{"id":334,"date":"2009-03-28T17:43:41","date_gmt":"2009-03-28T23:43:41","guid":{"rendered":"http:\/\/www.lastdragon.net\/?p=334"},"modified":"2014-03-12T11:38:48","modified_gmt":"2014-03-12T17:38:48","slug":"port-knocking-web","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=334","title":{"rendered":"Port Knocking WEB"},"content":{"rendered":"

Este articulo ser\u00e1 de especial inter\u00e9s para sitios que han sido doseados constantemente como remoteexecution<\/a>, elhacker.net<\/a>, incluso lo que le ocurria a diosdelared<\/a><\/p>\n

Me han dicho que han escrito un articulo explicando como han deseado la cueva, el articulo lo pueden encontrar aqui<\/p>\n

http:\/\/mbytesecurity.com\/tecnicas-blackhat-denial-of-service\/<\/p>\n

sinceramente, salvo que fuera un ni\u00f1o de 6 a\u00f1os, me dar\u00eda una pena terrible usar los m\u00e9todos que ah\u00ed plantean y peor aun llamarlos blackhat, obviamente ninguno de esos m\u00e9todos sirve para tirar la cueva, son muy b\u00e1sicos, sin embargo al leer la parte del Port Knocking, se escucho interesante, como una forma de evitar un DoS, podr\u00eda ser pero\u2026 primero hay que recordar que para que sirve realmente el Port knocking. Por cierto, El no ha desarrollado nada similar a lo que estoy planteado en este articulo, en el suyo dice que tiene Port knocking en el WEB, sin embargo al hacer pruebas, se ve que es falso, su puerto 80 est\u00e1 abierto todo el tiempo, ha de decir eso, por medio a que lo Doseen.<\/p>\n

Port knocking<\/p>\n

Es un mecanismo de autenticaci\u00f3n para abrir puertos bloqueados por el firewall, un uso com\u00fan seria abrir el puerto para el escritorio remoto de Windows o el SSH para los tipos Unix. Ese es su uso, nada de anti DoS, abrir un puerto que esta cerrado, punto.<\/p>\n

Sin embargo como matizar un tipo Port knocking en el WEB, esta curiosidad se me ocurri\u00f3 despu\u00e9s de leer el articulo anteriormente citado, pues si tomamos literal la forma de usarse el Port knocking el puerto 80 deberia estar cerrado. Sin embargo es el puerto default para recibir peticiones WEB, como \u00bfcerrar algo que tiene que estar abierto para posteriomente reabrirlo?<\/p>\n

La respuesta es que no se puede cerrar, obvio tiene que estar abierto, sin embargo bajo el principio de Port knocking en Linux se puede combinar el concepto, haciendo que responda un servicio web en primer lugar y luego otro, ambos desde el mismo puerto 80<\/p>\n

\u00bfY como he hecho esto?<\/p>\n

Pues en GNU\/Linux ha sido muy f\u00e1cil, como siempre en cuestiones de red, cualquier cosa es posible en estos sistemas operativos.<\/p>\n

Primero he declarado una IP interna, bien podr\u00eda ser 192.168.0.0 o 10.10.10.x, para este caso he usado la ip 10.10.10.1 y he configurado a apache para que responda al puerto 85, solo si la conexi\u00f3n es en la ip 10.10.10.1<\/p>\n

Los que sepan de redes, sabran que ya desde aqu\u00ed ese puerto no podr\u00eda ser alcanzado desde internet, y es en ese puerto donde hostearemos el servicio real del web, como foros o cualquier otro.<\/p>\n

Luego, ya que el Port knocking tiene que ser realizado con la ayuda del navegador, en un caso \u201cnormal\u201d de uso seria a base de telnets, para este caso solo usaremos el navegador para que sea lo m\u00e1s transparente posible.<\/p>\n

En el apache tambi\u00e9n se abrir\u00e1 el puerto 250 y 251, estos para mi configuraci\u00f3n, los dem\u00e1s pueden abrir los puertos que quieran.<\/p>\n

Se escriben archivos html con tags que vayan redirigi\u00e9ndose en la secuencia del Port knocking, una vez alcanzada la secuencia dentro del sistema operativo se lanza un iptables reenlazando a la ip y el puerto interno 10.10.10.1:85 al puerto externo 80, para que entonces desde el internet ya se pueda alcanzar el sitio.<\/p>\n

