В идеале вы хотите ограничить и контролировать трафик, который разрешен в вашей сети или на компьютере. Это можно сделать разными способами. Два основных способа — убедиться, что ненужные порты на вашем компьютере не открыты или не прослушивают соединения, и использовать брандмауэр — либо на самом компьютере, либо по периметру сети — для блокировки неавторизованного трафика.
Секретный стук
Отслеживая трафик и управляя правилами брандмауэра на основе событий, можно создать своего рода «секретный стук», который откроет ворота и пропустит вас через брандмауэр. Даже если никакие порты не могут быть открыты в то время, определенная серия попыток соединения с закрытыми портами может обеспечить триггер для открытия порта для связи.
Короче говоря, на целевом устройстве должна быть запущена служба, которая будет отслеживать сетевую активность — обычно путем мониторинга журналов брандмауэра. Служба должна знать «секретный стук» — например, неудачные попытки подключения к портам 103, 102, 108, 102, 105. Если служба обнаружит «секретный стук» в правильном порядке, то она автоматически изменит брандмауэр правила, чтобы открыть назначенный порт, чтобы разрешить удаленный доступ.
Авторы вредоносных программ всего мира, к сожалению (или, к счастью, через минуту, вы поймете, почему), начали применять эту технику для открытия «черных дверей» в уязвимых системах. По сути, вместо того, чтобы открывать порты для удаленного подключения, которые хорошо видны и обнаруживаются, устанавливается троянец, который отслеживает сетевой трафик. Как только «секретный стук» будет перехвачен, вредоносная программа пробудится и откроет заданный задний порт, предоставляя злоумышленнику доступ к системе.
Как было сказано выше, это на самом деле может быть хорошо. Ну, заражение вредоносным ПО любого рода — это никогда не хорошо. Но в настоящее время, как только вирус или червь начинают открывать порты, и эти номера портов становятся общеизвестными, зараженные системы становятся открытыми для атак любого — не только автора вредоносного ПО, открывшего черный ход. Это значительно увеличивает вероятность дальнейшего взлома или последующего вируса или червя, использующего открытые порты, созданные первым вредоносным ПО.
Создавая скрытый бэкдор, который требует «секретного стука», чтобы открыть его, автор вредоносного ПО сохраняет секретный бэкдор. Опять же, это хорошо и плохо. Хорошо, потому что каждый хакер Том, Дик и Гарри не будут сканировать порты, чтобы найти уязвимые системы на основе порта, открытого вредоносной программой. Плохо, потому что, если он неактивен, вы тоже не будете знать, что он там есть, и, возможно, не будет простого способа определить, что в вашей системе находится неактивный бэкдор, ожидающий пробуждения от стука порта.
Этот трюк также может быть использован хорошими парнями, как указано в недавнем информационном бюллетене Crypto-Gram от Брюса Шнайера. По сути, администратор может полностью заблокировать систему — не допуская внешнего трафика — но реализовать схему стука портов. Используя «секретный стук», администратор сможет открыть порт, когда необходимо установить удаленное соединение.
Очевидно, было бы важно сохранить конфиденциальность кода «секретный стук». По сути, «секретный стук» будет своего рода «паролем», который может предоставить неограниченный доступ любому, кто его знает.
Существует несколько способов настройки стука портов и обеспечения целостности схемы стука портов, но есть и плюсы и минусы использования стука портов в качестве инструмента безопасности в вашей сети. Для более подробной информации смотрите Port-Knocking на LinuxJournal.com или некоторые другие ссылки справа от этой статьи.
