Dobří kluci a špatní kluci používají tuto metodu k otevření portů
V ideálním případě chcete omezit a řídit provoz, který je povolen do vaší sítě nebo počítače. To lze provést různými způsoby. Dvěma primárními metodami je zajistit, aby zbytečné porty na vašem počítači nebyly otevřené nebo poslouchaly připojení a používat firewall - buď na samotném počítači nebo v obvodě sítě - k zablokování neoprávněného provozu.
Monitorováním provozu a manipulací s pravidly brány firewall na základě událostí je možné vytvořit nějaký "tajný klepání", který otevře bránu a dovolí vám projít firewallem. I když v tomto okamžiku nemohou být otevřeny žádné porty, určitá řada pokusů o připojení k uzavřeným portům může poskytnout spoušť pro otevření portu pro komunikaci.
Stručně řečeno, měli byste mít službu běžící na cílovém zařízení, která by sledovala aktivitu sítě - obvykle sledováním protokolů firewallu . Služba by potřebovala znát "tajné zaklepání" - například pokusy o nesprávné připojení k portům 103, 102, 108, 102, 105. Pokud služba zjistila "tajné zaklepání" ve správném pořadí, automaticky by změnila pravidla brány firewall otevřít určený port umožňující vzdálený přístup.
Spisovatelé malwaru na světě bohužel (nebo naštěstí - uvidíte proč za minutu) začali používat tuto techniku pro otevírání zadních dveří na viktimizovaných systémech. V podstatě spíše než otevření portů pro vzdálené připojení, které jsou snadno viditelné a detekovatelné, je zasazen trojan, který monitoruje síťový provoz. Jakmile je "tajné zaklepání" zachyceno, malware se probudí a otevře předdefinovaný backdoor port a dovolí útočníkovi přístup do systému.
Řekl jsem výše, že to může být skutečně dobrá věc. Dobrá nákaza s jakýmkoli druhem malware nikdy není dobrá věc. Ale jak je tomu teď, jakmile virus nebo červ zahájí otevření portů a čísla portů se stanou veřejnými znalostmi, infikované systémy se stanou otevřené k útoku kdokoli - nejen spisovatelem malwaru, který otevřel zadní dveře. To značně zvyšuje pravděpodobnost dalšího ohrožení nebo následného využití viru nebo červu na otevřených portech vytvořených prvním malwarem.
Vytvořením spícího zadního krytu, který vyžaduje jeho "tajné zaklepání", aby ho otevřel, autor malware udržuje tajemství zálohy. Opět je to dobré a špatné. Dobré, protože každý Tom, Dick a Harry hacker wannabe nebudou z portu skenovat, aby nalezli zranitelné systémy založené na portu otevřeném malwarem. Špatné, protože pokud je spící, nebudete vědět, že je tam také a nemusí být snadný způsob, jak zjistit, že máte na svém systému spící zadní vrátku, která čeká na to, abyste se probudili při poruše portu.
Tento trik mohou být také použity dobrými kluky, jak bylo uvedeno v nedávném zpravodaji Crypto-Gram od Bruce Schneiera. V podstatě správce může zcela zablokovat systém - což neumožňuje externí provoz, ale implementuje schéma zaklepání portů. Pomocí "tajného klepání" bude správce schopen otevřít port, pokud bude nutné vytvořit vzdálené připojení.
Zjevně by bylo důležité zachovat důvěrnost kódu "tajného klepání". V podstatě by "tajné zaklepání" mohlo být "heslem", které by umožnilo neomezený přístup všem, kteří to věděli.
Existuje několik způsobů, jak nastavit porušení portů a zajistit integritu schématu zaklepávání portů - ale stále existují klady i zápory, pokud používáte port poškozující bezpečnostní nástroj v síti. Další podrobnosti naleznete v článku Jak na: Port Knocking na LinuxJournal.com nebo některé další odkazy vpravo od tohoto článku.
Poznámka redakce: Tento článek je starší obsah a byl aktualizován dne 8/28/2016 Andy O'Donnell.