Requerimientos<\/p>\n

Para realizar esta configuraci\u00f3n se requiere descargar el knockd
\nhttp:\/\/www.zeroflux.org\/proj\/knock\/files\/knock-0.5.tar.gz<\/p>\n

Zonas editadas del httpd.conf del apache<\/p>\n

 <\/o><\/p>\n

# Listen:
\nAllows you to bind Apache to specific IP addresses and\/or<\/o><\/span><\/p>\n

# ports,
\ninstead of the default. See also the <VirtualHost><\/o><\/span><\/p>\n

#
\ndirective.<\/o><\/span><\/p>\n

#<\/o><\/span><\/p>\n

# Change
\nthis to Listen on specific IP addresses as shown below to<\/o><\/span><\/p>\n

# prevent
\nApache from glomming onto all bound IP addresses (0.0.0.0)<\/o><\/span><\/p>\n

#<\/p>\n

#Listen 12.34.56.78:80<\/p>\n

 <\/o><\/p>\n

Listen 10.10.10.1:85<\/p>\n

Listen 80<\/p>\n

Listen 850<\/p>\n

Listen 851<\/p>\n

 <\/o><\/p>\n

Regla nat requerida en esta configuración<\/p>\n

iptables -t
\nnat -A PREROUTING -s %IP% -p tcp –dport 80<\/span> 
\n<\/span>-j DNAT –to-destination 10.10.10.1:85<\/o><\/p>\n

 <\/o><\/span><\/p>\n

%IP% es una variable que contiene la IP, esta
\nvariable la provee
\nel knockd<\/p>\n

 <\/o><\/p>\n

Configuración del  <\/span>knockd.conf<\/p>\n

 <\/o><\/p>\n

[options]<\/o><\/span><\/p>\n

<\/span>       
\n<\/span>logfile = \/var\/log\/knockd.log<\/o><\/p>\n

 <\/o><\/span><\/p>\n

[AbrirlaCueva]<\/o><\/span><\/p>\n

<\/span>       
\n<\/span>sequence    <\/span>= 80,850,851<\/o><\/p>\n

<\/span>       
\n<\/span>seq_timeout = 10<\/o><\/p>\n

<\/span>       
\n<\/span>start_command = \/sbin\/iptables -t nat
\n-A PREROUTING -s %IP% -p tcp –dport 80 
\n<\/span>-j DNAT –to-destination 10.10.10.1:85<\/o><\/p>\n

<\/span>       
\n<\/span>cmd_timeout= 300<\/o><\/p>\n

<\/span>       
\n<\/span>stop_command = \/sbin\/iptables -t nat -D
\nPREROUTING -s %IP% -p tcp –dport 80  <\/span>-j
\nDNAT –to-destination 10.10.10.1:85<\/o><\/p>\n

<\/span>       
\n<\/span>tcpflags    <\/span>= syn<\/p>\n

 <\/o><\/p>\n

** el cmd_timeout = 300 segundos, son 5 minutos,
\ndespués de
\nque transcurran otro iptables cerrara el Port Knocking<\/p>\n

 <\/o><\/p>\n

contenido de los archivos html desde el servicio
\nweb  <\/span>antes del port knocking<\/p>\n

 <\/o><\/p>\n

index.html<\/o><\/span><\/p>\n

<META
\nHTTP-EQUIV=”refresh” CONTENT=”0;
\nurl=https:\/\/www.lastdragon.net:850\/segundo.html”><\/o><\/span><\/p>\n

Segundo.html<\/p>\n

<META HTTP-EQUIV=”refresh” CONTENT=”0;
\nurl=https:\/\/www.lastdragon.net:851\/tercero.html”><\/p>\n

Tercero.html<\/p>\n

<META HTTP-EQUIV=”refresh” CONTENT=”1;
\nurl=https:\/\/www.lastdragon.net\/inicio.php”><\/p>\n

** inicio.php ya sera un archivo servido por el
\nservicio en
\nel puerto 85 de la ip 10.10.10.1.<\/p>\n

Comprobaci\u00f3n.<\/p>\n

En el video se hacen pruebas, por ejemplo si conocemos un archivo, no deber\u00edamos poder jalarlo si el port knoking esta cerrado. El archivo solo puede ser jalado cuando, el port nocking se ha realizado.<\/p>\n