【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


Security Tips
 

TCPポートをノックしてコマンドを実行するknockd

宮本 久仁男
2004/10/6

  knockdは特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、簡易的ではあるが、sshのポートを開けたり閉めたりということができる。

  knockdのソースコードは、http://www.zeroflux.org/knock/から入手可能である。コンパイルにはlibpcapが必要だ。しかし、

  • 古いlibpcapに実装されていない機能を使う
  • Linuxに依存した内容のコードになっている

という理由で、Linux系OSでかつ比較的新しいlibpcapが使える環境でのみ使える。

 筆者の環境はDebian GNU/Linuxだが、woodyではlibpcapのバージョンが古く、コンパイルできない。なお、sargeではknockdのパッケージが用意されている。このように、古い環境で使う場合には注意が必要となる。

 配布されているtar.gzファイルには、設定ファイルのサンプルが付属しているが、iptablesのルールを操作するような内容のため、ごくごく単純なスクリプトを使ってテストしてみてほしい。例えば、/tmp/knockd.confに以下のような内容を設定して、knockd -d -c /tmp/knockd.confを実行してみよう。

[options]
    LogFile = /var/log/knockd.log

[openSSH]
    sequence = 7000,8000,9000
    protocol = tcp
    timeout = 15
    command = /tmp/moge %IP%

[closeSSH]
    sequence = 9000,8000,7000
    protocol = tcp
    timeout = 15
    command = /tmp/hoge %IP%

/tmp/mogeは、

echo $1 > /tmp/mogelog

/tmp/hogeは、

echo $1 > /tmp/hogelog

という内容で、実行権限を与えておく。

 knockdは、デフォルトではeth0をlistenするので、自分以外のホストからknockしてみよう。

 knockコマンドは、単にSYNフラグが立ったパケットを指定したホストの指定したポートに送るだけなので、別にtelnetを順序よくかけてもいい。なお、knockdはL2レベルの監視をしているので(だからlibpcapが必要)、別にそこで接続をうんぬんということはない。

telnet targethost 7000
telnet targethost 8000
telnet targethost 9000

または、

telnet targethost 9000
telnet targethost 8000
telnet targethost 7000

というコマンドでも、knockコマンドの代わりになる。

 ポートをノックしたら、knockdを動かしているマシン上の/var/log/knockd.logにログが記録されるのでチェックしてみよう。また、/tmp/hogelogと/tmp/mogelogもチェックして、IPアドレスが記録されているかどうかをチェックしてみよう。

 なお、knockdは、パケットヘッダのフラグ設定もできる。ある程度慣れてきたらそのような使い方を実施することで、よりセキュアなものにすることも可能だ。ただし、複雑なフラグのパターンを設定した場合には、knockコマンドでは対処しきれないので、送出するパケットに含まれるTCPヘッダ中のフラグを任意に設定可能なコマンド(例:hping2)などを使う必要がある。

Security Tips Index

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