Inhaltsverzeichnis:
Definition - Was bedeutet Port Knocking?
Port-Knocking ist eine Authentifizierungstechnik, die von Netzwerkadministratoren verwendet wird. Es besteht aus einer festgelegten Sequenz von Versuchen, eine Verbindung mit einem geschlossenen Port zu bestimmten IP-Adressen herzustellen, die als Klopfsequenz bezeichnet wird. Die Techniken verwenden einen Dämon, der die Protokolldateien einer Firewall überwacht, um nach der richtigen Reihenfolge der Verbindungsanforderungen zu suchen. Darüber hinaus wird im Allgemeinen bestimmt, ob die Entität, die den Portzugang sucht, in der genehmigten Liste der IP-Adressen aufgeführt ist.
Techopedia erklärt Port Knocking
Das Anklopfen von Ports, selbst wenn eine einfache Sequenz wie "2000, 3000, 4000" verwendet wird, würde eine große Anzahl von Brute-Force-Versuchen durch einen externen Angreifer erfordern. Ohne vorherige Kenntnis der Reihenfolge müsste der Angreifer jede Kombination der drei Ports von 1 bis 65.535 testen und nach jedem Versuch prüfen, ob Ports geöffnet sind. Außerdem müssten die richtigen drei Ziffern in der richtigen Reihenfolge empfangen werden, ohne dass dazwischen andere Datenpakete empfangen werden. Ein solcher Brute-Force-Versuch würde ungefähr 9, 2 Billionen Datenpakete erfordern, nur um ein einfaches, einzelnes Drei-Port-Klopfen erfolgreich zu eröffnen. Darüber hinaus wird der Versuch noch erschwert, wenn kryptografische Hashes (ein Verfahren zur Herstellung von Einmalschlüsseln) oder längere und komplexere Sequenzen als Teil des Port-Knockings verwendet werden.
Wenn mehrere legitime Versuche von verschiedenen IP-Adressen zum Öffnen und Schließen von Ports führen würden, würden gleichzeitig böswillige Angreifer vereitelt. Und wenn ein Brute-Force-Versuch erfolgreich wäre, müssten auch die Port-Sicherheitsmechanismen und die Dienstauthentifizierung ausgehandelt werden. Darüber hinaus können Angreifer erst erkennen, dass ein Dämon aktiv ist (dh der Port wird geschlossen angezeigt), wenn sie einen Port erfolgreich geöffnet haben.
Es gibt einige Nachteile. Port-Knocking-Systeme hängen stark davon ab, dass der Dämon ordnungsgemäß funktioniert. Wenn dies nicht funktioniert, kann keine Verbindung zu den Ports hergestellt werden. Auf diese Weise erstellt der Dämon einen einzelnen Fehlerpunkt. Ein Angreifer kann auch bekannte IP-Adressen sperren, indem er Datenpakete mit gefälschten (dh gefälschten) IP-Adressen an zufällige Ports sendet, und IP-Adressen können nicht einfach geändert werden. (Dies kann mit kryptografischen Hashes behoben werden.) Schließlich besteht die Möglichkeit, dass legitime Anforderungen zum Öffnen eines Ports TCP / IP-Routenpakete in einer falschen Reihenfolge enthalten. oder einige Pakete können verworfen werden. Dazu muss der Absender die Pakete erneut senden.
