Port kopogtatás - avagy engedjük be magunkat a zárt tűzfalon keresztül a saját gépünkre
A tűzfal adminisztrátoroknak annak a kihívásnak kell megfelelniük, hogy egyensúlyozniuk kell a rugalmasság és a megbízhatóság közötti vékony ösvényen. A jó tűzfalnak védelmet kell nyújtania a "rossz fiúkkal" szemben, viszont a megbízható felhasználóknak lehetővé kell tennie, hogy azok kapcsolódhassanak. Sajnos nem elegendő az, hogy a "rossz fiúk" IP címeit szűrjük, mert az IP cím nem minden esetben határozza meg a kérdéses felhasználót (dinamikus IP címről jön (ISP), NAT mögött van, esetleg a rosszindulatú támadó egy spoofolt IP címet használ, stb.). A "rossz fiúk" jöhetnek a megbízhatónak gondolt (trusted) IP címekről is. A nyitott portok sebezhetőek maradnak, lehetővé teszik a támadóknak, hogy kapcsolódhassanak hozzájuk, és szerencsétlen esetben akár a támadás kapuivá is válhatnak. Akkor mit lehet tenni? - kérdezhetnénk. Van egy technika, amelyet ebben az esetben alkalmazni lehet. A neve a port kopogtatás (port knocking), amely lehetővé teszi a megbízhatónak minősített felhasználók számára, hogy kapcsolódhassanak a lezárt portokhoz, és manipulálhassák a tűzfal szabályokat ezeken a lezárt portokon keresztül.Tulajdonképpen, a felhasználók kapcsolatot képesek felépíteni a lezárt portokon keresztül. A hibás kapcsolatokat a szerver oldali csomagszűrő rögzíti, és egy dæmon ezeket monitorozza. A kulcsszerepet a zárt portokra érkező csomagok szekvenciája játssza az authentkációs folyamatban. Ha egy megfelelően formázott "kopogtató" csomagsorozat (knock sequence) érkezik a zárt porthoz, akkor a zárt porton keresztül a felhasználónak lehetősége nyílik arra, hogy a tűzfal rule-okat módosítsa. Ez a felhasználó-alapú authentikációs rendszer egyben robosztusabb, mintha csak a kernel-beli csomagszűrőt használnánk, és titkosabb, hiszen egy esetleges portscan nem képes felderíteni a nyitott portokat (mivel nincsenek). A port kopogtatási technológia nem igényel egyetlen nyitott portot sem.
Érdekel a folytatás? Olvasd el itt.