Definición - ¿Qué significa Port Knocking?
El golpe de puerto es una técnica de autenticación utilizada por los administradores de red. Consiste en una secuencia específica de intentos de conexión de puerto cerrado a direcciones IP específicas llamada secuencia de golpe. Las técnicas utilizan un demonio que monitorea los archivos de registro de un firewall buscando la secuencia correcta de solicitud de conexión. Además, generalmente determina si la entidad que busca la entrada al puerto está en la lista aprobada de direcciones IP.
Techinfo explica Port Knocking
El golpe de puerto, incluso usando una secuencia simple como "2000, 3000, 4000" requeriría una gran cantidad de intentos de fuerza bruta por parte de un atacante externo. Sin ningún conocimiento previo de la secuencia, el atacante tendría que probar todas las combinaciones de los tres puertos del 1 al 65,535 9.2 y después de cada intento se tendría que hacer una verificación para ver si se abrió algún puerto. Además, los tres dígitos correctos deberían recibirse en orden, sin que se reciban otros paquetes de datos en el medio. Un intento de fuerza bruta de este tipo requeriría aproximadamente XNUMX trillones de paquetes de datos solo para abrir con éxito un simple golpe de tres puertos. Además, el intento se hace aún más difícil cuando se utilizan hashes criptográficos (un método para producir claves de un solo uso), o secuencias más largas y complejas, como parte de la llamada de puertos.
De hecho, si varios intentos legítimos de diferentes direcciones IP abrieran y cerraran puertos, los atacantes maliciosos simultáneos se verían frustrados. Y si un intento de fuerza bruta tuviera éxito, también sería necesario negociar los mecanismos de seguridad del puerto y la autenticación del servicio. Además, los atacantes no pueden detectar que un demonio está en funcionamiento (es decir, el puerto parece cerrado) hasta que lo abran.
Hay algunas desventajas. Los sistemas de detección de puertos dependen en gran medida del funcionamiento correcto del demonio y, si no funciona, no se puede establecer ninguna conexión con los puertos. Por tanto, el daemon crea un único punto de falla. Un atacante también puede bloquear cualquier dirección IP conocida enviando paquetes de datos con direcciones IP falsas (es decir, falsificadas) a puertos aleatorios y las direcciones IP no se pueden cambiar fácilmente. (Esto se puede solucionar con hashes criptográficos). Finalmente, existe la posibilidad de que las solicitudes legítimas para abrir un puerto incluyan paquetes de ruta TCP / IP fuera de servicio; o se pueden descartar algunos paquetes. Esto requiere que el remitente vuelva a enviar los paquetes.