El objeto de este art\u00c3\u00adculo es recordar el concepto de “Port Knocking” y
\nsus implicaciones de seguridad para en un posterior art\u00c3\u00adculo reflexionar
\nsobre “Single Packet Authorization” (SPA). “Port Knocking” no es un
\ningenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente
\nen listas de correo y discusiones sobre seguridad.<\/p>\n
\u00c2\u00bfQu\u00c3\u00a9 es “Port Knocking”?<\/p>\n
Todos hemos visto pel\u00c3\u00adculas en las que alguien golpea cierta secuencia
\nen la puerta de una taberna y si la secuencia era correcta el tabernero
\nabre una rendija para solicitar una clave verbal. Si la secuencia de
\nllamada no era correcta, ninguna medida se toma y el interesado cree que
\nla taberna se halla cerrada. El concepto de “Port Knocking” es
\nexactamente an\u00c3\u00a1logo.<\/p>\n
En inform\u00c3\u00a1tica, este concepto consiste en enviar paquetes a ciertos
\npuertos en un orden espec\u00c3\u00adfico con el fin de abrir un puerto en
\nconcreto. Este \u00c3\u00baltimo puerto se halla cerrado por un cortafuegos siempre
\ny cuando no se realice el barrido de puertos siguiendo la secuencia
\nparticular. De esta forma, si un atacante efect\u00c3\u00baa un escaneo del
\nsistema, el puerto aparecer\u00c3\u00a1 cerrado aun estando el servicio asociado a
\n\u00c3\u00a9l en funcionamiento, el cortafuegos hace un simple DROP si no se ha
\nefectuado la secuencia de barrido previa.<\/p>\n
Tomemos como ejemplo un demonio sshd escuchando en el puerto 22\/TCP.
\nElegimos como secuencia de barrido la sucesi\u00c3\u00b3n 43, 6540 y 82. El puerto
\n22 se abrir\u00c3\u00a1 si, y solo si, un usuario inicializa conexiones TCP hacia
\nlos puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el
\nusuario recibir\u00c3\u00a1 como respuesta un RST\/ACK cuando intenta comenzar una
\nconexi\u00c3\u00b3n hacia el puerto 22.<\/p>\n
Si la secuencia correcta de inicializaciones ha sido efectuada, el
\npuerto 22 se abrir\u00c3\u00a1 durante un lapso de tiempo determinado y \u00c3\u00banicamente
\npara la IP que complet\u00c3\u00b3 la secuencia previa. Una vez el puerto 22 se
\nhalle abierto, se pueden llevar a cabo medidas adicionales de
\nautenticaci\u00c3\u00b3n.<\/p>\n
Pol\u00c3\u00a9mica<\/p>\n
Muchos son los que defienden que “Port Knocking” no es una capa de
\nseguridad sino una medida de ofuscaci\u00c3\u00b3n (“security by obscurity”). Lo
\ncierto es que hay argumentos a favor y en contra de ambas afirmaciones.<\/p>\n
Acudiendo a las definiciones cl\u00c3\u00a1sicas de los tipos de autenticaci\u00c3\u00b3n
\n(algo que sabes, algo que eres y algo que tienes), este mecanismo se
\nencuadrar\u00c3\u00ada en el primer conjunto. Ahora bien, si un atacante conociera
\nla existencia de esta medida y fuera capaz de escuchar el tr\u00c3\u00a1fico (en
\nlado cliente o servidor), esta medida de seguridad ser\u00c3\u00ada tan d\u00c3\u00a9bil como
\nlas contrase\u00c3\u00b1as que viajan en claro.<\/p>\n
Por tanto, como muchas otras t\u00c3\u00a9cnicas, se trata de una l\u00c3\u00adnea de defensa
\nque de manera aislada puede resultar muy d\u00c3\u00a9bil, pero que junto con
\nmedidas adicionales puede proporcionar un nivel de robustez aceptable.<\/p>\n
Consideraciones de seguridad<\/p>\n
* Un atacante siempre podr\u00c3\u00ada intentar un ataque por fuerza bruta con el
\nfin de descubrir la secuencia de puertos correcta, no obstante este
\nataque ser\u00c3\u00ada f\u00c3\u00a1cilmente detectado teniendo en cuenta su naturaleza
\nruidosa. Para una secuencia de 3 puertos, si el ataque recorre el rango
\nde puertos 1 a 65535, esto implica que el ataque ser\u00c3\u00ada del orden de
\n655.353 tentativas, teniendo una esperanza de la mitad de este valor.
