Sunucunuza ssh, remote desktop veya vnc kullanarak erismek istiyorsunuz. Amma velakin bunlarin direkt olarak disar açik olmasi hackerlar için en güzel nimet. Bende bunun ile ilgili sanirim 2 sene önceydi arama tarama yaparken portknocking.org sitesini bulmustum. Kavram gerçekten çok güzel aslinda. Bir örnek vermek gerekirse, sunucunuzda ssh server (port 22) iniz var ve linux sunucunuzu ssh nimetini kullanarak shell üzerinden yönetmek istiyorsunuz. ssh’in varligi ve getirdikleri tabiki tartisilmaz bir güzellik fakat zararli güçlerin eline geçerse neler olabilecegi gayet açik. Eger sunucunuzda firewall varsa ve bir hacker sunucunuza port scan yapiyorsa muhtelemen
SSH 22
Web Server 80
ftp Server 21
bunlari bulacaktir. Tabi ssh’in varligi gözde bir isildamaya neden olacaktir. Ortalikta dolasan password list ve brute force için kullanilan araçlardan birisini çalistirarak eger sabirli birisiyse ve siz de sunucunuzun loglarini takip etmekten aciz bir yöneticiyseniz, bulana kadar devamli kullanici adi ve sifre kombinasyonu deneyecektir. ssh sunucunuzun üstünde bunun için çesitli düzenlemeler yapip, 3-5 denemeden sonra deneme kabul etme v.s. diyebilirsiniz ama remote desktop (3389) vnc (6000) portlari için ne yapabilirsiniz? Aslinda ne yapabilirsinizi demek dogru olmayabilir, yapilacak illaki biseyler bulunabilir ama konunun basligi port knocking olduguna göre bunun ile gayet güzel ve harikulade bir çözüm bulabilirsiniz.
Port knockingde, ssh sunucunuz yine 22. portta çalismaya devam ediyor ama iptables üzerinde yaptiginiz ayarlarla, 22. porta direkt baglanmasini önlüyorsunuz. 22. porta baglanmadan evvel örnegin ilk önce 1400 sonra 2200 ondan sonra 3000. portlara teker teker telnet ile baglanmayi denemesini ondan sonra 22. porta baglanmasini saglayabilirsiniz. Yani baglanmak isteyen kisi ilk önce evinizin belirli noktalarini tiklar ondan sonra siz kim o deyip kapiyi açarsiniz. Bu firewallun sagladigi güvenligin üzerine geçirilmis ve neredeyse kirilmasi mümkün olmayan bir güvenlik. Nasil mi?
1- sizin belirlediginiz sirada ilgili portlara baglanti kurmayi denemesi.
2- ilgili portlari yaptiktan sonra tekrar 22.porta baglanmayi denemesi
3- 22.porta baglandiktan sonra kullanici adi ve sifreyi bilmesi
Sanirim bundan iyisi samda kayisi olur. iptables kullanilarak bu bahsettiklerimin nasil yapilacagini anlatan çok güzel bir site var.
İlk asamada ssh için anlatiliyor olsada, bunun ile ilk akla gelen vnc ve dis dünyaya birebir açik kalmasini istemediginiz bütün uygulamalari saklayabilirsiniz.
Geri izleme: Mehmet Buyukozer » Blog Archive » SSH Server - Güvenlik