SSH Knock: Accesso Sicuro con Port Knocking
Quando si parla di sicurezza nell’accesso remoto tramite SSH, uno dei metodi meno conosciuti ma potenzialmente utili è SSH Knock, basato sulla tecnica del port knocking. L’idea è semplice: invece di lasciare la porta SSH (tipicamente la 22) sempre aperta e visibile, la si tiene chiusa e la si apre solo dopo una sequenza specifica di “colpi” inviati a porte predefinite.
Come funziona
- Il server SSH è configurato per non ascoltare sulla porta 22 finché non riceve la sequenza corretta di connessioni su porte “di knocking”.
- L’utente, tramite un client apposito o con comandi
nmap/telnet, invia la sequenza prestabilita. - Un demone lato server intercetta la sequenza e modifica temporaneamente le regole del firewall per aprire la porta SSH.
Questo approccio aggiunge un livello di “oscurità” alla sicurezza: la porta SSH risulta invisibile a scansioni casuali, riducendo gli attacchi automatici.
Pro e Contro di SSH Knock
| Pro | Contro |
|---|---|
| Riduce la visibilità della porta SSH agli scanner automatici | Se la sequenza è intercettata, l’accesso può essere compromesso |
| Riduce il numero di tentativi di brute force | Richiede configurazione e manutenzione aggiuntiva |
| Può essere integrato con firewall già esistenti (es. iptables, ufw) | In caso di perdita della sequenza, si rischia di restare bloccati fuori |
| Aggiunge un ulteriore strato di sicurezza “stealth” | Non sostituisce pratiche di sicurezza come l’uso di chiavi SSH e fail2ban |
Rischi sulla sicurezza
Port knocking non è infallibile: se il traffico non è cifrato (knock semplice), un aggressore potrebbe intercettare la sequenza. Esistono varianti come Single Packet Authorization (SPA) che aggiungono cifratura e autenticazione al processo, rendendolo più sicuro.
Quando usarlo
SSH Knock è consigliato in contesti dove la porta SSH è frequentemente oggetto di scansioni e brute force, e quando si vuole un ulteriore livello di “security by obscurity”. Tuttavia, va sempre usato insieme ad altre misure di sicurezza:
- Autenticazione con chiavi SSH
- Disabilitazione del login con password
- Firewall configurato correttamente
- Eventuale uso di fail2ban
Conclusione
Port knocking può essere un buon alleato per migliorare la sicurezza di un server SSH, ma non è una soluzione magica. Va integrato in una strategia più ampia di sicurezza, non usato come unico strumento.
0 commenti