《2022年端口碰撞技术让开放端口更安全.docx》由会员分享,可在线阅读,更多相关《2022年端口碰撞技术让开放端口更安全.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年端口碰撞技术让开放端口更安全全部在防火墙和路由器上开放的端口都是一种平安风险。这也是一种称之为端口碰撞(port knocking )技术的价值所在。端口碰撞技术是一种允许访问预先配置好碰撞的防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。这些尝试要么记录在一个日志中,要么保存在一个后台进程中,通过预先配置这个日志或者进程来监视打开相应端口的序列,假如尝试序列与预先设置的序列相符合,就可以打开某个端口。通过这种方式可以让一个端口在须要的时候才打开,从而具有肯定的技术优势。对于黑客来说,很难在远程利用处于关闭状态端口的相关服务来攻击系统。例如,对于远程管理来说,在
2、一个公开的服务器上开放SSH服务是很便利的,但是这也使得系统允许任何人都有可能尝试访问该系统。当然,对于这个端口的访问,你可以给定一个IP地址范围的限制,但是这样一来,还是带来了平安问题和访问挑战方面的问题。端口碰撞技术让你在这两个方面都会处理的很好:在大多数时间里,这个端口都是关闭的,但是知道这种方法的可以在任何时候任何地方打开这个端口。概述由于有些大家都很熟识的服务存在肯定的平安方面的问题,因此,大多数的的平安破坏都是从外网利用这些平安问题来实现的。FTP和SSH运用的是大家都很熟识的端口,因此长期以来,这些服务始终都存在着各种各样的攻击方法。而在大多数状况下,这些服务都是让内部用户来运用
3、的,因此内部用户是运用端口碰撞技术的主要候选人。很明显,对于那些你须要公开的访问服务,例如HTTP和SMTP服务,端口碰撞技术则不适合用于这种场合。因为网页服务和电子邮件服务须要允许来自任何地方的连接。然而,对于全部其他的服务来说,最好的实际操作是将全部非必需的端口都关闭。因而,从存在平安方面的问题的角度来考虑,象SSH这样一种特别有用的服务也经常须要处于关闭状态。这就是端口碰撞技术特别有用的地方。首先,通过探测技术是不会发觉这种基于端口碰撞技术配置的服务器的。防火墙软件将会自动拒绝全部的端口扫描或者任何干脆连接尝试。并且通过选择一系列非连续的端口号来实现端口碰撞(我们将在随后介绍),你可以减
4、轻对平安问题的顾虑,因为一个标准的端口扫描器一般不太可能得到一个正确的碰撞序列。通过运用这种方法,在得到良好的平安性的同时,还可以实现远程访问。你可能会问自己,我为什么须要这种方法?事实上你可能用不上这种技术。这种技术只是增加当前网络的平安性,在可能存在的黑客和须要爱护的服务之间创建一个不易觉察的平安层。假如远程用户不知道服务器在监听一个特定的端口,那么你将大大削减通过这个端口危及系统的次数。更进一步地,远程用户不太可能确定服务器是否运用了端口碰撞技术,因此也不太可能来运用暴力尝试来揣测正确地序列。端口碰撞的细微环节问题可以运用不同的方法来配置端口碰撞。你可以运用基于静态端口序列的方式来实现授
5、权访问。例如,服务器可以这样设置,在它按依次接收到与端口2033、3022、6712、4998、以及4113的连接尝试后,打开TCP端口22。假如服务器接收到一个不正确的序列则关闭该端口,或者运用一个定时器来关闭该端口。监控防火墙日志的后台进程在截获这些被拒绝的尝试后,将在防火墙中增加一个新的防火墙规则来打开必要的端口,授权用户访问该端口。还可以运用动态配置技术来打开端口。首先,你须要建立一个端口集合,在本文的例子中,我们将运用端口1040到端口1049。通过供应一个起先序列-例如1042、1044、1043-随后,对于你希望打开的端口,你可能还须要给服务器供应相应的接收信息。在序列1042、
6、1044、以及1043后,你须要让服务器知道你想让它打开端口443。之所以采纳这种设计,是为了增加打开不同服务器必要端口的敏捷性和选项而不须要采纳静态配置。加密通信可能也可以增加额外层次的平安性。假如你担忧别人嗅探你的数据包或者担忧有人盗窃你的碰撞序列的话,采纳这种加密方式将特别有益。对于端口碰撞来说,运用加密技术是一种最平安的方法,并且我们将在随后的文章中看到,加密技术是在原型中常常运用的一种方法。运用knockclient和knockdaemonPortknocking.org公司已经用Perl语言实现了端口碰撞技术,现在可以从该公司的网站下载这个工具。文件portknocking-0.1
7、.tgz中包含knockclient和knockdaemon两个程序。该版本允许远程用户打开端口0到255,并且自动运用Crypt:Blowfish执行加密工作。你只须要在远程系统上运用必要的吩咐选项来调用knockclient程序即可。例如,要在远程系统上打开特定IP上的端口22,你可以运用这样的吩咐:knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。在这个例子中,我们要打开IP地址为10.1.42.1的服务器上的端口22,并且只允许IP地址为192.168.0.1d的主机与这个服务器之间只能有一个连接。由于
8、-time的标识为0,因此我们要打开的端口在开放时间上没有限制。假如time的时间为255的话,那么该吩咐就是要关闭这个端口。其他从1到254之间的time值表示端口打开的时间(以分钟计算)。在knockclient和knockdaemon之间的共享密码用于加密碰撞序列,并且使得远程主机和本地主机之间的信息只有他们自己能够理解。另外,在这种实现中,要运用远程主机的端口745 到端口1000。服务器的端口打开之后,须要关闭远程主机的这些端口,并且防火墙的日志须要打开。然后后台进程缺省状态下就会监听这些端口的8个碰撞。Perl模式 File:Tail 用于检测添加到防火墙日志上的新的行信息,并且k
9、nockdaemon将会分析这些行信息。虽然这仅仅是一个原型,但是却运行的很好。很明显,端口碰撞技术的核心是远程主机发起的碰撞序列是否能够打开一个端口。写出这样的一个程序或者将其加入到当前可用的资源中是一件并不困难的事情,并且可以很简单的实现各个系统的定制。例如,假如访问一个NATIP地址,你可以依据碰撞序列来配置策略,实现动态转发对内部主机的SSH访问。另外,依据你的配置,运用端口碰撞技术还可以实现备份或者运行其他的作业。总结端口碰撞技术对于增加一层看不见的认证来说还是特别有好处的。只有供应了正确的端口序号的用户才可以有一次获得可用服务如SSH等的机会。这使得服务器可以具有从随意IP-如一个移动或者动态的IP-上接受连接的实力,并且可以创建肯定的信任级别-这种信任基于远程系统知道正确的碰撞序列。对于那些已经实现了比较好的平安性的服务器来说,端口碰撞技术是一种最好的补充。