防火墙安全策略之敲门暗号

最新推荐文章于 2024-08-12 19:30:00 发布
最新推荐文章于 2024-08-12 19:30:00 发布
阅读量1.2k 收藏 1
点赞数

防火墙安全策略之敲门暗号

增强计算机安全性的最后一种方案是最激进的:关闭所有打开的端口,这会让任何攻击都无法攻破您的计算机。

只向能够提供 “秘密敲门暗号” 的用户开放所需的端口,让用户能够输入密码并访问计算机。

敲门守护进程 knockd;它监视敲门序列,当发现有效的序列时执行相应的操作,iptables开放指定的端口给用户。

配置文件

[opencloseSSH]
sequence= 7000,8000,9000
tcpflags= syn
seq_timeout= 15
cmd_timeout= 30
start_command= /usr/sbin/iptables -s %IP% -I input_ext 1 -p tcp --dport 22960 -j ACCEPT
stop_command= /usr/sbin/iptables -s %IP% -D input_ext -p tcp --dport 22960 -j ACCEPT

使用方法

knock the.url.for.your.site 7000
knock the.url.for.your.site 8000
knock the.url.for.your.site 9000
ssh the.url.for.your.site -p 22960 -o ConnectTimeout=10
Password:

flaming999
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[原创]安全系列之端口敲门服务(Port Knocking for Ubuntu 14.04 Server)
weixin_30924087的博客
05-19 888
Port Knocking for Ubuntu 14.04 Server OS:ubuntu 14.04 server 原理简单分析:   端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提...
端口保护——从端口敲门到单包授权
翼安研习社的博客
06-18 2274
作者|司玄 来源| 翼安研习社 发布时间|2021-06-17 0. 背景 为了保证设备的安全性,需要对关键开放端口进行保护。端口隐身是最常见的一种保护方式,可以通过端口敲门(Port Knocking,PK)、单包授权(Single Packet Authorization,SPA)等方式实现。 端口隐身的核心是防火墙规则,通过丢弃所有到达的数据包来实现隐身。防火墙规则中的丢弃(DROP)与拒绝(REJECT)不同,丢弃状态下防火墙会丢弃数据包并且不发送响应,拒绝状态下防火墙丢弃数据包并向数据包客户.
【翻译】用端口敲门绕过防火墙规则并保证安全完整性
Purpleendurer@CSDN
08-02 4391
Use port knocking to bypass firewall rules and keep security intact用端口敲门绕过防火墙规则并保证安全完整性by Jonathan Yarden作者:Jonathan Yarden翻译:endurerKeywords: Security | VPNs | Firewalls | Security applications/tools
Linux 的 Port Knocking 端口碰撞(端口敲门
Reset
08-05 580
端口碰撞是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。在Linux中称为 Knockd服务,该服务通过动态的添加iptables规则来隐藏系统开启的端口,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
防火墙需开通和关闭的端口列表
03-24
防火墙需开通和关闭的端口列表,端口列表。
DC-9靶机-简单谈一下端口敲门技术 (Port Knocking)
薛定谔嘚喵博客
05-23 1970
在打靶机DC-9时,爆破SSH时一直显示失败,经过查阅才知道原来是对端口做了“隐藏”,需要通过 Port Knocking 来主动开启,由于平时接触到的机会不多,所以这里简单记录一下,加强一下印象,也希望能帮助到大家。端口敲门是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确地连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。端口敲门的主要目的是。
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
didiplus
06-28 1394
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
security:Issabel的安全模块。 防火墙,端口中断等
04-10
防火墙配置和设置。 港口敲门。 审核日志。 执照 GPLv2或更高版本 该程序是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。...
knock:端口敲门守护程序
05-13
