埠碰撞技術(port knocking):
從安全管理的角度來說,開啟的服務埠越多,就越不安全,有道是「明槍易躲,暗箭難防」,因此「系統安全加固服務」中,最常用的方式,就是先關閉無用埠,再對提供服務的埠做訪問控制。而作為遠端管理與維護的人員通常需要開啟一些服務埠,如ftp和ssh,這些服務使用大家熟悉的一些埠,長時間開啟這些埠,往往是「嚴重」的安全隱患。所以能在「需要」的時候才開啟服務,並只對特定的人提供服務,服務完畢埠有恢復關閉狀態,攻擊者就難以利用這個「安全隱患」了,埠碰撞技術提供了比較理想的解決方案。
埠碰撞技術是一種允許服務裝置在使用者按照約定的序列碰撞後,開啟乙個約定的服務埠提供服務的技術。所謂碰撞是由乙個嘗試訪問系統中關閉埠的序列組成,也就是特定埠的連線請求。
說起來,埠碰撞技術的實現很簡單:
1、 開啟固定的埠服務。
如在伺服器上設定為:伺服器接收到同乙個使用者的對埠2048、2049、2055、2058連線序列嘗試後,則伺服器開啟tcp服務埠號28,該使用者可以通過該埠進行遠端工作,連線結束後自動關閉該服務埠。若是防火牆等閘道器類裝置,則在截獲該序列的嘗試後,在訪問列表中增加一條規則來放行該使用者的tcp28資料報,使該連線可以通過防火牆。收到連線關閉命令後,再刪除該規則,恢復對該埠的拒絕服務。
2、 動態開啟埠服務
若需要使用埠碰撞技術開啟的服務埠有多個,或者動態變化服務的埠,在設計伺服器上的碰撞序列時,可以採用在序列中「指定」埠,在序列某個位置上「告之」希望開啟的服務埠。如設定規則為,最後的乙個埠減2000為服務埠好,則碰撞序列為2048、2049、2055、2058、2443時,就是希望開啟443埠的服務。
埠碰撞技術看起來不複雜,對於使用者了說,在正常的連線建立前,又增加了一層「密碼」驗證,可以做個小工具軟體來自動化你每次的碰撞過程,把碰撞序列作為密碼一樣順序發出,就可以直接工作了。並且不僅在防火牆上可以實現(此時伺服器上可以預設開啟該服務埠),而且在伺服器上也可以直接實現。在實現的裝置上增加了乙個匹配的緩衝池,以狀態機的方式跟蹤進入匹配的使用者(源ip),從匹配第乙個埠包,開始啟動狀態機,該使用者後來的包逐個匹配序列,完成乙個進入下乙個狀態,直到整個序列匹配,若有乙個包不匹配,則回到初試狀態。
埠碰撞技術的安全性:
既然,埠碰撞技術實現起來不麻煩,對於工作人員(使用人少的服務合適,若大量使用者的功能顯然不適合)的「特殊」服務需求的開啟就很方便,那它的安全性有問題嗎?
「密碼」類的防護有兩種「天敵」,一是密碼簡單,很容易猜測,因為帳號一般不是保密的,即使是系統預設的一些系統管理的高階帳號,所以容易破解。二是暴力破解,目前128位的密碼破解的時間已經縮短到小時級別,所以密碼類防護技術,目前的方式大多的增加長度與組合。
埠碰撞採用埠號的組合方式,有些類似密碼,但首先埠序列本身沒有含義,是使用者自己設定的,所以不容易猜測,埠號理論上有六萬多個,沒有開啟服務的都可以拿來做碰撞使用,組合數量也很龐大。其次,碰撞序列的長度不固定,這讓掃瞄類的破解工具很「頭痛」,因為不知道何時為猜測的結束。再次,也是最重要的一點,碰撞可以採用與連線的初始包一樣包做碰撞,也可以不一樣,如採用特殊標記的syn包等。埠碰撞是探測伺服器沒有開啟的服務埠,伺服器的回覆(很多是不理睬)不能說明你現在是否是匹配的,即使你「有幸」找到了碰撞序列,但下乙個資料報應該是你開始正常連線的資料報,而這時若選錯了,前邊的「匹配」立即「歸零」,因此,該技術抗掃瞄的能力是很強的。
Powershell的遠端管理
powershell有強大的遠端管理功能,但是現在遇到個問題,我們之前的客戶端作業系統都是預設安裝的,沒做預設設定,請問如何通過gpo將所有和遠端有關的設定都搞定啊?到底要設定哪些個選項?我的環境是win7 win2008r2。我歸納下,不知道有無遺漏 1.winrm,bits服務開啟 2.防火牆a...
遠端管理技術對伺服器管理的影響
遠端管理技術對伺服器管理的影響 遠端管理伺服器是系統管理員的基本功課,也是管理伺服器的主要手段,當前伺服器的管理主要分成兩大陣營 windows 伺服器管理和類 unix 伺服器管理 包括 linux unix 在遠端管理使用的工具上,兩者有比較大的差異。但從本質來講,更應該關注效率和安全。一 wi...
遠端管理技術對伺服器管理的影響
遠端管理技術對伺服器管理的影響 遠端管理伺服器是系統管理員的基本功課,也是管理伺服器的主要手段,當前伺服器的管理主要分成兩大陣營 windows 伺服器管理和類 unix 伺服器管理 包括 linux unix 在遠端管理使用的工具上,兩者有比較大的差異。但從本質來講,更應該關注效率和安全。一 wi...