Indholdsfortegnelse:
Definition - Hvad betyder Port Knocking?
Port knocking er en godkendelsesteknologi, der bruges af netværksadministratorer. Det består af en specificeret sekvens af lukkede portforbindelsesforsøg til specifikke IP-adresser kaldet en knock-sekvens. Teknikkerne bruger en dæmon, der overvåger en firewalls logfiler på udkig efter den korrekte forbindelsesanmodningssekvens. Derudover bestemmer det generelt, om den enhed, der søger portindgang, er på den godkendte liste over IP-adresser.
Techopedia forklarer Port Knocking
Port knocking, selv ved hjælp af en simpel sekvens som "2000, 3000, 4000" ville kræve et stort antal brute force forsøg fra en ekstern angriber. Uden nogen forudgående viden om sekvensen, ville angriberen have til at prøve hver kombination af de tre porte fra 1 til 65.535, og efter hvert forsøg skulle der foretages en kontrol for at se, om der blev åbnet nogen porte. Desuden skulle de korrekte tre cifre modtages i rækkefølge uden at modtage andre datapakker imellem. Et sådant brute force-forsøg ville kræve cirka 9, 2 quintillion datapakker bare for at åbne et enkelt, enkelt tre-port knock. Derudover gøres forsøget endnu vanskeligere, når kryptografiske hashes (en metode til at fremstille engangsnøgler) eller længere og mere komplekse sekvenser bruges som en del af port knocking.
Faktisk, hvis flere legitime forsøg fra forskellige IP-adresser åbner og lukker havne, ville samtidige ondsindede angribere blive afværget. Og hvis et brute force-forsøg var vellykket, ville havnesikkerhedsmekanismer og service-godkendelse også være nødvendigt at forhandle. Derudover kan enhver angribere ikke registrere, at en dæmon er på arbejde (dvs. porten ser ud til at være lukket), før de med succes åbner en port.
Der er et par ulemper. Port knocking systemer er meget afhængige af, at dæmonen fungerer korrekt, og hvis den ikke fungerer, kan der ikke oprettes forbindelse med porte. Således skaber dæmonen et enkelt mislykkelsespunkt. En angriber kan også være i stand til at låse eventuelle kendte IP-adresser ved at sende datapakker med falske (dvs. forfalskede) IP-adresser til tilfældige porte, og IP-adresser kan ikke let ændres. (Dette kan adresseres med kryptografiske hascher.) Endelig er der muligheden for legitime anmodninger om at åbne en port kan omfatte TCP / IP-rute pakker ude af drift; eller nogle pakker kan tabes. Dette kræver, at afsenderen sender pakkerne igen.
