Définition - Que signifie Port Knocking?
Le cliquetis de port est une technique d'authentification utilisée par les administrateurs réseau. Il se compose d'une séquence spécifiée de tentatives de connexion de port fermé à des adresses IP spécifiques appelée séquence de cliquetis. Les techniques utilisent un démon qui surveille les fichiers journaux d'un pare-feu à la recherche de la séquence de demande de connexion correcte. En outre, il détermine généralement si l'entité qui recherche l'entrée du port figure sur la liste approuvée des adresses IP.
Definir Tech explique Port Knocking
La frappe de port, même en utilisant une séquence simple telle que "2000, 3000, 4000", nécessiterait un grand nombre de tentatives de force brute par un attaquant externe. Sans aucune connaissance préalable de la séquence, l'attaquant devrait essayer toutes les combinaisons des trois ports de 1 à 65,535 9.2 et après chaque tentative, une vérification devrait être effectuée pour voir si des ports s'ouvrent. De plus, les trois bons chiffres devraient être reçus dans l'ordre, sans autre paquet de données reçu entre les deux. Une telle tentative de force brute nécessiterait environ XNUMX quintillions de paquets de données juste pour réussir à ouvrir un simple coup à trois ports. De plus, la tentative est rendue encore plus difficile lorsque des hachages cryptographiques (une méthode de production de clés à usage unique), ou des séquences plus longues et plus complexes, sont utilisés dans le cadre du cliquetis de port.
En fait, si plusieurs tentatives légitimes à partir d'adresses IP différentes ouvraient et fermaient des ports, les attaquants malveillants simultanés seraient contrecarrés. Et si une tentative de force brute réussissait, les mécanismes de sécurité des ports et l'authentification des services devraient également être négociés. De plus, les attaquants ne peuvent pas détecter qu'un démon est au travail (c'est-à-dire que le port semble fermé) tant qu'ils n'ont pas réussi à ouvrir un port.
Il y a quelques inconvénients. Les systèmes de frappe de port sont très dépendants du bon fonctionnement du démon et s'il ne fonctionne pas, aucune connexion ne peut être établie avec les ports. Ainsi, le démon crée un point de défaillance unique. Un attaquant peut également être en mesure de verrouiller toutes les adresses IP connues en envoyant des paquets de données avec de fausses adresses IP (c'est-à-dire usurpées) à des ports aléatoires et les adresses IP ne peuvent pas être facilement modifiées. (Cela peut être résolu avec des hachages cryptographiques.) Enfin, il y a la possibilité que des demandes légitimes d'ouverture d'un port incluent des paquets de route TCP / IP dans le désordre; ou certains paquets peuvent être abandonnés. Cela oblige l'expéditeur à renvoyer les paquets.