Port Knocking
Что такое Port Knocking?
Port KnockingМетод, при котором сервисные порты по умолчанию закрыты и открываются только после того, как клиент посылает заранее заданную последовательность попыток соединения.
При port knocking на сервере работает демон, который отслеживает журналы межсетевого экрана в поисках секретной последовательности попыток соединения, например TCP-SYN на порты 7000, 8000, 9000 в указанном порядке. Когда последовательность фиксируется для конкретного IP-источника, демон динамически открывает целевой порт для этого адреса. Защищённый сервис при этом выглядит для сканеров и неавторизованных клиентов полностью закрытым, что снижает атаки на SSH, RDP и интерфейсы управления. Это «безопасность через скрытность», и она должна дополнять, а не заменять сильную аутентификацию, MFA и VPN. Варианты вроде Single Packet Authorization используют один аутентифицированный и зашифрованный пакет, чтобы избежать повторов и перебора.
● Примеры
- 01
Администратор стучит по портам TCP 1234, 4321, 8080 по порядку, и файрвол кратко открывает SSH (22) для его IP.
- 02
Бастион использует SPA: порт управления не виден, пока подписанный UDP-пакет не авторизует источник.
● Частые вопросы
Что такое Port Knocking?
Метод, при котором сервисные порты по умолчанию закрыты и открываются только после того, как клиент посылает заранее заданную последовательность попыток соединения. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Port Knocking?
Метод, при котором сервисные порты по умолчанию закрыты и открываются только после того, как клиент посылает заранее заданную последовательность попыток соединения.
Как защититься от Port Knocking?
Защита от Port Knocking обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Port Knocking?
Распространённые альтернативные названия: SPA, Single Packet Authorization.