让服务器开放端口更安全

下一页 1 2 

　　 
　　所有在防火墙和路由器上开放的端口都是一种安全风险。这也是一种称之为"端口碰撞（port knocking ）"技术的价值所在。端口碰撞技术是一种允许访问预先配置好"碰撞"的_blank">防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。

这些尝试要么记录在一个日志中，要么保存在一个后台进程中，通过预先配置这个日志或者进程来监视打开相应端口的序列，如果尝试序列与预先设置的序列相符合，就可以打开某个端口。 　　

　　通过这种方式可以让一个端口在需要的时候才打开，从而具有一定的技术优势。对于黑客来说，很难在远程利用处于关闭状态端口的相关服务来攻击系统。例如，对于远程管理来说，在一个公开的服务器上开放SSH服务是很方便的，但是这也使得系统允许任何人都有可能尝试访问该系统。当然，对于这个端口的访问，你可以给定一个IP地址范围的限制，但是这样一来，还是带来了安全问题和访问挑战方面的问题。端口碰撞技术让你在这两个方面都会处理的很好：在大多数时间里，这个端口都是关闭的，但是知道这种方法的可以在任何时候任何地方打开这个端口。 　　

　　概述

　　由于有些大家都很熟悉的服务存在一定的安全方面的问题，因此，大多数的的安全破坏都是从外网利用这些安全问题来实现的。FTP和SSH使用的是大家都很熟悉的端口，因此长期以来，这些服务一直都存在着各种各样的攻击方法。而在大多数情况下，这些服务都是让内部用户来使用的，因此内部用户是使用端口碰撞技术的主要候选人。 　　

　　很显然，对于那些你需要公开的访问服务，例如HTTP和SMTP服务，端口碰撞技术则不适合用于这种场合。因为网页服务和电子邮件服务需要允许来自任何地方的连接。然而，对于所有其他的服务来说，最好的实际操作是将所有非必须的端口都关闭。因而，从存在安全方面的问题的角度来考虑，象SSH这样一种非常有用的服务也常常需要处于关闭状态。 　　

　　这就是端口碰撞技术非常有用的地方。首先，通过探测技术是不会发现这种基于端口碰撞技术配置的服务器的。_blank">防火墙软件将会自动拒绝所有的端口扫描或者任何直接连接尝试。并且通过选择一系列非连续的端口号来实现端口碰撞（我们将在随后介绍），你可以减轻对安全问题的顾虑，因为一个标准的端口扫描器一般不太可能得到一个正确的碰撞序列。通过使用这种方法，在得到良好的安全性的同时，还可以实现远程访问。 　　

　　你可能会问自己，我为什么需要这种方法？事实上你可能用不上这种技术。这种技术只是增加当前网络的安全性，在可能存在的黑客和需要保护的服务之间创建一个不易觉察的安全层。如果远程用户不知道服务器在监听一个特定的端口，那么你将大大减少通过这个端口危及系统的次数。更进一步地，远程用户不太可能确定服务器是否使用了端口碰撞技术，因此也不太可能来使用暴力尝试来猜测正确地序列。

原文转自：http://www.ltesting.net