¡Foto!

¡Envia tu foto al Fotomaton!

Port-Knocking, simple pero seguro

8 comentarios · 3.223 lecturas · seguridad

Ayer, hablando con el venerable Ruyk acerca de técnicas de seguridad para SSH salió a la luz una práctica de seguridad que no conocía, el Port-knocking.

Para situarnos en esta técnica debemos pensar en la necesidad de un control remoto, un acceso desde fuera de nuestro equipo que a veces podemos requerir para corregir algún suceso inesperado, activar o desactivar aplicaciones, descargar algún archivo o cientos de acciones diferentes.

password contraseña clave

Para ello, lo más común y simple es abrir el acceso desde un determinado puerto a nuestro equipo y protegerlo con un password, siempre teniendo en cuenta como se debe elegir una contraseña.

Asumiendo que tengamos una contraseña "dificil" de romper, al día se descubren miles de vulnerabilidades, denegaciones de servicio, escaladas de privilegio y tantos otros problemas que podrían dejar a nuestro equipo unos segundos fatídicos para la seguridad de nuestros datos.

Aquí es donde entra la técnica del Port-Knocking. Con ella tenemos un firewall establecido de manera que nadie (ni nosotros mismos!) pueda acceder al sistema. En el ejemplo posterior, vemos como un supuesto atacante (88.35.21.31) intenta acceder por varios puertos (21, 23 y 22) sin éxito alguno.

port knocking bad

Totalmente inútil sería esta táctica si no hubiera una manera de que nosotros podamos entrar:

port knocking good

El Port-knocking se basa en realizar varios intentos de conexión consecutivos (y previamente establecidos) a ciertos puertos para «avisar» al sistema de que realmente somos nosotros.

Asi pues, en el ejemplo que muestro tenemos configurado el knockd (demonio encargado del port-knocking) para que al recibir los intentos de conexión en el puerto 2199 y 9123, se abra el firewall para nuestra IP en el puerto 22. ¿Brillante, verdad? Una sencilla forma de proteger nuestro sistema y hacer prácticamente imposible de ingresar.

Finalmente también podría hacerse posible otra combinación para volver a cerrar el acceso o alargar la combinación de puertos (a 5 intentos de conexión por ejemplo). Tener en cuenta que, en el remoto caso de que un usuario consiguiera adivinar la combinación de puertos aún tendría que enfrentarse a una contraseña.

En linuca comentan más sobre como implementar el port knocking en un sistema linux.


8 comentarios · Escrito el 15-Mar-2006 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Artículos relacionados

8 Comentarios

#1 Publicado hace 3 años
Ruyk Lector
Navegando con Mozilla Firefox
Bajo Linux

Definitivamente, Manz tiene el Don de la Explicación.
Las veces que he tratado de explicar eso a la gente que no tiene mucha idea, he visto humo salir de sus cabezas xD
Salvo por lo de venerable, que sigo pensando que me hace viejo, genialmente explicado

#2 Publicado hace 3 años
Liamngls Premium
Navegando con Mozilla Firefox
Bajo Windows XP

Interesante la cosa esta , toda seguridad es poca

#3 Publicado hace 3 años
Driadan Lector
Navegando con Konqueror
Bajo Linux

Lo cierto es que si habia oido hablar del port-knocking, pero nunca me habia preocupado mucho por ella. En general me preocupo poco por la seguridad, y se que debería cambiarlo, pero da una pereza...
Muy interesante, y ya vere si me pongo a ello aun cuando sea solo como experimento.

#4 Publicado hace 3 años
tentirujo Lector
Navegando con Mozilla Firefox
Bajo Windows XP

¿Cómo sería la traducción? "Llamar a los puertos? jeje, creo que por algo lo dejaron en inglés...

Muy interesante

#6 Publicado hace 3 años
johnymepeino Lector
Navegando con Mozilla Firefox
Bajo Windows XP



¿Pero ese programa existe para ser descargado?. A veces tengo la sensación de que me miran... Es broma, sólo por hacer una gracia :)

#7 Publicado hace 3 años
telemarkado Lector
Navegando con Mozilla Firefox
Bajo Windows XP

Lo que siempe digo, nunca te acostarás sin saber una cosa más...
Los que somos un poco zotes en estos temas agradecemos un montón estos posts.

#8 Publicado hace 3 años
Manz Administrador
Navegando con Mozilla Firefox
Bajo Windows XP

Existen varias implementaciones como knockd (entornos Linux/Unix), doorman, winportknocking (Windows) o Coarse Knocking.

#9 Publicado hace 3 años
Marche Radiuju Lector
Navegando con K-Meleon
Bajo Windows XP

Interesante articulo sin duda, habrá que aplicarlo.

Deja tu comentario

en Internet.

Consejos

  • Los comentarios fuera del tema del artículo (OFF-TOPIC) serán eliminados.
  • Escribir completamente en MAYUSCULAS en Internet equivale a GRITAR y está mal visto.
  • No utilices lenguaje SMS, en Emezeta no te cobramos por letras escritas.
  • No hagas publicidad de tu página o dejes enlaces en el comentario para aumentar el PR o la popularidad en buscadores. En Emezeta se aplica el tag nofollow, que hace que Google ignore esos enlaces.
  • No insultes. Al escribir un comentario tus datos quedan almacenados y serás el único responsable de tus palabras. Se permite la libertad de expresión y de opinión, pero no los comentarios ofensivos.
  • Puedes insertar algunas etiquetas HTML en los comentarios: em, a href, b, i, em, code, acronym y strong.
  • Es posible añadir una foto junto a tus comentarios, para ello sólo tienes que personalizarla en Gravatar. [?]

Envía tu foto

Fotomatón Emezeta

Envia tu fotografía al fotomatón de Emezeta. Puedes enviar varias y saldrás en la portada de Emezeta.


Artículo de http://www.emezeta.com/

10 consultas efectuadas / Página generada en 0.061 segundos

Programado íntegramente por José Román (Manz) en XHTML y CSS estándar.

Sindicado bajo Feed RSS. Contenido bajo licencia Creative Commons

Estadísticas de visitas · Términos y condiciones · Contacto · Publicidad · Preguntas frecuentes (FAQ)