如何让开放端口更安全

• 
  
  还可以使用动态配置技术来打开端口。首先，你需要建立一个端口集合，在本文的例子中，我们将使用端口1040到端口1049。通过提供一个开始序列--例如1042、1044、1043--随后，对于你希望打开的端口，你可能还需要给服务器提供相应的接收信息。在序列1042、1044、以及1043后，你需要让服务器知道你想让它打开端口443。之所以采用这种设计，是为了增加打开不同服务器必要端口的灵活性和选项而不需要采用静态配置。
  
  加密通信可能也可以增加额外层次的安全性。如果你担心别人嗅探你的数据包或者担心有人盗窃你的碰撞序列的话，采用这种加密方式将非常有益。对于端口碰撞来说，使用加密技术是一种最安全的方法，并且我们将在随后的文章中看到，加密技术是在原型中经常使用的一种方法。
  
  使用knockclient和knockdaemon
  Portknocking.org公司已经用Perl语言实现了端口碰撞技术，现在可以从该公司的网软件_blank>软件这个工具。文件portknocking-0.1.tgz中包含knockclient和knockdaemon两个程序。该版本允许远程用户打开端口0到255，并且自动使用Crypt::Blowfish执行加密工作。你只需要在远程系统上使用必要的命令选项来调用knockclient程序即可。例如，要在远程系统上打开特定IP上的端口22，你可以使用这样的命令：knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。
  
  在这个例子中，我们要打开IP地址为10.1.42.1的服务器上的端口22，并且只允许IP地址为192.168.0.1d的主机与这个服务器之间只能有一个连接。由于-time的标识为0，因此我们要打开的端口在开放时间上没有限制。如果time的时间为255的话，那么该命令就是要关闭这个端口。其他从1到254之间的time值表示端口打开的时间（以分钟计算）。在knockclient和knockdaemon之间的共享密码用于加密碰撞序列，并且使得远程主机和本地主机之间的信息只有他们自己能够理解。另外，在这种实现中，要使用远程主机的端口745 到端口1000。服务器的端口打开之后，需要关闭远程主机的这些端口，并且_blank">防火墙的日志需要打开。然后后台进程缺省状态下就会监听这些端口的8个碰撞。Perl模式 File::Tail 用于检测添加到_blank">防火墙日志上的新的行信息，并且knockdaemon将会分析这些行信息。
  
  虽然这仅仅是一个原型，但是却运行的很好。很显然，端口碰撞技术的核心是远程主机发起的碰撞序列是否能够打开一个端口。写出这样的一个程序或者将其加入到当前可用的资源中是一件并不困难的事情，并且可以很容易的实现各个系统的定制。例如，如果访问一个NATIP地址，你可以根据碰撞序列来配置策略，实现动态转发对内部主机的SSH访问。另外，根据你的配置，使用端口碰撞技术还可以实现备份或者运行其他的作业。
  
  总结
  端口碰撞技术对于增加一层看不见的软件来说还是非常有益处的。只有提供了正确的端口序号的用户才可以有一次获得可用服务如SSH等的机会。这使得服务器可以具有从任意IP--如一个移动或者动态的IP--上接受连接的能力，并且可以创建一定的信任级别--这种信任基于远程系统知道正确的碰撞序列。对于那些已经实现了比较好的安全性的服务器来说，端口碰撞技术是一种最好的补充。
  
  
• 上一页 [1] [2] [3] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 如何让开放端口更安全 相关文章：
• 如何让开放端口更安全 相关软件

上一篇:微软系列软件中最新的安全漏洞大揭秘

下一篇:彻底了解Cookies在网络中的应用

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