Usługi takie jak SSH czy VPN pozwalają na bezpieczny, zdalny dostęp do serwera. Obie technologie mają wbudowane zaawansowane mechanizmy autoryzacji użytkowników oraz szyfrowania transmisji danych. Zabezpieczanie serwera jest jednak procesem ciągłym i powinno być realizowane w wielu płaszczyznach. Każdego dnia wykrywane są nowe luki w oprogramowaniu, a do czasu wykonania aktualizacji serwer staje się potencjalnym celem ataku. Technika port knocking i jej odmiany uznawane są za jedną z metod pasywnej autoryzacji użytkownika. Usługa stanowi dodatkową warstwę ochrony dowolnych usług sieciowych udostępnianych w Internecie lub sieciach lokalnych. Metoda ta pozwala na zdalne otwarcie wybranego portu na serwerze dopiero wówczas, gdy użytkownik zechce nawiązać połączenie.

Port knocking - podstawy

Technika port knocking polega na wysłaniu do odległej maszyny ściśle ustalonej, sekretnej sekwencji pakietów ("puknięć") docierających na z góry ustalone zamknięte porty serwera. I choć połączenia te są nieudane, na serwerze pozostaje po nich ślad. Specjalne oprogramowanie (demon port knocking) śledzi pakiety rejestrowane przez zaporę ogniową, a w przypadku otrzymania oczekiwanej sekwencji "puknięć" podejmuje zdefiniowaną przez administratora akcję. W większości przypadków będzie to modyfikacja reguł zapory ogniowej, tak aby zezwolić na zdalne połączenie z określonego adresu IP. Inna, równie często stosowana metoda nasłuchiwania przychodzących pakietów polega na śledzeniu ruchu na interfejsie sieciowym, zazwyczaj przy użyciu biblioteki libpcap.

Wariantem port knocking jest metoda Single Packet Authentication (SPA), w której do serwera dociera pojedynczy pakiet ("puknięcie") zawierający zaszyfrowany ciąg informacji niezbędnych do uwierzytelnienia użytkownika. SPA ma istotną przewagę nad klasyczną implementacją port knocking. Komunikat SPA zawiera w sobie zestaw danych mających na celu dokładne zweryfikowanie autentyczności nadawcy i integralności przekazanego przez niego żądania (nazwa, hasło, znacznik czasu). Metoda ta jest szybsza, bardziej niezawodna (pojedynczy pakiet) i bezpieczniejsza (szyfrowanie, ochrona przed atakami powtórzeniowymi). Brak "pukania" do różnych portów oznacza, że SPA w mniejszym stopniu jest narażona na wykrycie i zablokowanie przez systemy wykrywania włamań.

Demon usługi "pukania"

knockd jest jednym z najbardziej znanych serwerów usługi port knocking dla systemów uniksowych.

[...]

Autor zarządza działem informatyki w dużej firmie produkcyjnej, zajmuje się serwerami, sieciami i systemami biznesowymi. Publikuje w magazynach komputerowych i serwisach internetowych.