Security Tips
 

TCPポートをノックしてコマンドを実行するknockd

宮本 久仁男
2004/10/6

  knockdは特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、簡易的ではあるが、sshのポートを開けたり閉めたりということができる。

  knockdのソースコードは、http://www.zeroflux.org/knock/から入手可能である。コンパイルにはlibpcapが必要だ。しかし、

  • 古いlibpcapに実装されていない機能を使う
  • Linuxに依存した内容のコードになっている

という理由で、Linux系OSでかつ比較的新しいlibpcapが使える環境でのみ使える。

 筆者の環境はDebian GNU/Linuxだが、woodyではlibpcapのバージョンが古く、コンパイルできない。なお、sargeではknockdのパッケージが用意されている。このように、古い環境で使う場合には注意が必要となる。

 配布されているtar.gzファイルには、設定ファイルのサンプルが付属しているが、iptablesのルールを操作するような内容のため、ごくごく単純なスクリプトを使ってテストしてみてほしい。例えば、/tmp/knockd.confに以下のような内容を設定して、knockd -d -c /tmp/knockd.confを実行してみよう。

[options]
    LogFile = /var/log/knockd.log

[openSSH]
    sequence = 7000,8000,9000
    protocol = tcp
    timeout = 15
    command = /tmp/moge %IP%

[closeSSH]
    sequence = 9000,8000,7000
    protocol = tcp
    timeout = 15
    command = /tmp/hoge %IP%

/tmp/mogeは、

echo $1 > /tmp/mogelog

/tmp/hogeは、

echo $1 > /tmp/hogelog

という内容で、実行権限を与えておく。

 knockdは、デフォルトではeth0をlistenするので、自分以外のホストからknockしてみよう。

 knockコマンドは、単にSYNフラグが立ったパケットを指定したホストの指定したポートに送るだけなので、別にtelnetを順序よくかけてもいい。なお、knockdはL2レベルの監視をしているので(だからlibpcapが必要)、別にそこで接続をうんぬんということはない。

telnet targethost 7000
telnet targethost 8000
telnet targethost 9000

または、

telnet targethost 9000
telnet targethost 8000
telnet targethost 7000

というコマンドでも、knockコマンドの代わりになる。

 ポートをノックしたら、knockdを動かしているマシン上の/var/log/knockd.logにログが記録されるのでチェックしてみよう。また、/tmp/hogelogと/tmp/mogelogもチェックして、IPアドレスが記録されているかどうかをチェックしてみよう。

 なお、knockdは、パケットヘッダのフラグ設定もできる。ある程度慣れてきたらそのような使い方を実施することで、よりセキュアなものにすることも可能だ。ただし、複雑なフラグのパターンを設定した場合には、knockコマンドでは対処しきれないので、送出するパケットに含まれるTCPヘッダ中のフラグを任意に設定可能なコマンド(例:hping2)などを使う必要がある。

Security Tips Index



Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間