Inhoudsopgave:
Definitie - Wat betekent Port Knocking?
Port knocking is een authenticatietechniek die wordt gebruikt door netwerkbeheerders. Het bestaat uit een gespecificeerde reeks gesloten poortverbindingspogingen naar specifieke IP-adressen die een knock-reeks worden genoemd. De technieken gebruiken een daemon die de logbestanden van een firewall controleert op zoek naar de juiste volgorde van verbindingsaanvragen. Bovendien bepaalt het in het algemeen of de entiteit die poorttoegang zoekt op de goedgekeurde lijst met IP-adressen staat.
Techopedia legt Port Knocking uit
Het kloppen van poorten, zelfs met behulp van een eenvoudige reeks zoals "2000, 3000, 4000" zou een enorm aantal brute force-pogingen van een externe aanvaller vereisen. Zonder enige voorkennis van de volgorde zou de aanvaller elke combinatie van de drie poorten van 1 tot 65.535 moeten proberen en na elke poging zou moeten worden gecontroleerd of er poorten zijn geopend. Ook zouden de juiste drie cijfers op volgorde moeten worden ontvangen, zonder dat er andere datapakketten tussendoor worden ontvangen. Een dergelijke brute force-poging zou ongeveer 9, 2 quintillion datapakketten vereisen, alleen om met succes een eenvoudige, enkele drie-poort klop te openen. Bovendien wordt de poging nog moeilijker gemaakt wanneer cryptografische hashes (een methode voor het produceren van eenmalige sleutels), of langere en meer complexe sequenties, worden gebruikt als onderdeel van het poortkloppen.
Als meerdere legitieme pogingen van verschillende IP-adressen poorten openen en sluiten, zouden gelijktijdige kwaadwillende aanvallers worden gedwarsboomd. En als een brute force-poging succesvol zou zijn, zou er ook over havenbeveiligingsmechanismen en service-authenticatie moeten worden onderhandeld. Bovendien kunnen aanvallers niet detecteren dat een daemon aan het werk is (dat wil zeggen dat de poort gesloten lijkt) totdat ze met succes een poort openen.
Er zijn een paar nadelen. Port knocking-systemen zijn erg afhankelijk van de juiste werking van de daemon en als dit niet werkt, kan er geen verbinding worden gemaakt met de poorten. De daemon creëert dus een enkel punt van mislukking. Een aanvaller kan mogelijk ook bekende IP-adressen blokkeren door datapakketten met nep (dwz vervalste) IP-adressen naar willekeurige poorten te sturen en IP-adressen kunnen niet gemakkelijk worden gewijzigd. (Dit kan worden aangepakt met cryptografische hashes.) Ten slotte is er de mogelijkheid dat legitieme verzoeken om een poort te openen TCP / IP-routepakketten buiten gebruik kunnen bevatten; of sommige pakketten kunnen vallen. Dit vereist dat de afzender de pakketten opnieuw verzendt.