下面的示例可用于运行严格的(DENY策略)防火墙,只有在成功敲除序列后才能对其进行访问。 客户端在以下端口上向服务器发送四个TCP SYN数据包:38281、293​​74、4921、54918 服务器检测到此情况,并运行ipta
Web 端口敲门的奇思妙想
m0_65129142的博客
12-17 3064
传统的端口敲门 端口敲门是一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。 例如我曾经使用 Windows 服务器时,一直对远程桌面颇为不满。不是因为这个服务做得不好,相反,是做得太好了,以至于一个不知道账号密码的陌生人试着访问时,都会为它绘制窗口、传输画面,服务太过周到了!攻击者即使猜不到密码,也能白白消耗服务器资源和网络流量。况且,越复杂的程序出现漏洞的可能性越大,万一哪天出现缓冲区溢出之类的漏洞,攻击者不用知道密码也能控制服务器。
交易系统解析(六) -- 前台报盘应用设计要点
wqfhenanxc的专栏
07-24 3046
转自 http://blog.sina.com.cn/drwjf 市场参与者每日使用的交易所应用程序是前台报盘程序EzOES。上交所在开发建设新交易系统过程中,广泛吸收处理不同会员的反馈意见,使得EzOES可为市场参与者提供更高的报盘速率、更易用的操作界面、更快捷的成交回报以及更简单的备份切换流程等特征。 为使得广大市场参与者能够更好地理解和使用EzOES,这里把一些高层设计理念分享出来。如果大家还有更好的主意,也请反馈。 一、跨市场统一架构以及开放性监控接口 二、层次接入模型以及多环境概念 三、防重复登录
打造坚固的SSH防护网:端口敲门入门指南
todoitbo的博客
06-24 4553
本文将介绍一种有效提升SSH安全性的技术——端口敲门。通过设置特定的端口序列来开启SSH访问,这种方法可以有效防止恶意扫描和暴力破解。文章将详细讲解端口敲门的工作原理、配置步骤及其在实际应用中的注意事项,帮助读者打造更为坚固的SSH防护网。
如何在Linux上使用端口敲门(以及为什么不应该这样做)
cum43546的博客
10-07 3317
Photographee.eu/ShutterstockPhotographee.eu/ShutterstockPort knocking is a way to secure a server by closing firewall ports—even those you know will be used. Those ports are opened on demand if—and on...
LInux - 一文了解 ssh端口敲门knock
最新发布
小工匠
08-12 997
是一种网络安全措施,用于防止未经授权的访问。通过端口敲门,可以动态地在防火墙上打开指定端口(如SSH端口),仅允许符合特定敲门序列的用户访问。此技术通常用于隐藏重要服务(例如SSH),以防止暴力破解或其他未经授权的攻击。在此配置中,当用户按顺序敲击7000、8000、9000端口时,防火墙会打开22端口(SSH端口);反向敲击(9000、8000、7000)则会关闭该端口。工具来实现端口敲门。以Linux系统为例,可以使用。
sshd_config 中文手册
weixin_34095889的博客
12-18 1018
sshd_config 中文手册 译者:金步国 版权声明 本文作者是一位自由软件爱好者,所以本文虽然不是软件,但是本着 GPL 的精神发布。任何人都可以自由使用、转载、复制和再分发,但必须保留作者署名,亦不得对声明中的任何条款作任何形式的修改,也不得附加任何其它条件。您可以自由链接、下载、传播此文档,但前提是必须保证全文完整转载,包括完整的版权信息和作译者...
深交易所的敲门机制
weixin_30527423的博客
12-14 1023
交易所网关升级到新版本之后,连续两天在开市前两秒钟的时候崩溃了,把coredump文件发给交易所,他们定位是操作系统时间问题导致的,简单说就是他们会取操作系统两个时间T1,T2,T1在前,T2在后,理论上T2>T1,但是操作系统层面有bug,导致T2<T1,这时候网关程序就崩溃了。 可以使用ping命令来检测这个问题,如果ping的时间为负值,则说明操作系统存在这个bug。 ...
windows防火墙配置(以windows server2008为例)
热门推荐
二黑黑黑
08-21 4万+
1.背景:前置机时常出现病毒攻击,严重影响业务的正常进行。现采取防火墙限制访问的方式配合杀毒软件的方式进行处理,限制所有的外部访问,仅开启部分业务访问。 2.实现 本次防火墙配置,仅仅开启了咱们agent业务需求的四个端口,包括spi、zabbix监控以及openvpn服务端的连接和远程桌面、teamviewer连接的端口,在满足业务需求的前提下尽可能满足安全性,保障业务的正常进行。在...
makedepend 安装
flaming的专栏
01-16 6270
问题: 编译openssl时,提示makedepend找不到 解决方法: $ apt-cache search makedepend xutils-dev - X Window System utility programs for development $ sudo apt-get install xutils-dev
保护 SSH 的三把锁(增加黑客入侵的难度)
cnbird's blog
01-12 1万+
保护 SSH 的三把锁(增加黑客入侵的难度)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值