Poznať tajný port Knock môže otvoriť váš systém

Dobrí a chlapci používajú túto metódu na otvorenie portov

V ideálnom prípade chcete obmedziť a riadiť prevádzku, ktorá je povolená v sieti alebo počítači. Môže to byť vykonané rôznymi spôsobmi. Dve z primárnych metód spočívajú v tom, aby ste sa uistili, že nepotrebné porty na vašom počítači nie sú otvorené alebo počúvajú na pripojenia a používajú bránu firewall - či už na samotnom počítači alebo na obvode siete - na zablokovanie neoprávnenej návštevnosti.

Sledovaním návštevnosti a manipuláciou s pravidlami brány firewall na základe udalostí je možné vytvoriť akýsi "tajný úder", ktorý otvorí bránu a umožní vám prejsť cez bránu firewall. Aj keď v danom čase nie je možné otvoriť žiadne porty, špecifická séria pokusov o pripojenie k uzavretým portom môže poskytnúť spúšťač na otvorenie portu na komunikáciu.

Stručne povedané, na cieľovom zariadení by ste mali bežať službu, ktorá by sledovala činnosť siete - typicky monitorovaním protokolov firewallu . Služba by potrebovala poznať "tajné zaklopanie" - napríklad neúspešné pokusy o pripojenie k portu 103, 102, 108, 102, 105. Ak služba narazila na "tajné zaklepanie" v správnom poradí, automaticky by zmenila pravidlá brány firewall otvoriť určený port, ktorý umožní vzdialený prístup.

Spisovatelia malwaru na svete bohužiaľ (alebo našťastie uvidíte, prečo za chvíľu) začali prijímať túto techniku ​​na otvorenie zadných vrát v systémoch, ktoré sú obeťami. V podstate skôr ako otváranie portov pre vzdialené pripojenie, ktoré sú ľahko viditeľné a zistiteľné, je vysadený trojan, ktorý monitoruje sieťovú prevádzku. Akonáhle dôjde k zablokovaniu "tajného klepania", škodlivý softvér prebudí a otvorí vopred určený backdoor port a umožní útočníkovi prístup do systému.

Povedal som vyššie, že to môže byť v skutočnosti dobrá vec. Dobre infikované škodlivým softvérom nie je nikdy dobrá vec. Ale ako je tomu teraz, akonáhle vírus alebo červ začnú otvárať porty a čísla portov sa stávajú verejnými informáciami, infikované systémy sa stanú otvorenými útokom niekoho - nielen spisovateľom malware, ktorý otvoril zadnú časť. To značne zvyšuje pravdepodobnosť ďalšieho ohrozenia alebo následného vírusu alebo červa využívajúceho otvorené porty vytvorené prvým malware.

Vytvorením spiaceho backdoor, ktorý vyžaduje "tajné zaklopanie", aby ho otvoril, autor malware udržiava tajomstvo backdoor. Opäť je to dobré a zlé. Dobré, pretože každý Tom, Dick a Harry hacker wannabe nebudú vyriešiť port scanning nájsť zraniteľné systémy založené na portu otvoril malware. Zlé, pretože ak je to nečinné, nebudete vedieť, že je to tam a nemusí existovať žiaden jednoduchý spôsob, ako zistiť, že máte na svojom systéme nečinnú zadnú vrátku, ktorá čaká na to, že ju prebudíte porazením prístavu.

Tento trik môžu byť tiež použité dobrými chlapcami, ako je uvedené v nedávnom informačnom bulletine Crypto-Gram od Bruce Schneiera. V podstate môže správca úplne zablokovať systém - neumožňovať žiadnu externú návštevnosť - ale implementovať schému narušenia portov. Pomocou "tajného klepania" by správca mohol otvoriť port, ak je to potrebné na vytvorenie vzdialeného pripojenia.

Bolo by samozrejme dôležité zachovať dôvernosť kódu "tajného klopania". V podstate by "tajné zaklopanie" bolo "heslo" druhov, ktoré by umožnili neobmedzený prístup ku každému, kto to vedel.

Existuje niekoľko spôsobov, ako nastaviť poruchu portov a zabezpečiť integritu schémy zaklepávania portov - ale stále existujú klady a zápory na používanie portového nástroja v sieti. Podrobnejšie informácie nájdete v časti Ako na to: Port Knocking na LinuxJournal.com alebo niektoré z ďalších odkazov napravo od tohto článku.

Poznámka editora: Tento článok je starším obsahom a bol aktualizovaný Andy O'Donnell dňa 28.8.2016.