A jó srácok és a rossz fiúk ezt a módszert használják a kikötők megnyitásához
Ideális esetben korlátozni és ellenőrizni kell a hálózaton vagy számítógépen engedélyezett forgalmat. Ezt többféleképpen lehet elvégezni. Az elsődleges módszerek közül kettő annak biztosítása, hogy a számítógépen felesleges portok ne legyenek nyitva vagy hallgathatók a kapcsolatokra, és hogy a tűzfalat - akár a számítógépen, akár a hálózati kereteken - az illetéktelen forgalom megakadályozására használják.
A forgalom figyelemmel kísérése és az eseményeken alapuló tűzfalszabályok manipulálása lehetővé teszi egyfajta "titkos kopogás" létrehozását, amely megnyitja a kaput, és átengedi a tűzfalat. Annak ellenére, hogy egyetlen port sem lehet nyitva, akkor a zárt portok megpróbálására szolgáló speciális kapcsolási sorozatot létrehozhat a kommunikációs port megnyitásához.
Dióhéjban egy olyan szolgáltatás futna a célkészüléken, amely figyeli a hálózati tevékenységet - jellemzően a tűzfalnaplók naplózásával. A szolgáltatásnak ismernie kell a "titkos kopogást" - például a 103., 102., 108., 102., 105., 103., 108., 108., 102. és 105. portra vonatkozó sikertelen kapcsolódási kísérleteket. Ha a szerver a megfelelő sorrendben találkozott a "titkos kopogással", akkor automatikusan megváltoztatja a tűzfal szabályait egy távoli hozzáférést biztosító kijelölt port megnyitásához.
Sajnos a világ rosszindulatú íróinak (vagy szerencsére - látni fogják, miért egy perc alatt) elkezdte elfogadni ezt a technikát, hogy megnyugodjanak az áldozattá váló rendszerek. Alapvetően, ahelyett, hogy megnyitná a távoli kapcsolatok portjait, amelyek jól láthatóak és kimutathatók, egy trójai ültettek, amely figyeli a hálózati forgalmat. Miután a "titkos kopogás" elhallgatott, a malware fel fogja ébredni és megnyitja az előre meghatározott hátsó portot, így a támadó hozzáférhet a rendszerhez.
Azt mondtam, hogy ez tényleg jó dolog. Nos, bármilyen rosszindulatú programmal fertőzött soha nem jó dolog. De ahogy most áll, amikor egy vírus vagy féreg elkezdi megnyitni a kikötőket, és ezek a portszámok nyilvánosan ismertté válnak, a fertőzött rendszerek nyitottak lesznek bárki támadására - nem csak a hátsóajtó megnyitására szolgáló rosszindulatú író. Ez nagymértékben növeli az esetleges további veszélyt, vagy egy későbbi vírust vagy férget, amely az első rosszindulatú program által létrehozott nyitott portokon kapható.
Az alvó hátsó ajtó létrehozásával, amely megköveteli a "titkos kopogás" megnyitását, a malware szerzője titokban tartja a hátsó ajtót. Ismét ez jó és rossz. Jó, mert minden Tom, Dick és Harry hacker wannabe nem lesz kikötői beolvasás, hogy kiszolgáltatott rendszereket találjon a rosszindulatú programok által megnyitott port alapján. Rossz, mert ha nyugvó, nem fogod tudni, hogy ott van, és lehet, hogy nem lesz könnyű azonosítani, hogy van egy alvó hátsóajtó a rendszereden, várva, hogy felébredjen a kikötő kopogás.
Ezt a trükköt a jó fiúk is használhatják, ahogy egy Bruce Schneier legújabb Crypto-Gram hírlevele is rámutat. Alapvetően egy rendszergazda teljesen bezárhatja a rendszert - így nem lehet külső forgalom - de port-kopogást is megvalósítani. A "titkos kopogás" használatával a rendszergazda akkor tud megnyitni egy portot, ha szükséges távoli kapcsolatot létesít.
Nyilvánvalóan fontos lenne fenntartani a "titkos kopogás" kód titkosságát. Alapvetően a "titkos kopogás" olyan fajta "jelszó" lenne, amely korlátlan hozzáférést biztosítana bárkinek, aki tudta.
A kikötő kopogásának beállítása és a kikötő kopogás sértetlenségének biztosítása érdekében számos lehetőség van, de vannak előnyei és hátrányai annak, hogy a portot biztonsági eszközökkel ütögetik a hálózaton. További részletekért lásd: Hogyan: Port Knocking on LinuxJournal.com vagy néhány más hivatkozás a jobb oldalon a cikket.
A szerkesztő megjegyzése: Ez a cikk az örökölt tartalom, amelyet Andy O'Donnell frissített a 28/8.