Contenu
Les bons et les méchants utilisent cette méthode pour ouvrir les ports
Idéalement, vous souhaitez restreindre et contrôler le trafic autorisé sur votre réseau ou votre ordinateur. Cela peut se faire de différentes manières. Deux des principales méthodes consistent à s'assurer que les ports inutiles de votre ordinateur ne sont pas ouverts ou à l'écoute des connexions et à utiliser un pare-feu - sur l'ordinateur lui-même ou au niveau du périmètre du réseau - pour bloquer le trafic non autorisé.
Le coup secret
En surveillant le trafic et en manipulant les règles du pare-feu en fonction des événements, il est possible de créer une sorte de «coup secret» qui ouvrira la porte et vous laissera passer le pare-feu. Même si aucun port ne peut être ouvert à ce moment, une série spécifique de tentatives de connexion à des ports fermés peut fournir le déclencheur pour ouvrir un port pour la communication.
En bref, vous auriez un service en cours d'exécution sur le périphérique cible qui surveillerait l'activité du réseau - généralement en surveillant les journaux du pare-feu. Le service aurait besoin de connaître le "coup secret" - par exemple, les tentatives de connexion au port 103, 102, 108, 102, 105 ont échoué. Si le service rencontrait le "coup secret" dans le bon ordre, il modifierait alors automatiquement le pare-feu. règles pour ouvrir un port désigné pour permettre l'accès à distance.
Les auteurs de logiciels malveillants du monde ont malheureusement (ou heureusement - vous comprendrez pourquoi dans une minute) adopté cette technique pour ouvrir des portes dérobées sur des systèmes victimes. Fondamentalement, plutôt que d'ouvrir des ports pour une connexion à distance qui sont facilement visibles et détectables, un cheval de Troie est planté qui surveille le trafic réseau. Une fois le "coup secret" intercepté, le malware se réveillera et ouvrira le port de porte dérobée prédéterminé, permettant à l'attaquant d'accéder au système.
Comme cela a été dit plus haut, cela peut en fait être une bonne chose. Eh bien, être infecté par des logiciels malveillants de toute sorte n'est jamais une bonne chose. Mais, tel qu'il se présente actuellement, lorsqu'un virus ou un ver commence à ouvrir des ports et que ces numéros de port deviennent connus du public, les systèmes infectés sont ouverts aux attaques de quiconque - pas seulement l'auteur du malware qui a ouvert la porte arrière. Cela augmente considérablement les chances de devenir encore plus compromis ou d'un virus ou ver ultérieur capitalisant sur les ports ouverts créés par le premier malware.
En créant une porte dérobée dormante qui nécessite le "coup secret" pour l'ouvrir, l'auteur du logiciel malveillant garde le secret de la porte dérobée. Encore une fois, c'est bon et mauvais. Bien parce que tous les aspirants hackers de Tom, Dick et Harry ne seront pas en train de scanner les ports pour trouver des systèmes vulnérables basés sur le port ouvert par le malware. Mauvais parce que s'il est dormant, vous ne le saurez pas non plus et il n'y a peut-être pas de moyen facile d'identifier que vous avez une porte dérobée dormante sur votre système en attente d'être réveillée par le portage.
Cette astuce peut également être utilisée par les bons gars comme l'a souligné dans une récente newsletter Crypto-Gram de Bruce Schneier. Fondamentalement, un administrateur peut verrouiller complètement un système - en n'autorisant aucun trafic externe - mais implémenter un schéma de suppression de port. En utilisant le "coup secret", l'administrateur serait alors en mesure d'ouvrir un port si nécessaire pour établir une connexion à distance.
Il serait évidemment important de maintenir la confidentialité du code "coup secret". Fondamentalement, le "coup secret" serait en quelque sorte un "mot de passe" qui pourrait permettre un accès illimité à quiconque le connaissait.
Il existe un certain nombre de façons de configurer le détournement de port et d'assurer l'intégrité du schéma de détournement de port, mais il existe toujours des avantages et des inconvénients à utiliser le détournement de port, un outil de sécurité sur votre réseau. Pour plus de détails, voir Port-Knocking sur LinuxJournal.com ou certains des autres liens à droite de cet article.