\nPor tanto, como media, ser\u00c3\u00adan necesarios unos 140 billones de paquetes
\nhasta conseguir la apertura del puerto deseado. Obviamente, esto se
\npuede complicar mucho m\u00c3\u00a1s incrementando el n\u00c3\u00bamero de puertos de la
\nsecuencia.<\/p>\n
* Si un atacante ha conseguido la secuencia de puertos, nada le impide
\nhacer un “replay” de la secuencia capturada contra el servidor para as\u00c3\u00ad
\nabrir el puerto. Ser\u00c3\u00ada por tanto interesante que la secuencia mutara con
\nel tiempo, que se hiciera alg\u00c3\u00ban tipo de Hash con informaci\u00c3\u00b3n adicional
\n(temporal, etc.) o alguna otra medida para impedir los ataques por
\n“replay”. No obstante ello implicar\u00c3\u00ada sincronizaci\u00c3\u00b3n cliente-servidor
\ny\/o involucrar otros campos de los paquetes que no fueran tan s\u00c3\u00b3lo los
\n16bits del puerto destino en la cabecera TCP. Como consecuencia de estas
\nmodificaciones, la medida se hace dif\u00c3\u00adcilmente escalable en situaciones
\ndonde hay un gran n\u00c3\u00bamero de clientes.<\/p>\n
* Mucho m\u00c3\u00a1s sencillo es hacer una denegaci\u00c3\u00b3n de servicio. Debido al
\nlapso existente entre cada inicializaci\u00c3\u00b3n de conexi\u00c3\u00b3n en la secuencia,
\nun atacante puede simular y enviar paquetes para interrumpir la
\nsecuencia que est\u00c3\u00a1 construyendo un usuario leg\u00c3\u00adtimo. As\u00c3\u00ad, nada impide a
\nun atacante el emplear herramientas como hping para forjar paquetes con
\nla direcci\u00c3\u00b3n IP de un usuario leg\u00c3\u00adtimo y enviar un flujo continuo hacia
\npuertos aleatorios de la m\u00c3\u00a1quina servidor para que dicho usuario
\nleg\u00c3\u00adtimo jam\u00c3\u00a1s sea capaz de completar una secuencia v\u00c3\u00a1lida.<\/p>\n
* Por \u00c3\u00baltimo en esta lista no exhaustiva de reflexiones, para un
\nobservador del tr\u00c3\u00a1fico de red, un “Port Knocking” es indistinguible de
\nun escaneo de puertos. Muchos IDS detectan los escaneos de puertos y
\nalgunos no tienen forma de diferenciar lo que es un “Port Knocking” de
\nlo que es un escaneo. Si el umbral de paquetes para alertar de un
\nescaneo de puertos es lo suficientemente bajo, el “port knocking” podr\u00c3\u00ada
\nintroducir ruido no deseado en los logs del IDS.<\/p>\n
Aplicaciones<\/p>\n
* Imaginemos que deseamos correr un servidor SSH para compartir archivos
\ncon nuestros amigos. No deseamos que gusanos, automatismos y usuarios
\nmaliciosos encuentren el puerto del servidor SSH abierto en sus escaneos
\nde reconocimiento para posteriormente lanzar un ataque por fuerza bruta
\nque consume recursos y podr\u00c3\u00ada dar lugar a una intrusi\u00c3\u00b3n. En este caso
\npodr\u00c3\u00adamos emplear “port knocking” para evitar “automatismos tontos”.
\nObviamente, tras el “Port Knocking” deber\u00c3\u00adamos tener como m\u00c3\u00adnimo una
\nautenticaci\u00c3\u00b3n por usuario\/contrase\u00c3\u00b1a, y adem\u00c3\u00a1s, deseablemente,
\nautenticaci\u00c3\u00b3n basada en alg\u00c3\u00ban algoritmo de clave p\u00c3\u00bablica.<\/p>\n
* Una aplicaci\u00c3\u00b3n m\u00c3\u00a1s oscura, y probablemente m\u00c3\u00a1s popular, del “Port
\nKnocking” es como m\u00c3\u00a9todo de ocultaci\u00c3\u00b3n de puertas traseras (ejemplo:
\ncd00r.c). Muchos atacantes, tras haber instalado una puerta trasera en
\nuna v\u00c3\u00adctima, la camuflan mediante “Port Knocking”, de esta forma
\ncualquiera que intente detectar anomal\u00c3\u00adas basadas en la apertura de
\nnuevos puertos dif\u00c3\u00adcilmente detectar\u00c3\u00a1 la intrusi\u00c3\u00b3n. As\u00c3\u00ad, los servicios
\nbasados en herramientas como Nesus para detectar alteraciones en ciertas
\nredes presentan una gran punto d\u00c3\u00a9bil ante dichos ingenios y los
\nprofesionales de la seguridad no deber\u00c3\u00adan tomar sus resultados como
\nverdades absolutas.<\/p>\n
Conclusi\u00c3\u00b3n<\/p>\n
“Port knocking” se basa en la comunicaci\u00c3\u00b3n de informaci\u00c3\u00b3n en las
\ncabeceras de los paquetes, lo cual limita severamente la cantidad de
\ninformaci\u00c3\u00b3n que puede ser transmitida, y por tanto, su fortaleza como
\ncapa de seguridad. En una futura reflexi\u00c3\u00b3n analizaremos otras t\u00c3\u00a9cnicas
\ncomo “Single Packet Authorization” (SPA), que presenta grandes ventajas
\nsobre el mecanismo aqu\u00c3\u00ad estudiado.<\/p>\n
Fuente: Hispasec<\/p>\n","protected":false},"excerpt":{"rendered":"
El objeto de este art\u00c3\u00adculo es recordar el concepto de “Port Knocking” y sus implicaciones de seguridad para en un posterior art\u00c3\u00adculo reflexionar sobre “Single Packet Authorization” (SPA). “Port Knocking” no es un ingenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente en listas de correo y discusiones sobre seguridad. \u00c2\u00bfQu\u00c3\u00a9 es […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3],"tags":[],"class_list":["post-311","post","type-post","status-publish","format-standard","hentry","category-articulos"],"yoast_head":"\n