Índice:
Definição - O que significa Port Knocking?
Bater à porta é uma técnica de autenticação usada pelos administradores de rede. Consiste em uma sequência especificada de tentativas de conexão de porta fechada para endereços IP específicos chamados sequência de batida. As técnicas usam um daemon que monitora os arquivos de log de um firewall procurando a sequência correta de solicitação de conexão. Além disso, geralmente determina se a entidade que procura a entrada da porta está na lista aprovada de endereços IP.
Techopedia explica Port Knocking
Bater à porta, mesmo usando uma sequência simples como "2000, 3000, 4000" exigiria um grande número de tentativas de força bruta por um invasor externo. Sem nenhum conhecimento prévio da sequência, o invasor teria que tentar todas as combinações das três portas de 1 a 65.535 e, após cada tentativa, seria necessário fazer uma verificação para verificar se alguma porta estava aberta. Além disso, os três dígitos corretos teriam que ser recebidos em ordem, sem outros pacotes de dados recebidos no meio. Tal tentativa de força bruta exigiria aproximadamente 9, 2 quintilhões de pacotes de dados apenas para abrir com êxito uma batida simples e única de três portas. Além disso, a tentativa é dificultada ainda mais quando hashes criptográficos (um método de produção de chaves únicas) ou sequências mais longas e complexas são usadas como parte da batida na porta.
De fato, se várias tentativas legítimas de diferentes endereços IP estivessem abrindo e fechando portas, invasores maliciosos simultâneos seriam frustrados. E se uma tentativa de força bruta fosse bem-sucedida, os mecanismos de segurança das portas e a autenticação de serviços também precisariam ser negociados. Além disso, nenhum invasor pode detectar que um daemon está em funcionamento (por exemplo, a porta parece fechada) até que eles sejam abertos com êxito.
Existem algumas desvantagens. Os sistemas de porta batendo dependem muito do funcionamento correto do daemon e, se não funcionar, nenhuma conexão poderá ser feita com as portas. Assim, o daemon cria um único ponto de falha. Um invasor também pode bloquear qualquer endereço IP conhecido enviando pacotes de dados com endereços IP falsos (ou seja, falsificados) para portas aleatórias e os endereços IP não podem ser facilmente alterados. (Isso pode ser resolvido com hashes criptográficos.) Finalmente, existe a possibilidade de solicitações legítimas para abrir uma porta que podem incluir pacotes de rotas TCP / IP fora de ordem; ou alguns pacotes podem ser descartados. Isso requer que o remetente reenvie os pacotes.
