Bereits das Vorhandensein eines offenen Netzwerkports (z.B. für ftp) lädt zum Ausprobieren und Lauschen ein und ist damit ein potentielles Sicherheitsproblem. Nehmen wir an, wir wollen einen Port für SSH, den wir für Fernwartung benötigen, schützen.
Zuerst schützen wir alle Ports mit einer SW-Firewall (resp. lassen diese zu). Nehmen wir eine LINUX-Kiste an, so schützen wir mit iptables. Somit ist der Rechner von aussen bspw. bei einem Port-Scan «dicht» und zwar auf allen Ports.
Nun wählen wir eine beliebige Port-Range und lassen einen Port Knock-Server daran lauschen oder genauer gesagt an der Log-Datei der Firewall.
Verbindet nun ein Client zu einer vordefinierte Reihenfolge von Ports, so ist das erfolglos und die Firewall schreibt die Versuche in ihre Logdatei. Diese wiederum wird vom Port Knock-Server mitgelesen. Erkennt der Server ein vordefiniertes «Klopfzeichen», so öffnet er in unserem Falll den SSH-Port und die «Türe» für die Fernwartung ist nun offen (und wird nach Gebrauch wieder geschlossen).
Selbstverständlich sollten das Klopzeichen wegen einer Replay-Attacke nicht immer identisch sein. Dagegen tut es bereits ein einfacher Timestamp, doch sind kompliziertere Versionen mit kryptographischen sicheren Sessions-Key beliebig möglich.
Ich finde das genial: www.portknocking.org und ein Artikel im Linux Journal.
