Table des matières:
Définition - Que signifie Port Knocking?
Le détournement de port est une technique d'authentification utilisée par les administrateurs réseau. Il consiste en une séquence spécifiée de tentatives de connexion de port fermé vers des adresses IP spécifiques appelées séquence de cliquetis. Les techniques utilisent un démon qui surveille les fichiers journaux d'un pare-feu à la recherche de la séquence de demande de connexion correcte. De plus, il détermine généralement si l'entité qui cherche à accéder au port figure sur la liste approuvée des adresses IP.
Techopedia explique Port Knocking
Le détournement de port, même en utilisant une séquence simple telle que "2000, 3000, 4000", nécessiterait un grand nombre de tentatives de force brute par un attaquant externe. Sans aucune connaissance préalable de la séquence, l'attaquant devrait essayer toutes les combinaisons des trois ports de 1 à 65 535 et après chaque tentative, une vérification devrait être effectuée pour voir si des ports s'ouvraient. De plus, les trois chiffres corrects devraient être reçus dans l'ordre, sans qu'aucun autre paquet de données ne soit reçu entre les deux. Une telle tentative de force brute nécessiterait environ 9, 2 quintillions de paquets de données juste pour ouvrir avec succès un coup simple et unique à trois ports. De plus, la tentative est rendue encore plus difficile lorsque des hachages cryptographiques (une méthode de production de clés à usage unique), ou des séquences plus longues et plus complexes, sont utilisés dans le cadre du détournement de port.
En fait, si plusieurs tentatives légitimes à partir d'adresses IP différentes ouvraient et fermaient des ports, des attaquants malveillants simultanés seraient contrecarrés. Et si une tentative de force brute réussissait, les mécanismes de sécurité des ports et l'authentification des services devraient également être négociés. De plus, aucun attaquant ne peut détecter qu'un démon fonctionne (c'est-à-dire que le port semble fermé) tant qu'il n'a pas réussi à ouvrir un port.
Il y a quelques inconvénients. Les systèmes de suppression de port dépendent beaucoup du bon fonctionnement du démon et s'il ne fonctionne pas, aucune connexion ne peut être établie avec les ports. Ainsi, le démon crée un point de défaillance unique. Un attaquant peut également être en mesure de verrouiller toutes les adresses IP connues en envoyant des paquets de données avec de fausses adresses (c'est-à-dire usurpées) à des ports aléatoires et les adresses IP ne peuvent pas être facilement modifiées. (Cela peut être résolu avec des hachages cryptographiques.) Enfin, il existe la possibilité que des demandes légitimes pour ouvrir un port incluent des paquets de route TCP / IP en panne; ou certains paquets peuvent être abandonnés. Cela nécessite que l'expéditeur renvoie les paquets.
