Tom: knockd und seine Sicherheit

Hello,

wer kennt sich mit dem knockd aus?
Wie funktioniert das Tool genau?
Lt. Doku lauscht er auf den gesamten Datenverkehr auf einem Device...

Ich kann mir nicht vorstellen, dass ich durch solch ein riesiges Scheunentor die Sicherheit des Sysems erhöhen kann. Oder ist der Knock-Daemon "vor der Tür" tätig? In wie weit könnte man über eine Beschädigung des Knock-Deamon aufs System zugreifen?

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
  1. Grundsätzlich steht es mit der Sicherheit von knockd wie bei jedem anderen Daemon: jeder Service, der auf mindestens einem Port nach aussen hin läuft, ist auf jeden Fall potentiell kompromittierbar, etwa durch einen Buffer Overflow. Je mehr Zugriff ein Service auf Netzwerkressourcen erhält, desto größer ist das Gefahrenpotential.

    Gruß, LX

    --
    X-Self-Code: sh:( fo:) ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
    X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
    X-Will-Answer-Email: Unusual
    X-Please-Search-Archive-First: Absolutely Yes
  2. Tach,

    Wie funktioniert das Tool genau?

    es schaut, ob eine bestimmte Sequenz an TCP/UDP Paketen ankommt und führt dann Kommandos aus.

    In wie weit könnte man über eine Beschädigung des Knock-Deamon aufs System zugreifen?

    so wie bei jedem Daemon, im schlimmsten Fall kann ich Code im Kontext des Users ausführen, der den Daemon ausführt.

    mfg
    Woodfighter

    1. Hello,

      Wie funktioniert das Tool genau?

      es schaut, ob eine bestimmte Sequenz an TCP/UDP Paketen ankommt und führt dann Kommandos aus.

      Sind also alle Ports in dieser Hülle dann offen?
      Das ist mir nicht klar, wie das abläuft.
      Oder wird der gesamte Paketestrom des betreffenden Devices untersucht auf Protokoll und Inhalt?
      Dann dürfte das Teil ja einiges an Power kosten.

      Liebe Grüße aus Syburg bei Dortmund

      Tom vom Berg

      --
      Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. Tach,

        Sind also alle Ports in dieser Hülle dann offen?

        da knockd auf einer tieferen Schicht arbeitet (bzw. arbeiten muß), laut Man-Page auf Link-Layer, sind natürlich alle Ports offen, diese existieren auf dieser Ebene schließlich nicht.

        Oder wird der gesamte Paketestrom des betreffenden Devices untersucht auf Protokoll und Inhalt?

        "It listens to all traffic on an ethernet (or PPP) interface"

        Dann dürfte das Teil ja einiges an Power kosten.

        Nö, wieso? Das tut das Netzwerkinterface doch eh die ganze Zeit.

        mfg
        Woodfighter

        1. Hello,

          "It listens to all traffic on an ethernet (or PPP) interface"

          Klar, das hatte ich auch gelesen. Auf die Schicht hatte ich allerdings nicht geachtet. Wie dumm.

          Dann dürfte das Teil ja einiges an Power kosten.

          Nö, wieso? Das tut das Netzwerkinterface doch eh die ganze Zeit.

          Das sollte aber nicht die Pakete durchlesen nach Payload, sondern diese einfach weiterleiten.
          Der knockd muss aber die Payload analysieren. Dazu muss er sie auch auspacken.

          Liebe Grüße aus Syburg bei Dortmund

          Tom vom Berg

          --
          Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de
          1. Tach,

            Nö, wieso? Das tut das Netzwerkinterface doch eh die ganze Zeit.

            Das sollte aber nicht die Pakete durchlesen nach Payload, sondern diese einfach weiterleiten.
            Der knockd muss aber die Payload analysieren. Dazu muss er sie auch auspacken.

            wie kommst du darauf, dass den knockd der Inhalt der Pakete interessiert?

            knockd ist interessiert am IP-Header sowie am TCP- bzw. UDP-Header, den kennt auch das Netzwerkinterface, da es den Kram ja auch an den entsprechenden lauschenden Daemon weiterreichen muß.

            mfg
            Woodfighter