Conocer el puerto secreto de Knock puede abrir su sistema

Los buenos y los malos están usando este método para abrir puertos Idealmente, desea restringir y controlar el tráfico que está permitido en su red o computadora. Esto puede hacerse de varias maneras.

Los buenos y los malos están usando este método para abrir puertos

Idealmente, desea restringir y controlar el tráfico que está permitido en su red o computadora. Esto puede hacerse de varias maneras. Dos de los métodos principales son asegurarse de que los puertos innecesarios en su computadora no estén abiertos o escuchar conexiones y usar un firewall, ya sea en la computadora misma o en el perímetro de la red, para bloquear el tráfico no autorizado.

El golpe secreto

Al monitorear el tráfico y manipular las reglas del firewall en función de los eventos, es posible crear una especie de «golpe secreto» que abrirá la puerta y le permitirá atravesar el firewall. Aunque no haya puertos abiertos en ese momento, una serie específica de intentos de conexión a puertos cerrados puede proporcionar el disparador para abrir un puerto para la comunicación.

En pocas palabras, tendrías un servicio ejecutándose en el dispositivo de destino que vería la actividad de la red, generalmente monitoreando los registros del firewall. El servicio necesitaría conocer el «golpe secreto»; por ejemplo, intentos fallidos de conexión al puerto 103, 102, 108, 102, 105. Si el servicio encontró el «golpe secreto» en el orden correcto, entonces alteraría automáticamente el firewall reglas para abrir un puerto designado para permitir el acceso remoto.

Desafortunadamente (o afortunadamente, verán por qué en un minuto) los escritores de malware del mundo han comenzado a adoptar esta técnica para abrir puertas traseras en sistemas victimizados. Básicamente, en lugar de abrir puertos para conexión remota que sean fácilmente visibles y detectables, se planta un troyano que monitorea el tráfico de la red. Una vez que se intercepta el «golpe secreto», el malware despertará y abrirá el puerto de puerta trasera predeterminado, permitiendo que el atacante acceda al sistema.

Como se dijo anteriormente, esto en realidad puede ser algo bueno. Bueno, infectarse con malware de cualquier tipo nunca es algo bueno. Pero, tal como está ahora, una vez que un virus o gusano comienza a abrir puertos y esos números de puerto se hacen públicos, los sistemas infectados se abren al ataque de cualquier persona, no solo el escritor del malware que abrió la puerta trasera. Esto aumenta enormemente las posibilidades de verse comprometido o de un virus o gusano posterior que aproveche los puertos abiertos creados por el primer malware.

Al crear una puerta trasera inactiva que requiere el «toque secreto» para abrirla, el autor del malware mantiene en secreto la puerta trasera. De nuevo, eso es bueno y malo. Bueno, porque cada aspirante a hacker de Tom, Dick y Harry no estará escaneando puertos para encontrar sistemas vulnerables basados ​​en el puerto abierto por el malware. Malo porque si está inactivo, tampoco sabrá que está allí y puede que no haya una manera fácil de identificar que tiene una puerta trasera inactiva en su sistema que espera ser despertada por el golpe de puerto.

Este truco también puede ser utilizado por los buenos como se señala en un reciente boletín de Crypto-Gram de Bruce Schneier. Básicamente, un administrador puede bloquear completamente un sistema, sin permitir el ingreso de tráfico externo, pero implementar un esquema de eliminación de puertos. Usando el «toque secreto», el administrador podrá abrir un puerto cuando sea necesario para establecer una conexión remota.

Obviamente, sería importante mantener la confidencialidad del código de «golpe secreto». Básicamente, el «golpe secreto» sería una especie de «contraseña» que podría permitir el acceso sin restricciones a cualquiera que lo supiera.

Hay varias maneras de configurar la eliminación de puertos y de garantizar la integridad del esquema de eliminación de puertos, pero aún existen ventajas y desventajas al utilizar la protección de puertos en una herramienta de seguridad en su red. Para obtener más detalles, consulte Cómo: captura de puertos en LinuxJournal.com o algunos de los otros enlaces a la derecha de este artículo.

Nota del editor : este artículo es contenido heredado y fue actualizado por Andy O’Donnell.

Rate article
labsfabs.com
Add a comment