Os bos rapaces e os pobres están usando este método para abrir portos
Idealmente quere restrinxir e controlar o tráfico que se permite na súa rede ou computadora. Isto pódese facer dunha variedade de formas. Dous dos métodos primarios son asegurarse de que os portos innecesarios no seu computador non estean abertos ou escoiten as conexións e empregue un firewall, xa sexa na propia computadora ou no perímetro da rede, para bloquear o tráfico non autorizado.
Ao controlar o tráfico e manipular as regras de cortalumes baseadas en eventos, é posible crear unha especie de "golpe secreto" que abrirá a porta e deixalo a través do firewall. Aínda que ningún porto poida estar aberto no momento, unha serie específica de intentos de conexión a portos pechados pode proporcionar o gatillo para abrir un porto para a comunicación.
En poucas palabras, tería un servizo que se executase no dispositivo obxectivo que vería a actividade da rede, normalmente supervisando rexistros de firewall . O servizo tería que coñecer o "golpe secreto" - por exemplo intentos de conexión fallou ao porto 103, 102, 108, 102, 105. Se o servizo atopou o "golpe secreto" na orde correcta, alteraría automaticamente as regras do firewall para abrir un porto designado para permitir o acceso remoto.
Os malware escritores do mundo desafortunadamente (ou, por sorte, verás por que nun minuto) comezaron a adoptar esta técnica para abrir portas xerais en sistemas victimizados. Basicamente, no canto de abrir portos para a conexión remota que son fácilmente visibles e detectables, plantáronse un troyano que monitorea o tráfico da rede. Unha vez que o "golpe secreto" é interceptado o malware espertará e abrirá o porto predeterminado do backdoor, permitindo que o atacante acceda ao sistema.
Eu dixen anteriormente que isto pode ser realmente bo. Ben, estar infectado con malware de calquera natureza nunca é bo. Pero, como está agora mesmo cando un virus ou gusano comeza a abrir portos e os números de porto convertéronse en coñecemento público os sistemas infectados volven a ser atacados por calquera, non só o escritor do malware que abriu o backdoor. Isto aumenta enormemente as probabilidades de comprometer aínda máis ou dun virus ou worm posteriores capitalizando nos portos abertos creados polo primeiro malware.
Ao crear un backdoor inactivo que require o "golpe secreto" para que o abra, o autor de malware mantén o secreto no fondo. Unha vez máis, iso é bo e malo. Bo porque todos os xogadores de hackers de Tom, Dick e Harry non estarán fóra do escaneo portuario para atopar sistemas vulnerables baseados no porto aberto polo malware. Malo porque se está inactivo non sabes que está aí e non pode haber ningún xeito fácil de identificar que tes unha porta de atrás latente no teu sistema esperando ser espertado por golpe de porto.
Este truco tamén pode ser usado polos bos rapaces como se sinalou nun reciente boletín de Crypto-Gram de Bruce Schneier. Basicamente, un administrador pode bloquear por completo un sistema que non permite tráfico externo senón implementar un esquema de chamadas de portas. Usando o "golpe secreto" o administrador poderá entón abrir un porto cando sexa necesario para establecer unha conexión remota.
Evidentemente, sería importante manter a confidencialidade do código "secreto". Basicamente, o "golpe secreto" sería unha "contraseña" de tipos que podería permitir o acceso sen restricións a quen o coñecese.
Existen varias formas de configurar a chamada de portos e asegurar a integridade do esquema de golpe de portes, pero aínda hai pros e contras para utilizar o porto chamando a unha ferramenta de seguridade na súa rede. Para obter máis información, consulte Como: Port Knocking en LinuxJournal.com ou algúns dos outros enlaces á dereita deste artigo.
Nota do editor: este artigo é un contido antigo e foi actualizado por Andy O'Donnell o 28/08/2016.