Hej!
Once upon a time, I heard Frank Becker say:
"Portknocking"
Wenn das jemand so implementiert, dass es abgehört werden kann, replay-Attacken funktionieren, dann taugt die Implementation nur bedingt.
Ich hatte es so verstanden. Dennoch: Das "Protokoll" ist verbindungslos, meint, daß ein Logdatei-lesender Daemon bei mir kaum die Chance hätte nacheinander die Klopfzeichen zu erkennen, ohne daß dazwischen irgendeiner meiner netten Wohnheimnachbarn nicht auch an irgendeinen meiner Ports rüttelt.
Muß ich es mir dann zeitabhängig und fehlertollerant vorstellen? Das wird dann aber ziemlich schwammig bei der Erkennung und Sicherheits- bewertung, oder?
Was ich meine, wenn es einen openssh exploit gibt, will ich Zeit zum patchen haben, ohne dass jemand unerlaubten Zugriff auf das System bekommt.
Klar. Dann ist Portknocking immernoch sehr schlecht zu bewerten und der erzielte Sicherheitsvorteil womöglich weit hinter dem, was man sich davon erwartet. Das kommt ja auch ein bißchen darauf an, ob Du nur mit Automaten als Angreifer rechnest, oder ob Du schon Leute kennst, die ein gewisses Verlangen empfinden, konkret Deinen Rechner zu manipulieren. Für Paranoirotiker: Vielleicht kennst Du sie nur noch nicht?
Was hindert Dich daran "Einmalklopfzeichen" zu verwenden?
Die Experten hier im Wohnheim hindert niemand daran, in einer Sekunde zehn bis zwanzig Anfragen allein an meine Firewall zu stellen. Das ist mit etwas sportlichen Einsatz sicherlich lange nicht das Ende der Fahnenstange.
Wenn das ausreichend viele Angreifer tun, bekommst Du indeterministische Muster in Deinen Firewall-Logs -- man muß eben ab und zu mal nachfragen, ob der gewünschte Port inzwischen schon die Verbindung annimmt.
... nur mein Versuch einer Bewertung.
Hej så länge.