Definição – O que significa Port Knocking?
A detonação de porta é uma técnica de autenticação usada por administradores de rede. Consiste em uma sequência especificada de tentativas de conexão de porta fechada para endereços IP específicos, chamada de sequência de batida. A técnica usa um daemon que monitora os arquivos de log de um firewall procurando a seqüência correta de solicitação de conexão. Além disso, geralmente determina se a entidade que busca a entrada na porta está na lista de endereços IP aprovados.
Definirtec explica Port Knocking
A batida de porta, mesmo usando uma sequência simples como “2000, 3000, 4000”, exigiria um grande número de tentativas de força bruta por um invasor externo. Sem qualquer conhecimento prévio da sequência, o invasor teria que tentar todas as combinações das três portas de 1 a 65,535 e, após cada tentativa, uma verificação teria que ser feita para ver se alguma porta estava aberta. Da mesma forma, os três dígitos corretos teriam que ser recebidos em ordem, sem nenhum outro pacote de dados recebido entre eles. Tal tentativa de força bruta exigiria aproximadamente 9.2 quintilhões de pacotes de dados apenas para abrir com sucesso uma batida simples de três portas. Além disso, a tentativa torna-se ainda mais difícil quando hashes criptográficos (um método de produção de chaves únicas), ou sequências mais longas e mais complexas, são usados como parte da batida de porta.
Na verdade, se várias tentativas legítimas de diferentes endereços IP abrissem e fechassem portas, invasores mal-intencionados simultâneos seriam impedidos. E se uma tentativa de força bruta fosse bem-sucedida, os mecanismos de segurança de porta e autenticação de serviço também precisariam ser negociados. Além disso, nenhum invasor pode detectar que um daemon está funcionando (ou seja, a porta parece fechada) até que a abra com êxito.
Existem algumas desvantagens. Os sistemas de detonação de portas dependem muito do daemon funcionando corretamente e, se não funcionar, nenhuma conexão pode ser feita com as portas. Portanto, o daemon cria um único ponto de falha. Um invasor também pode bloquear quaisquer endereços IP conhecidos, enviando pacotes de dados com endereços IP falsos (ou seja, falsificados) para portas aleatórias e os endereços IP não podem ser alterados facilmente. (Isso pode ser resolvido com hashes criptográficos.) Finalmente, há a possibilidade de solicitações legítimas para abrir uma porta podem incluir pacotes de rota TCP / IP fora de ordem; ou alguns pacotes podem ser descartados. Isso exige que o remetente reenvie os pacotes.