Port Knocking
¿Qué es Port Knocking?
Port KnockingTécnica que mantiene los puertos de servicio cerrados por defecto y los abre solo cuando el cliente envía una secuencia predefinida de intentos de conexión.
En el port knocking, el servidor ejecuta un demonio que vigila los registros del firewall en busca de una secuencia secreta de intentos de conexión, por ejemplo SYN TCP a los puertos 7000, 8000 y 9000 en ese orden. Cuando se detecta la secuencia desde una IP de origen, el demonio abre dinámicamente el puerto de servicio para esa dirección. El servicio protegido aparece, por tanto, totalmente cerrado a escáneres y clientes no autorizados, reduciendo la superficie de ataque de SSH, RDP o interfaces de gestión. Es seguridad por oscuridad y debe complementar, no sustituir, autenticación fuerte, MFA y acceso por VPN. Variantes como Single Packet Authorization usan un único paquete autenticado y cifrado para evitar la repetición y la fuerza bruta.
● Ejemplos
- 01
Un administrador toca los puertos TCP 1234, 4321 y 8080 en orden para que el firewall abra brevemente SSH (22) a su IP.
- 02
Un host bastión utiliza SPA: el puerto de gestión es invisible hasta que un paquete UDP firmado autoriza el origen.
● Preguntas frecuentes
¿Qué es Port Knocking?
Técnica que mantiene los puertos de servicio cerrados por defecto y los abre solo cuando el cliente envía una secuencia predefinida de intentos de conexión. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Port Knocking?
Técnica que mantiene los puertos de servicio cerrados por defecto y los abre solo cuando el cliente envía una secuencia predefinida de intentos de conexión.
¿Cómo defenderse de Port Knocking?
Las defensas contra Port Knocking combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Port Knocking?
Nombres alternativos comunes: SPA, Single Packet Authorization.