Port Knocking
Qu'est-ce que Port Knocking ?
Port KnockingTechnique qui maintient les ports de service fermés par défaut et ne les ouvre qu'après une séquence prédéfinie de tentatives de connexion.
En port knocking, le serveur exécute un démon qui surveille les journaux du pare-feu à la recherche d'une séquence secrète de tentatives de connexion, par exemple des SYN TCP vers les ports 7000, 8000, 9000 dans cet ordre. Lorsque la séquence est détectée pour une IP source donnée, le démon ouvre dynamiquement le port du service ciblé pour cette adresse. Le service protégé apparaît donc entièrement fermé aux scanners et clients non autorisés, réduisant la surface d'attaque pour SSH, RDP et interfaces d'administration. Il s'agit de sécurité par l'obscurité et doit compléter, et non remplacer, une authentification forte, un MFA et un accès VPN. Des variantes comme Single Packet Authorization utilisent un paquet unique chiffré et authentifié pour éviter rejeu et brute force.
● Exemples
- 01
Un administrateur frappe les ports TCP 1234, 4321 et 8080 dans l'ordre afin que le pare-feu ouvre SSH (22) pour son IP.
- 02
Un hôte bastion utilise SPA : le port d'administration est invisible tant qu'un paquet UDP signé n'a pas autorisé la source.
● Questions fréquentes
Qu'est-ce que Port Knocking ?
Technique qui maintient les ports de service fermés par défaut et ne les ouvre qu'après une séquence prédéfinie de tentatives de connexion. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Port Knocking ?
Technique qui maintient les ports de service fermés par défaut et ne les ouvre qu'après une séquence prédéfinie de tentatives de connexion.
Comment se défendre contre Port Knocking ?
Les défenses contre Port Knocking combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Port Knocking ?
Noms alternatifs courants : SPA, Single Packet Authorization.