Els bonics i els dolents estan utilitzant aquest mètode per obrir ports
L'ideal és que vulgueu restringir i controlar el trànsit que es permet a la vostra xarxa o ordinador. Això es pot fer de diverses maneres. Dos dels mètodes principals són assegurar-se que els ports innecessaris de l'ordinador no estiguin oberts per escoltar les connexions i utilitzar un servidor de seguretat, ja sigui a l'ordinador o al perímetre de la xarxa, per bloquejar el trànsit no autoritzat.
Mitjançant la monitorització de trànsit i la manipulació de regles de firewall basades en esdeveniments, és possible crear una espècie de "truc secreta" que obrirà la porta i el deixarà a través del servidor de seguretat. Tot i que no hi ha cap port obert en el moment, una sèrie específica d'intents de connexió a ports tancats pot proporcionar el desencadenador per obrir un port per a la comunicació.
En poques paraules, tindria un servei que s'executaria en el dispositiu objectiu que veuria l'activitat de la xarxa, en general mitjançant la supervisió dels registres de tallafocs . El servei hauria de conèixer el "cop de seguretat": per exemple, els intents de connexió fallits al port 103, 102, 108, 102, 105. Si el servei es va trobar amb el "cop de seguretat" en l'ordre correcte, automàticament alteraria les regles del tallafocs per obrir un port designat per permetre l'accés remot.
Els escriptors de malware del món, malauradament (o, afortunadament, ja veureu per què en un minut) van començar a adoptar aquesta tècnica per obrir les portes posteriors a sistemes victimitzats. Bàsicament, en lloc d'obrir ports per a la connexió remota que són fàcilment visibles i detectables, es planta un troià que supervisa el trànsit de la xarxa. Una vegada que s'intercepti el "toc secreto", el programari maliciós despertarà i obrirà el port predeterminat de la porta del darrere, permetent que l'atacant accedeixi al sistema.
He dit anteriorment que això pot ser una cosa bona. Bé, estar infectat amb malware de qualsevol tipus mai és bo. Però, tal com està ara, un virus o cuc s'inicia a obrir ports i aquests nombres de port es converteixen en coneixement públic, els sistemes infectats estan oberts a atacar per qualsevol persona, no només l'escriptor del malware que va obrir la porta del darrere. Això augmenta enormement les probabilitats de comprometre's més o d'un virus o cuc de posterior que aprofitin els ports oberts creats pel primer malware.
En crear una portada de fons inactiva que requereix el "truc secre" per obrir-lo, l'autor de programari maliciós manté el secret secre. De nou, això és bo i dolent. Bé perquè tots els consumidors de pirates informàtics de Tom, Dick i Harry no sortiran de l'exploració del port per trobar sistemes vulnerables basats en el port obert pel programari maliciós. Mala, perquè si està inactiu no sabràs que hi és, i pot ser que no hi hagi cap manera d'identificar que teniu una porta del darrere inactiva al vostre sistema esperant despertar-se per tocar el port.
Aquest truc també pot ser utilitzat pels nois bons com es va assenyalar en un recent butlletí Crypto-Gram de Bruce Schneier. Bàsicament, un administrador pot bloquejar completament un sistema que no permeti cap trànsit extern, sinó que implementa un esquema de trucs de ports. Utilitzant el "truc secreta", l'administrador podrà obrir un port quan sigui necessari per establir una connexió remota.
Evidentment, seria important mantenir la confidencialitat del codi "secret knock". Bàsicament, "knock secreta" seria una "contrasenya" de tipus que podria permetre l'accés sense restriccions a qualsevol que ho conegués.
Hi ha diverses maneres d'establir els atacs portuaris i garantir la integritat de l'esquema de llançament de ports, però encara hi ha pros i contres per utilitzar el port trucant una eina de seguretat a la vostra xarxa. Per obtenir més informació, consulteu Com: Port trucant a LinuxJournal.com o alguns dels enllaços a la dreta d'aquest article.
Nota de l'editor: aquest article és un contingut hereu i va ser actualitzat per Andy O'Donnell el 28/08/2016.