Security Tips		Security Tips Indexへ
	TCPポートをノックしてコマンドを実行するknockd 宮本 久仁男 2004/10/6

　 knockdは特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、簡易的ではあるが、sshのポートを開けたり閉めたりということができる。

　 knockdのソースコードは、http://www.zeroflux.org/knock/から入手可能である。コンパイルにはlibpcapが必要だ。しかし、

• 古いlibpcapに実装されていない機能を使う
• Linuxに依存した内容のコードになっている

という理由で、Linux系OSでかつ比較的新しいlibpcapが使える環境でのみ使える。

　筆者の環境はDebian GNU/Linuxだが、woodyではlibpcapのバージョンが古く、コンパイルできない。なお、sargeではknockdのパッケージが用意されている。このように、古い環境で使う場合には注意が必要となる。

　配布されているtar.gzファイルには、設定ファイルのサンプルが付属しているが、iptablesのルールを操作するような内容のため、ごくごく単純なスクリプトを使ってテストしてみてほしい。例えば、/tmp/knockd.confに以下のような内容を設定して、knockd -d -c /tmp/knockd.confを実行してみよう。

[options] 　　　　LogFile = /var/log/knockd.log [openSSH] 　　　　sequence = 7000,8000,9000 　　　　protocol = tcp 　　　　timeout = 15 　　　　command = /tmp/moge %IP% [closeSSH] 　　　　sequence = 9000,8000,7000 　　　　protocol = tcp 　　　　timeout = 15 　　　　command = /tmp/hoge %IP%

/tmp/mogeは、

echo $1 > /tmp/mogelog

/tmp/hogeは、

echo $1 > /tmp/hogelog

という内容で、実行権限を与えておく。

　knockdは、デフォルトではeth0をlistenするので、自分以外のホストからknockしてみよう。

　knockコマンドは、単にSYNフラグが立ったパケットを指定したホストの指定したポートに送るだけなので、別にtelnetを順序よくかけてもいい。なお、knockdはL2レベルの監視をしているので（だからlibpcapが必要）、別にそこで接続をうんぬんということはない。

telnet targethost 7000 telnet targethost 8000 telnet targethost 9000

または、

telnet targethost 9000 telnet targethost 8000 telnet targethost 7000

というコマンドでも、knockコマンドの代わりになる。

　ポートをノックしたら、knockdを動かしているマシン上の/var/log/knockd.logにログが記録されるのでチェックしてみよう。また、/tmp/hogelogと/tmp/mogelogもチェックして、IPアドレスが記録されているかどうかをチェックしてみよう。

　なお、knockdは、パケットヘッダのフラグ設定もできる。ある程度慣れてきたらそのような使い方を実施することで、よりセキュアなものにすることも可能だ。ただし、複雑なフラグのパターンを設定した場合には、knockコマンドでは対処しきれないので、送出するパケットに含まれるTCPヘッダ中のフラグを任意に設定可能なコマンド（例：hping2）などを使う必要がある。

Security Tips Index

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）