Cuprins:
Definiție - Ce înseamnă Port Knocking?
Port knocking este o tehnică de autentificare folosită de administratorii de rețea. Constă dintr-o secvență specificată de încercări de conectare a portului închis către adrese IP specifice numite secvență de lovire. Tehnicile utilizează un demon care monitorizează fișierele jurnal ale unui firewall în căutarea secvenței corecte de solicitare a conexiunii. În plus, în general, stabilește dacă entitatea care dorește intrarea în port se află pe lista de adrese IP aprobate.
Techopedia explică Port Knocking
Atingerea portului, chiar și folosirea unei secvențe simple precum „2000, 3000, 4000” ar necesita un număr imens de încercări de forță brută ale unui atacator extern. Fără nicio cunoaștere prealabilă a secvenței, atacatorul ar trebui să încerce fiecare combinație dintre cele trei porturi de la 1 la 65.535 și, după fiecare încercare, ar trebui să fie făcută o verificare pentru a se deschide vreun port. De asemenea, cele trei cifre corecte ar trebui să fie primite în ordine, fără alte pachete de date primite între ele. O astfel de tentativă de forță brută ar necesita aproximativ 9, 2 pachete de date de cvintilaie doar pentru a deschide cu succes o simplă lovitură cu trei porturi. Mai mult decât atât, încercarea este făcută și mai dificilă atunci când hashurile criptografice (o metodă de producere a cheilor unice) sau secvențe mai lungi și mai complexe sunt utilizate ca parte a baterii portului.
De fapt, dacă mai multe încercări legitime de la diferite adrese IP ar deschide și închide porturi, atacatorii rău simultan ar fi zădărnicit. Și dacă o încercare de forță brută va avea succes, mecanismele de securitate portuară și autentificarea serviciilor ar trebui, de asemenea, să fie negociate. În plus, orice atacatori nu pot detecta că un demon este în lucru (adică portul pare închis) până nu deschid cu succes un port.
Există câteva dezavantaje. Sistemele de lovire a porturilor sunt foarte dependente de daemon care funcționează corect și dacă nu funcționează, nu se poate face nicio conexiune cu porturile. Astfel, daemon creează un singur punct de eșec. Un atacator poate fi de asemenea capabil să blocheze orice adresă IP cunoscute, trimițând pachete de date cu adrese IP false (adică spoofed) către porturi aleatorii și adresele IP nu pot fi ușor schimbate. (Acest lucru poate fi abordat cu hash-uri criptografice.) În sfârșit, există posibilitatea ca cererile legitime de a deschide un port pot include pachete de rute TCP / IP fără ordin; sau unele pachete pot fi aruncate. Aceasta necesită expeditorului să retrimită pachetele.
