veiligheidssysteem, de haven is om de server te havens gesloten standaard systeem voor de certificering van en open ze alleen wanneer de cliënt het sturen van een vooraf bepaalde volgorde verband verzoek gericht op specifieke TCP of UDP port.Als een resultaat, kan je niet blijven, bijvoorbeeld, het zichtbare en ontoegankelijke voorbijgangers, maar nog steeds om een klant te verbinden de code.Om de haven van je knock - out - systeem is makkelijk, maar om ervoor te zorgen dat je de tijd vertrouwd te maken met de veiligheid en de praktische risico 's, de vaststelling van de server.,, de meest gebruikte de haven knockd Linux pakket.Het Linux - en in' concert werkt; de werking van je firewall, een demon, toezicht op de toewijzing van een pre - netwerk interface verzoek....Als een passende detectie, in verband met de uitvoering van de beschikking van &mdash knockd profiel; normen, een bevel kan je het openen of sluiten van bepaalde havens in de werking van de dienst hebben. De meest voorkomende vorm van,, in het monster, openssh (of een andere veiligheidsdiensten) is een van de criteria die de havens (bv. 22), maar de combinatie van TCP haven ingericht voor het blokkeren van toegang het gooi de data.Toezicht op de knockd TCP. Pakket is toegezonden aan de volgorde van de haven (bijvoorbeeld de haven van 9000, haven 6501, haven 1234, haven - 4321).Wanneer een afstemming van de detectie -, de uitvoering van een opdracht, zeg je knockd firewall te aanvaarden van de data van TCP /22, en de klanten kunnen beginnen met een normale - gesprek, en je kunt downloaden. Knockd van projecten en' website; de source code en distributie en e,, pakket biedt.Meestal de belangrijkste door de knockd Linux, hoewel, dus controleer je zakken voor het beheer van de eerste.Als de installatie, configuratie en&#knockd 39; in het gedrag van de knockd CONF /ETC /,.,, de top, knockd.conf, is een wereldwijde [], opties.Hier, je kan het systeem van de richtlijn, een van de meest aangewezen netwerk interface - systeem.Bijvoorbeeld, de toevoeging van een interface = eth1 bindende knockd eth1, in plaats van de standaard, het volgende in brengen.,, elke knockd "gebeurtenis"; die hun deel van de steun van de naam, gesloten.De standaard document bestaat uit twee:,, [] = 700080009000 seq_timeout openssh sequentie = 5 commando = /sbin/iptables - IP - p J = 22 TCP beweging die tcpflags met [closessh] sequentie = 900080007000 = 5 = seq_timeout commando /sbin/iptables D input voor 22% in het ot. TCP beweging die tcpflags = J met de,, in elk geval... Bij die richtlijn een lijst van de volgorde van de samenstelling van de haven van geheime TCP.Digitale zelf verwijst naar de TCP haven, maar je kan de aangewezen TCP of UDP Port: de toevoeging van UDP - of TCP.In combinatie met de ontploffing kan worden aangewezen, bijvoorbeeld... = 3333:9999:UDP, TCP, UDP -, TCP 1010:8675:,,,, seq_timeout aangewezen op de maximale tijd naar de &mdash, van het begin tot het einde — om te worden aanvaard, en de lijst is door de richtlijn van de inleiding.In dit voorbeeld, zie je, het openen en sluiten van de haven van 22 moeten twee verschillende kloppen op de deur.Een andere configuratie kunnen rennen als je een start_command klop op de deur, en dan op de aangegeven tijd, en dan een stop_command.Dit opent de poort 22, ongeveer een minuut, sluit het dan weer:,, start_command = USR /sbin/iptables - IP - voor - P. J TCP. 22 aanvaarden cmd_timeout = 60 stop_command = USR /sbin/iptables D IP -% p - beweging TCP. 22 aanvaarden dat vertellen: J, knockd tcpflags luistert alleen naar die wedstrijd in het teken van de aangewezen TCP data (bij voorbeeld, maar de SYN).Je kunt nog meerdere merken, zoals de SYN URG, FIN, zelfs de ontkenning van de vlag en het uitroepteken karakter, zoals de!Jack,.Het gebruik van teken als een klop op de deur, TCP deel van de voordelen, onder normale omstandigheden, waarbij afwijkingen knockd data (dit is misschien wat je wilde, je kan beginnen knockd, handmatig /ETC /init.d/knockd begint, of de geconfigureerd voor de exploitatie in de eerste door de redactie /ETC /default /knockd en De vaststelling van start_knockd = 1. De,, natuurlijk, absoluut niet het geval knockd gebruik je ingezet moeten worden, bij verstek, 700080009000 knock - out.Ook omdat alle haven die voorziet in een laag van veiligheid, niet actief in de basis diensten, moet je zorgen dat je het server zelf is &mdash veiligheid; alleen gebruik te maken van het gebruik van de openbare sleutel versie 2, AVI, enz.,,, je cliënt, kan je de test van de haven van de installatie de procedure van een andere machine op een eenvoudige telnet cliënt.Op de server, die neem 192.168.1.100 3333, stuur een verzoek in verband 192.168.1.100 TCP haven 3333 is, en in de tweede plaats is elke in je geheime van andere havens.,, vaak gebruikte, maar wil je een haven die klant.Knockd eigen commando cliënt die op dezelfde syntaxis knockd.conf, dus sloeg 192.168.1.100 