
      por berberechos (11943) el Martes, 10 Febrero de 2004, 14:37h (#263724)
      ( http://barrapunto.com/ | Última bitácora: Lunes, 10 Noviembre de 2008, 09:35h )
      Ten cuidado con el gato, que se te sube al teclado y no hay quien te entienda.
      [ Padre ]

    • Re:Aumentar la seguridad???

      (Puntos:2)
      por cKroom (4729) el Martes, 10 Febrero de 2004, 17:59h (#263790)
      ¿Y si se descubre en el servicio que tiene clave una vulnerabilidad (acuérdedate de sshd) que permite acceder al sistema de forma remota como root sin tener que hacer login?

      Un sistema como el que plantea el artículo ofrecería más dificultades para explotar un servicio determinado, aumentando por ello la seguridad.
      [ Padre ]

    • Re:Buen invento

      (Puntos:1)
      por Tranchete (11613) <tranchete@noquierespam.net> el Miércoles, 11 Febrero de 2004, 09:53h (#263948)
      ( http://www.undercan.com/ | Última bitácora: Miércoles, 08 Septiembre de 2004, 17:15h )
      Me apunto a esa comunidad!!!! yo también sufro el ISA. Eso si, con un PC al lado con Squid por si acaso...
      [ Padre ]
    • 6 respuestas por debajo de tu umbral de lectura actual.