Daudzi, daudzi jauninājumi nāk no Linux un Unix pasaules. Daži man ir vairāk intriģējoši nekā klauvēšana pie ostas. Kā globāls drošības spraudnis pakalpojumu aizsardzībai tam ir daudz darāmā un maz negatīvo aspektu. Tomēr viena vai otra iemesla dēļ tā cieš no izmantošanas un izpratnes trūkuma. Iespējams, ka daudzi administratori par to ir dzirdējuši, taču maz zina, kā to ieviest. Vēl mazāk to ir izmantojuši.
Pieskaršanās pie porta darbojas pēc koncepcijas, ka lietotājiem, kuri vēlas pievienoties tīkla pakalpojumam, ir jāuzsāk iepriekš noteikta porta savienojumu secība vai jānosūta unikāla baitu virkne, pirms attālais klients var izveidot savienojumu ar iespējamo pakalpojumu. Pamata formā attālā lietotāja klienta programmatūrai pirms savienojuma ar galamērķa portu vispirms ir jāveido savienojums ar vienu vai vairākiem portiem.
Piemēram, pieņemsim, ka attālais klients vēlas izveidot savienojumu ar SSH serveri. Administrators pirms laika konfigurē ostas klauvēšanas prasības, pieprasot, lai savienošana attālajiem klientiem vispirms izveidotu savienojumu ar 3400, 4000 un 9887 portiem, pirms tiek izveidots savienojums ar gala mērķa portu, 22. Administrators visiem likumīgajiem klientiem norāda pareizo savienojumu, lai izveidotu savienojumu. ; ļaunprātīgiem hakeriem, kuri vēlas izveidot savienojumu ar SSH pakalpojumu, tiks liegta piekļuve bez šīs kombinācijas. Ostas klauvēšana traucēs pat ostas skenēšanas un reklāmkarogu sagrābšanas entuziastiem.
Tā kā var izmantot jebkuru ostu un transporta protokolu kombināciju, iespējamo secību skaits, kas uzbrucējam būtu jāuzmin, ir liels. Pat ja hakeris zināja, ka ir iesaistīti tikai trīs ostas pieskārieni, kā tas bija ļoti vienkāršajā piemērā, ar 64 000 iespējamo TCP, UDP un ICMP (interneta vadības ziņojumu protokola) portu, no kuriem izvēlēties, iegūtais iespējamo kombināciju kopums hakerim mēģiniet uzskriet miljoniem. Ostu skeneri būs neapmierināti, jo klauvē pie ostas, lai klausītos, tiek izmantotas slēgtas ostas (vairāk par to tālāk).
Vislielākā priekšrocība ir tā, ka pieskaršanās ostai nav atkarīga no platformas, pakalpojuma un lietojumprogrammas: jebkura OS ar pareizu klienta un servera programmatūru var izmantot tās aizsardzību. Lai gan pieskaršanās ostai galvenokārt ir Linux / Unix ieviešana, ir arī Windows rīki, kas var darīt to pašu. Līdzīgi kā IPSec un citiem aizsardzības mehānismiem, nevienam no iesaistītajiem pakalpojumiem vai lietojumprogrammām nav jābūt informētiem par ostas klauvēšanu.
Portu klauvēšanas servera programmatūra darbojas, pārraugot ugunsmūra žurnālu un meklējot savienojumus ar slēgtiem portiem, vai arī IP kaudzīti. Iepriekšējā metode prasa, lai visi liegtie savienojuma mēģinājumi tiktu ātri ierakstīti ugunsmūra žurnālā, un portu klauvēšanas pakalpojums (dēmons) uzrauga un korelē likumīgās ostas klauvēšanas kombinācijas. Autentificētām klauvēšanas kombinācijām ostas pieklauvēšanas servera pakalpojums pēc tam ugunsmūrim liek atvērt pēdējo pieprasīto portu tikai likumīgajam portu klauvēšanas klientam - parasti to izseko pēc IP adreses.
Uzlabotākas ostu klauvēšanas darbības IP kaudzē un vai nu klausās un reģistrē savienojumus ar slēgtajiem portiem, vai arī izmanto sarežģītāku mehānismu. Dažas realizācijas pirmajā savienojuma mēģinājumā meklē noteiktu baitu sēriju. Šos baitus var pat "paslēpt" vienkāršā ICMP atbalss pieprasījuma pingā. Vēl spēcīgākas sarunu paņēmieni, kas saistīti ar ostu, ietver šifrēšanu vai asimetrisku autentifikāciju.
Ostas klauvēšana var arī kalpot kā papildu drošības slānis, lai aizsargātu augsta riska attālās pārvaldības pakalpojumus, piemēram, SSH un RDP (attālās darbvirsmas protokols). Diemžēl ostas klauvēšanu ir izmantojuši vairāk nekā daži rootkit Trojas zirgi, jo viņu hakeru veidotāji mēģina saglabāt kontroli pār saviem ļaunprātīgajiem radījumiem.
Kritiķi bieži norāda uz faktu, ka noklausīšanās hakeri, iespējams, spēs notvert un atkārtot veiksmīgo ostas klauvēšanas secību vai baitu sēriju. Lai gan tas varētu attiekties uz pamata ieviešanu, tādi uzbrukumi kā šie tiktu sagrauti, izmantojot sarežģītākas autentifikācijas metodes vai samazināti līdz minimumam, izmantojot sekundāras stingri kodētas atļautās IP adreses, piemēram, TCP iesaiņotājus.
Ja hakerim tomēr izdodas uzzināt jūsu kombināciju, vissliktākais scenārijs ir tāds, ka iebrucējs apiet ostas klauvēšanas aizsardzību un tagad viņam ir jāsaskaras ar jūsu parastajiem pakalpojuma drošības pasākumiem - pieteikšanās paroles pieprasīšana utt. Cik es varu pateikt, ostas klauvēšanas izmantošana var tikai nostiprināt jebkuru padziļinātu aizsardzību un neko nedarīt, lai to ievainotu.
Es vēlos, lai Windows pēc noklusējuma būtu iebūvēti ostas klauvēšanas mehānismi. Tas būtu jauks papildinājums Microsoft tirgū pārbaudītajām IPSec un Kerberos ieviešanām. Linux / Unix pasaulē ir pieejams pārpilnība ostas klauvēšanas ieviešanas variantu, no kuriem nevienam nav nepieciešama neticama pieredze, lai to konfigurētu vai izmantotu.
Lai iegūtu papildinformāciju par ostas klauvēšanu, apmeklējiet vietni www.portknocking.org vai en.wikipedia.org/wiki/Port_knocking. Lai iegūtu detalizētu informāciju par konfigurāciju vienā ieviešanas piemērā, skatiet vietni gentoo-wiki.com/HOWTO_Port_Knocking.
Lielisku portu klauvēšanas programmatūras un utilītu kolekciju var atrast vietnē www.portknocking.org/view/implementations, un citu Windows balstītu portu klauvēšanas serveri un klientu var atrast vietnē www.security.org.sg/code/portknock1 .html.
