Vlákno názorů k článku Port Knocking od Leoš Bitto - A co jinak, jednodušeji: pustím si nový serverový...

A co jinak, jednodušeji: pustím si nový serverový proces (pro jednoduchost k němu navrhuji přístup přes TCP, ale i UDP, ICMP, nebo jakákoliv jiná možnost jsou samozřejmě k dispozici také), který bude mít jedinou funkci: přijímat žádosti na jednorázové otevření komunikace z požadované IP adresy k požadovanému serveru (např. SSH). Žádosti budou patřičně zabezpečené. Tento hlídací proces by mohl běžet buď přímo na stejném počítači jako hlídaný server, nebo může běžet na routeru s paketovými filtry před hlídanými servery.

Pokud bych něco takového chtěl prodávat (t.j. aby to dobře vypadalo), asi bych onen proces naimplementoval jako https server, který bude vyžadovat klientské certifikáty, a uživatelům umožní si ve svém browseru pohodlně naklikat, kam a na jak dlouho chtějí komunikaci povolit. Samozřejmě by bylo třeba dát k dispozici i sadu URL, se kterými by se mohl bavit místo browseru nějaký https klient jednoduše spustitelný z příkazové řádky (aby šlo navazování oněch chráněných spojení rozumně automatizovat).

Idea je to tak jednoduchá, že se mi až nechce věřit, že ji dosud nikdo nerealizoval. Možná bych se do toho mohl ve volném čase pustit...

Bude to vypadat dobře, ale zvenčí bude vidět, že na dotyčném portu někdo čeká. Silnou stránkou port knockingu je, že o sobě nijak nedává vědět a zvenčí je (s výjimkou odposlechu) neodhalitelný. Z toho důvodu není šťastné používat TCP.

UDP bez odpovědi je nadějnější. Přemýšlím, jestli plyne nějaká nevýhoda z přímé komunikace s UDP vrátným (u port knockingu jsou pakety vyhazovány a komunikace probíhá přes log firewallu), ale žádná mě nenapadá.

Jedno slabé místo bych viděl v tom, že podstatou podobných metod je jejich originalita a malé rozšíření. Dokud bude port knocking používat pár nadšenců, kteří si ho uplácají na koleně (co kus to originál), bude to fungovat. Jakmile by se to dostalo na úroveň, kdy bude stačit nainstalovat RPM, které bude ve standardních distribucích, pak bude IMHO pro útočníky možné vysledovat tento typ komunikace, protože bude vykazovat určité standardní rysy.

Je to jako se zabezpečením auta, spočívajícím v instalaci skrytého vypínače, který (např.) přeruší přívod paliva do motoru. Dokud si to namontuje pár nadšenců (nebo jim to udělá známý automechanik), má to smysl. Pokud by to montovala přímo automobilka, nemůže to fungovat.