Port Knocking: An�lisis e implementaci�n

Hay una técnica de seguridad llamada port knocking, que no la voy a explicar porque la gente de HispaSec hizo un excelente artículo sobre la descripción del sistema. Yo lo utilizo en mis routers para cuando viajo pueda tener accesos a los mismos, ya que no se cual es la dirección IP porque es dinámica.

En Mikrotik se puede implementar este sistema, hace mucho tiempo que en el wiki están los pasos para poder implementarlo, es una buena opción al momento de la seguridad.

A continuación pego parte del artículo de Hispasec, que es la parte descriptiva, pero vale la pena leer el artículo completo ya que tiene algunos conceptos interesantes.

¿Qué es "Port Knocking"?

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de "Port Knocking" es exactamente análogo.

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

Tomemos como ejemplo un demonio sshd escuchando en el puerto 22/TCP. Elegimos como secuencia de barrido la sucesión 43, 6540 y 82. El puerto 22 se abrirá si, y solo si, un usuario inicializa conexiones TCP hacia los puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el usuario recibirá como respuesta un RST/ACK cuando intenta comenzar una conexión hacia el puerto 22.

Si la secuencia correcta de inicializaciones ha sido efectuada, el puerto 22 se abrirá durante un lapso de tiempo determinado y únicamente para la IP que completó la secuencia previa. Una vez el puerto 22 se halle abierto, se pueden llevar a cabo medidas adicionales de autenticación.

1 comentario

  1. Hola Maxi, excelente artículo, ya estoy viendo de implementarlo acá porque tenemos IP dinámicas con lineas de Speedy solamente. Las IPs públicas son un lujo que lamentablemente no tenemos en mi ciudad.
    Mi pregunta hoy es la siguiente: Tengo un MK balanceando 2 líneas de speedy. Los modems estan a modo router y siguiendo la documentación que nos entregaste en el curso, pude armar un buen balancer. Ahora tengo una gente que usa la aplicación Interbanking y al salir por un balanceador no funciona, ya que el servidor web registra la IP publica de entrada y si intentan enviar un paquete por otra IP distinta, no anda. En resumen, hay alguna forma de forzar en un balanceador de carga con 2 salidas que una IP interna salga si o si por la misma linea a cierta IP publica?
    Gracias. Un abrazo y cuando hay otro curso, esta vez uno avanzado?

Los comentarios están cerrados.