Hlavní navigace

Jak bezpečně ukrýt TCP porty před nezvanými hosty?

Sdílet

Petr Krčmář 9. 1. 2008

Projekt shimmer implementuje kryptografický systém pro skrývání důležitých TCP portů před zraky běžných návštěvníků. Systém používá 16 portů, přičemž vždy jen jeden z nich vede k reálné službě. Dalších patnáct míří do pasti, která automaticky odřízne uživatele od přístupu k serveru. Každou minutu se pak nastavení portů mění a jen legitimní uživatel pozná za pomocí klientského software, který port je ten pravý. Implementace takového řešení je poměrně snadná.

(Zdroj: Slashdot)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 9. 1. 2008 17:12

    xm (neregistrovaný)
    Autorům toho programu by měl někdo vysvětlit základy IT bezpečnosti - a sice že security by obscurity je _špatné_ řešení a nefunguje. Naopak může přinést víc škody než užitku a falešný pocit bezpečí jako bonus.

    Ještě dokážu pochopit když někdo spustí službu na nestandardním portu, ale tohle je vážně už extrém. Proti tomu co dělá tenhle stupidní program je i port knocking slabým odvarem, fuj!
  • 9. 1. 2008 17:46

    anonymní
    myslim, ze toto nie je typicky priklad security by obscurity; je tu velmi podobne metode frequency-hopping, ktora je povazovana za dostatocne bezpecnu
    ale 16 portov sa mi zda malo, to nie je skoro ziadna bezpecnost
  • 9. 1. 2008 23:58

    Tayto (neregistrovaný)
    Ale to je spatna analogie. Porty v tcp/ip jsou urceny k rozliseni nejake sluzby. Je to v podstate logicke rozdeleni na urovni nejakeho protokolu a nikoli prirodni zdroj. To ze jsou nekde rozliseny logicky vyuzivane sluzby neni vada v designu tcp/ip kterou je nutno takto spinave obchazet.
    Frequency-hopping ma proti tomu plne opodstatneni v tom ze diky nemu je prenos odolnejsi proti ruseni a pasmo je efektivne vyuzito. Bezpecnost pri pouziti pseudonahodne sekvence pri prepinani frekvenci je jen tresnickou an dorte.
  • 9. 1. 2008 17:39

    Milan (neregistrovaný)
    Podobně jako PORT by mohl existovat i náhodný výběr IP adresy... A podobných nápadů by asi bylo víc. Otázka skutečně je: Je to ale k něčemu? Souhlasím s tím, že není.
  • 9. 1. 2008 19:50

    Sten (neregistrovaný)
    Proč se vymýšlí takovýhle podivný postup, když už existuje dobře fungující (a bezpečnější - není to jen 1:16) port knocking?