Dobri momci i loši momci koriste ovaj metod za otvaranje luka
Idealno je da želite ograničiti i kontrolisati saobraćaj koji je dozvoljen u vašoj mreži ili računaru. Ovo se može učiniti na različite načine. Dva od primarnih metoda su da se osigura da nepotrebni portovi na vašem računaru nisu otvoreni ili da slušaju veze i da koriste zaštitni zid - bilo na samom računaru ili na perimetru mreže - kako bi blokirali neovlašćeni saobraćaj.
Praćenjem saobraćaja i manipulacijom pravila zaštitnog zida zasnovanih na događajima moguće je napraviti neku vrstu "tajnog udarca" koji će otvoriti vrata i pustiti vas kroz zaštitni zid. Iako nijedna luka nije mogla biti otvorena u to vrijeme, određeni niz pokušaja povezivanja zatvorenih portova može obezbediti okidač da otvori port za komunikaciju.
Na kratko, imali biste uslugu koja radi na ciljnom uređaju koji bi gledao mrežnu aktivnost - obično praćenjem dnevnika vatrozida . Usluga bi trebala znati "tajni udarac" - na primjer, neuspešni pokušaji povezivanja portova 103, 102, 108, 102, 105. Ako je usluga naišla na "tajni udarac" u ispravnom redosledu, onda će automatski promijeniti pravila zaštitnog zida da otvorite određenu lučicu da biste omogućili daljinski pristup.
Nažalost, pisci malvera na svetu (ili na sreću - videćete zašto za trenutak) počeli su da primenjuju ovu tehniku za otvaranje bokova na viktimizovanim sistemima. U osnovi, umjesto otvaranja portova za daljinsko povezivanje koje su lako vidljive i detektabilne, postavljen je trojanac koji prati mrežni saobraćaj. Kada se "tajni udarac" presreta, malver će probuditi i otvoriti unapred određeni port za vrata, dozvoljavajući napadaču pristup sistemu.
Rekao sam gore da je ovo u stvari dobra stvar. Pa, zaražavanje malwarea bilo koje vrste nikada nije dobra stvar. Ali, kako stoji odmah kada virus ili crv započne otvaranje luka i ti brojevi portova postaju javno poznati, zaraženi sistemi postaju otvoreni za napad bilo koga - a ne samo pisac malvera koji je otvorio stražnju zgradu. Ovo u velikoj mjeri povećava šanse da postanu dalje kompromitovane ili naknadnog virusa ili crva koji kapitalizira otvorene portove stvorene prvim malverom.
Kreiranjem neaktivnog gepek-a koji zahteva "tajni udarac" da ga otvori, autor zlonamernog softvera čuva tajnu za pomoć. Opet, to je dobro i loše. Dobro jer svaki Tom, Dick i Harry hacker wannabe neće biti skeniranje portova kako bi pronašli ugrožene sisteme zasnovane na portu koji je otvorio malver. Loše, jer ako je uspavan, nećete znati da li postoji i možda neće biti lakog načina da se utvrdi da imate neizvršeni bravar na vašem sistemu koji čeka da se probudi kucanjem portova.
Ovaj trik može takođe koristiti i dobri momci, kao što je istaknuto u novijem Crypto-Gram newsletteru Bruce Schneier-a. U suštini administrator može u potpunosti zaključati sistem - ne dozvoljava nikakav spoljni saobraćaj, već implementira šemu za prijenos podataka. Upotrebom "tajnog kucanja" administrator bi tada mogao otvoriti port kada je potrebno za uspostavljanje udaljenog povezivanja.
Očigledno bi bilo važno održati tajnost "tajnog kucanja" šifre. U suštini, "tajni udarac" bi bio "lozinka" vrsta koja bi mogla omogućiti neograničen pristup svima koji su to znali.
Postoji niz načina za podešavanje kucanja portova i osiguranje integriteta šeme porta za kucanje - ali još uvijek postoje i prednosti i nedostaci korištenjem porta koji kucanjem sigurnosnog alata na vašoj mreži. Za više detalja pogledajte How To: Port Knocking na LinuxJournal.com ili neke od drugih veza s desne strane ovog članka.
Urednička napomena: Ovaj članak je zastareli sadržaj i ažurirao ga je Andy O'Donnell na 28.8.2013.