Băieții buni și băieții răi utilizează această metodă pentru a deschide porturile
În mod ideal, doriți să restricționați și să controlați traficul care este permis în rețeaua sau computerul dvs. Acest lucru se poate face într-o varietate de moduri. Două dintre metodele principale sunt să vă asigurați că porturile inutile de pe computer nu sunt deschise sau să ascultați conexiuni și să utilizați un firewall - fie pe computerul propriu-zis, fie pe perimetrul rețelei - pentru a bloca traficul neautorizat.
Prin monitorizarea traficului și manipularea regulilor de firewall bazate pe evenimente este posibil să creați un fel de "knock secret" care va deschide poarta și vă va permite să treceți prin firewall. Chiar dacă nu există porturi deschise la acea dată, o serie specifică de încercări de conectare la porturile închise poate furniza declanșatorul de a deschide un port pentru comunicare.
Pe scurt, ați avea un serviciu care rulează pe dispozitivul țintă care ar viziona activitatea rețelei - de obicei, prin monitorizarea jurnalelor de firewall . Serviciul ar trebui să știe "baterea secretă" - de exemplu încercările de conectare nereușite la portul 103, 102, 108, 102, 105. Dacă serviciul întâlnea "baterea secretă" în ordinea corectă, ar modifica automat regulile firewall-ului pentru a deschide un port desemnat pentru a permite accesul la distanță.
Scriitorii malware ai lumii au, din nefericire (sau din fericire, veți vedea de ce într-un minut), să începeți să adoptați această tehnică pentru a deschide spate pentru sistemele victimizate. În principiu, mai degrabă decât deschiderea de porturi pentru conexiuni la distanță care sunt ușor vizibile și detectabile, este plantat un troian care monitorizează traficul din rețea. Odată ce interceptarea "bătăii secrete" este interceptată, malware-ul se va trezi și va deschide portul predeterminat de backdoor, permițând atacatorului accesul la sistem.
Am spus mai sus că acest lucru ar putea fi de fapt un lucru bun. Păstrarea infectării cu malware de orice fel nu este niciodată un lucru bun. Dar, așa cum se întâmplă acum, odată ce un virus sau un vierme începe să deschidă porturile și numerele de porturi devin cunoscute de public, sistemele infectate devin deschise atacurilor de către oricine - nu doar scriitorul de malware care a deschis backdoor-ul. Acest lucru sporește foarte mult șansele de a deveni compromise în continuare sau de un viruș sau un vierm ulterior care valorifică porturile deschise create de primul malware.
Prin crearea unui backdoor dormit care necesită "baterea secretă" pentru ao deschide, autorul malware păstrează secretul backdoor-ului. Din nou, asta e bine și rău. Bine, pentru că fiecare Tom, Dick și Harry hacker wannabe nu vor ieși din portul de scanare pentru a găsi sisteme vulnerabile bazate pe portul deschis de malware. Rău, pentru că, dacă e în stare latentă, nu vei ști că e acolo și nu poate exista nici o cale ușoară de a constata că ai un backdoor dormit pe sistemul tău așteptând să te trezești prin ciocnirea portului.
Acest truc poate fi, de asemenea, folosit de băieții buni, după cum a subliniat într-un recent buletin informativ Crypto-Gram de la Bruce Schneier. În principiu, un administrator poate bloca complet un sistem - fără să permită trafic extern, dar să implementeze o schemă de răsturnare a porturilor. Folosind "baterea secretă", administratorul va putea apoi să deschidă un port atunci când este necesar pentru a stabili o conexiune la distanță.
Ar fi, evident, important să păstrăm confidențialitatea codului "secret knock". Practic, "bătaia secretă" ar fi o "parolă" de feluri care ar putea permite accesul nerestricționat la oricine știa.
Există o serie de moduri de a configura baterea portului și de a asigura integritatea sistemului de batere a porturilor - dar există totuși argumente pro și contra în utilizarea portului care bate un instrument de securitate în rețeaua dvs. Pentru mai multe detalii, consultați Cum să: Port Knocking pe LinuxJournal.com sau unele dintre celelalte link-uri din partea dreaptă a acestui articol.
Nota Editorului: Acest articol este conținut vechi și a fost actualizat de Andy O'Donnell în 28.08.2016.