| Security Tips | ||
 |
TCPポートをノックしてコマンドを実行するknockd 宮本 久仁男 |
|
knockdは特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、簡易的ではあるが、sshのポートを開けたり閉めたりということができる。
knockdのソースコードは、http://www.zeroflux.org/knock/から入手可能である。コンパイルにはlibpcapが必要だ。しかし、
- 古いlibpcapに実装されていない機能を使う
- Linuxに依存した内容のコードになっている
という理由で、Linux系OSでかつ比較的新しいlibpcapが使える環境でのみ使える。
筆者の環境はDebian GNU/Linuxだが、woodyではlibpcapのバージョンが古く、コンパイルできない。なお、sargeではknockdのパッケージが用意されている。このように、古い環境で使う場合には注意が必要となる。
配布されているtar.gzファイルには、設定ファイルのサンプルが付属しているが、iptablesのルールを操作するような内容のため、ごくごく単純なスクリプトを使ってテストしてみてほしい。例えば、/tmp/knockd.confに以下のような内容を設定して、knockd -d -c /tmp/knockd.confを実行してみよう。
[options] |
/tmp/mogeは、
echo $1 > /tmp/mogelog |
/tmp/hogeは、
echo $1 > /tmp/hogelog |
という内容で、実行権限を与えておく。
knockdは、デフォルトではeth0をlistenするので、自分以外のホストからknockしてみよう。
knockコマンドは、単にSYNフラグが立ったパケットを指定したホストの指定したポートに送るだけなので、別にtelnetを順序よくかけてもいい。なお、knockdはL2レベルの監視をしているので(だからlibpcapが必要)、別にそこで接続をうんぬんということはない。
telnet targethost 7000 |
または、
telnet targethost 9000 |
というコマンドでも、knockコマンドの代わりになる。
ポートをノックしたら、knockdを動かしているマシン上の/var/log/knockd.logにログが記録されるのでチェックしてみよう。また、/tmp/hogelogと/tmp/mogelogもチェックして、IPアドレスが記録されているかどうかをチェックしてみよう。
なお、knockdは、パケットヘッダのフラグ設定もできる。ある程度慣れてきたらそのような使い方を実施することで、よりセキュアなものにすることも可能だ。ただし、複雑なフラグのパターンを設定した場合には、knockコマンドでは対処しきれないので、送出するパケットに含まれるTCPヘッダ中のフラグを任意に設定可能なコマンド(例:hping2)などを使う必要がある。
 |
Security Tips Index |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
