Nakonec stejne dojedes na to, ze se utocnik prevlece za uklizecku a prijde Ti vybrat kose :-)
Nicmene idea je to hezka.
mozna jsem neco nepochytil, ale pokud budu zaskodnik, pak je pomerne jednoduche prece celou sekvenci zopakovat. K cemu port knocking bude - pripojim se k netu, zatukam, vykonam praci, skoncim.
Vzhledem k principu tukani je toto tukani otevrene/nesifrovane (jinak by neslo po Internetu routovat) - takze tu sekvenci se dozvim. Samozrejme, ze by to slo obejit jednorazovymi klici - pak by to davalo smysl, v clanku se vsak mluvi o sifrach nad relativne statickymi daty, a nikde neni zmineno, ze jednu "dobrou" kombinaci nelze pouzit znovu - prave u jednorazovych klicu mame zaruceno, ze ten samy klic zopakovany pozdeji uz bude povazovan za nevalidni.
Takze zpet - odchytit komunikaci mohu, neni to slozite, protoze to tukani bude jednoduse poznat (a testovat, kdy se mi otevrela cesta na treba zvolene SSH je jiz primitivni) a odlisit od "pracovni" komunikace.
Trosku mi to pripada jako sice trivialni a chytre maskovani, ale v principu nic neresici - ano dneska lamy pouzivaji skipt-kiddies (snad to pisu spravne), tyto skripty tuto funkcionalitu nemaji. Jak dlouho bude trvat nez ji budou obsahovat? Rekl bych, ze je to primo umerne rozsireni teto featury.
Mozna ta genialita myslenky je jinde a ja jsem ted lama, ktera ji nevidi, muze byt... Rozsviti mi nekdo?
Abyste mi rozumnel, nerikam, ze je to k nicemu, kazdy klacek pod nohama je dobry, je otazkou, nakolik je to klacek silny, tady mam pocit, ze jeho sila je velmi mala a naopak prostredky pro jeho nasazeny neumerne (otazka implementaci, sila sifry, nic jako OTP) vysoke. Proto se znazim najit to opodstatneni.
... jedině když by se na ni útočník dokázal přesunout, bylo by mu to k něčemu ...
Pokud dokazu presmerovat provoz, tak abych ho mohl zpracovat, dokazu obvykle (svrbi me prsty, jak jsem chtel napsat vzdy) take presvedcit druhou stranu, ze jsem spravna IP adresa :-)
... jedině když by se na ni útočník dokázal přesunout, bylo by mu to k něčemu ...
Pokud dokazu presmerovat provoz, tak abych ho mohl zpracovat, dokazu obvykle (svrbi me prsty, jak jsem chtel napsat vzdy) take presvedcit druhou stranu, ze jsem spravna IP adresa :-)
Treba nas, ctenare, LUPA(.cz) uci vazit si kvalitniho materialu. Ve stylu: Kdyz budete hodni a pretrpite jeden serial od nejmenovaneho, dostane se vam jednoho kvalitniho clanku od Pavla :-)
Je to jako se zabezpečením auta, spočívajícím v instalaci skrytého vypínače, který (např.) přeruší přívod paliva do motoru. Dokud si to namontuje pár nadšenců (nebo jim to udělá známý automechanik), má to smysl. Pokud by to montovala přímo automobilka, nemůže to fungovat.