3333:9999:1010:TCP UDP - TCP, UDP - 8675: beschrijving van het probleem op meer dan een paar.Met de in de klop op de deur, start het verband meestal, als je geheimen. Dat zal afhangen van TCP tekenen, maar je moet naar een meer geavanceerde instrumenten, zoals de sendip of het kan sturen, een pakket.,, als je de haven in conventionele, op basis van een cliënt die je kan vinden. Uw mobiele apparatuur naast de volledige Linux geïnteresseerd.Er zijn ten minste twee knockd iPhone platform: de klant de haven LITE en knockond schrijven, en de androïde: de androïde.Lijkt niet voor inheemse of meego een actieve cliënt op dit moment, hoewel deze platforms soortgelijke desktop - en server Linux moeten betekenen dat criteria een kettingreactie zal stellen zonder veel extra problemen.Er is een PHP cliënt, knockd verenigbaar met de praktische uitvoering van de problemen,.,,, je ziet niet veel voor de opslag van de haven van klanten en de geheime klop je herinneren, dat zijn dezelfde als die voor de opslag van de geheime wachtwoord redenen — heeft iets nodig, herinner je je hart en dat Kan, natuurlijk. Een haven en' de belangrijkste kritiek is, de aanvaller controle van een netwerk van verbindingen zal je geheim ontdekt, klop op de deur naar een herhaling.Natuurlijk, hoe meer je het frequente gebruik van kloppen, hoe groter het risico.Deze oplossing is een virtuele komt, samen met de klop op de deur, maar gewoon om ervoor te zorgen dat het naast de andere diensten of in het belang van het te verbergen.Als je geheimen vernietigd, het veranderen van ten minste één simpel ding, een meer complexe te beschermen en te voorkomen dat deze aanval in de haven is een code, het creëren van een klop op de deur.Knockd gesteund en goedgekeurd, one_time_sequences, richtlijnen, knockd conf.In plaats van een expliciete beschrijving klopt, one_time_sequences voor de locatie van het dossier, de volgorde van de lijst in die winkel op elke lijn.Elke cliënt die verbonden zijn aan het gebruik van een klop, klop op de opmerkingen van knockd, documenten en luisteren naar de volgende. En je moet ook weten, dat de haven heeft ook nadelen.Ten eerste, als knockd is dood, en jij zit opgesloten in toegang op afstand tot de geheime diensten (tenzij, natuurlijk, je knie heeft een firewall.Net zo belangrijk is, omdat de IP - route kunnen op onvoorspelbare wijze bij de server, tenzij je de machines op het netwerk is er altijd een kans dat je het pakje op volgorde; om deze reden, dat is een goed idee, niet om ze te snel, en de vaststelling van een een redelijke waarde, seq_timeout,,,, in de waardering van de haven, maar ook begrijpen, niet beperkt tot wijzigingen in de regels knockd firewall als een reactie op de gebeurtenissen van groot belang.Kun je een geheime klop op afstand geactiveerd in ieder geval, dat van een back - up van alle een script, je huis gids en stuur een e - mail aan je baas ontslag, geen open een haven aan de rest van de wereld, bijlage:., meer geavanceerde servers, en z 'n haven op (en Het concept van de in verband met de knockd) naast de server.Iets dat je wel zou willen zien is dat sig2knock, gebaseerd op de niet - vaste op volgorde van ideeën en aan de haven in gerandomiseerde, aanscherping van de haven, in het kader van de basis van ideeën en gespecialiseerde werk, en de omgekeerde afgelegen Shell (rrs), dat is gebaseerd op een afstand van de veiligheid voor De toegang tot de haven van Shell.Als je het niet' niet dat de gebruikers op de server van het bevel van je, vind je de sleutel van de deur of het rrs dan knockd meer geschikt is.Aan de andere kant, als je de veiligheid is gericht, sig2knock biedt een overtuigende functie, en verschillende projecten proberen. Meer normen in herhaling vallen de authenticatie van de problemen te overwinnen.Voorbeelden hiervan zijn de cryptknock, Cork, Tariq.Deze tekortkomingen in het systeem is, kan je niet volledig afhankelijk van de capaciteit van de geheimen van je te herinneren, klop op de deur, om je te bezoeken.Echter, de meer complexe systemen doen het goed, de veiligheid van andere factoren, zoals de beperking van de zwarte lijst en een witte lijst van IP - adressen kunnen worden aangesloten.In verband met de haven meer projecten in de portknocking.org sites, samen met onderzoek en andere middelen verder onderzoek, als de veiligheid ernstig., professionele zal u vertellen dat een haven slechts een stijging van de relatieve veiligheid van dunne lagen van een systeem, en ze is goed.Je moet ook een sterke controle op de toegang tot en de verificatie van de identiteit van meerdere factoren, om ervoor te zorgen dat je op afstand toegang tot de machine.Maar laat je de haven diensten immateriële toeschouwers, dit is in veel computers een waardevol bezit, als je verandert je klop op de deur, en het kan de preventie van geweld te doorbreken "woordenboek"; - de gebruikers aanvallen tegen je.Immers, je zal nooit veilig zijn, en jij?,