Port Knocking
Was ist Port Knocking?
Port KnockingVerfahren, das Dienstports standardmäßig geschlossen hält und nur nach einer vordefinierten Sequenz von Verbindungsversuchen öffnet.
Beim Port Knocking läuft auf dem Server ein Daemon, der Firewall-Logs auf eine geheime Sequenz von Verbindungsversuchen überwacht – etwa TCP-SYNs an die Ports 7000, 8000, 9000 in dieser Reihenfolge. Wird die Sequenz von einer bestimmten Quell-IP erkannt, öffnet der Daemon den Zielport für diese Adresse dynamisch. Aus Sicht von Scannern und unbefugten Clients erscheint der geschützte Dienst vollständig geschlossen, was die Angriffsfläche für SSH, RDP und Management-Schnittstellen verringert. Es handelt sich um Security through Obscurity und sollte starke Authentifizierung, MFA und VPN-Zugriff ergänzen, nicht ersetzen. Varianten wie Single Packet Authorization nutzen ein authentifiziertes, verschlüsseltes Einzelpaket gegen Replay- und Brute-Force-Schwächen.
● Beispiele
- 01
Eine Admin „klopft“ TCP 1234, 4321 und 8080 in Reihenfolge an, damit die Firewall SSH (22) für ihre IP kurz öffnet.
- 02
Ein Bastion-Host nutzt SPA – der Management-Port ist unsichtbar, bis ein signiertes UDP-Paket die Quelle autorisiert.
● Häufige Fragen
Was ist Port Knocking?
Verfahren, das Dienstports standardmäßig geschlossen hält und nur nach einer vordefinierten Sequenz von Verbindungsversuchen öffnet. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Port Knocking?
Verfahren, das Dienstports standardmäßig geschlossen hält und nur nach einer vordefinierten Sequenz von Verbindungsversuchen öffnet.
Wie schützt man sich gegen Port Knocking?
Schutzmaßnahmen gegen Port Knocking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Port Knocking?
Übliche alternative Bezeichnungen: SPA, Single Packet Authorization.