طرق المنافذ

في شبكات الحاسوب، تعد طَرق المنافذ طريقة لفتح المنافذ على جدار الحماية خارجيًا عن طريق إنشاء محاولة اتصال على مجموعة من المنافذ المغلقة المحددة مسبقًا. بمجرد تلقي التسلسل الصحيح لمحاولات الاتصال، يتم تعديل قواعد جدار الحماية ديناميكيًا للسماح للمضيف الذي أرسل محاولات الاتصال بالاتصال عبر منفذ (منافذ) معينة. يوجد متغير يسمى ترخيص الحزمة الواحدة (SPA)، حيث لا يلزم سوى «ضربة» واحدة، تتكون من حزمة مشفرة.

الغرض الأساسي من طرق المنفذ هو منع المهاجم من فحص النظام بحثًا عن خدمات يمكن استغلالها عن طريق إجراء فحص للمنافذ، لأنه ما لم يرسل المهاجم تسلسل الضربة الصحيح، ستظهر المنافذ المحمية مغلقة.

نظرة عامة

عادةً ما يتم تنفيذ طرق عرض المنفذ من خلال تكوين برنامج خفي لمشاهدة ملف سجل جدار الحماية لمحاولات الاتصال بنقاط معينة، ثم تعديل تكوين جدار الحماية وفقًا لذلك. يمكن أيضًا إجراؤه على مستوى النواة (باستخدام مرشح حزمة على مستوى النواة مثل iptables  ) أو من خلال عملية مساحة المستخدمين التي تفحص الحزم على مستوى أعلى (باستخدام واجهات التقاط الحزمة مثل بي كاب pcap)، مما يسمح باستخدام بالفعل منافذ TCP «المفتوحة» لاستخدامها ضمن تسلسل الضربات.

المنفذ "knock" نفسه مشابه للمصافحة السرية ويمكن أن يتكون من أي عدد من TCP أو UDP أو حتى في بعض الأحيان ICMP وحزم بروتوكولات أخرى إلى المنافذ المرقمة على الجهاز الوجهة. يمكن أن يكون تعقيد الضربة أي شيء من قائمة مرتبة بسيطة (على سبيل المثال منفذ TCP 1000، منفذ TCP 2000، منفذ UDP 3000) إلى تجزئة مشفرة تعتمد على الوقت وتعتمد على المصدر وعوامل أخرى.

يستمع برنامج بورت نوك portknock الخفي على جهاز جدار الحماية إلى الحزم الموجودة على منافذ معينة (إما عبر سجل جدار الحماية أو عن طريق التقاط الحزم). سيحمل مستخدم العميل أداة مساعدة إضافية، والتي يمكن أن تكون بسيطة مثل netcat أو برنامج ping معدل أو معقدة مثل مولد التجزئة الكامل، ويستخدمها قبل محاولة الاتصال بالجهاز بالطريقة المعتادة.

معظم أجهزة بورت نوك (portknocks) عبارة عن أنظمة ذات حالة من حيث أنه إذا تم استلام الجزء الأول من «الضربة القاضية» بنجاح، فلن يسمح الجزء الثاني غير الصحيح للمستخدم البعيد بالمتابعة، وفي الواقع، لن يعطي المستخدم البعيد أي فكرة عن مدى المسافة التي يمر بها تسلسل فشلوا. عادةً ما يكون المؤشر الوحيد للفشل هو أنه في نهاية تسلسل الضربة القاضية، لا يتم فتح المنفذ المتوقع فتحه. لا يتم إرسال حزم إلى المستخدم البعيد في أي وقت.

في حين أن هذه التقنية لتأمين الوصول إلى شياطين الشبكة البعيدة لم يتم تبنيها على نطاق واسع من قبل مجتمع الأمن، فقد تم استخدامها بنشاط في العديد من الجذور الخفية حتى قبل عام 2000.

الفوائد

يتطلب هزيمة حماية طرق المنافذ هجمات واسعة النطاق بالقوة الغاشمة من أجل اكتشاف حتى التسلسلات البسيطة. يتطلب هجوم القوة الغاشمة المجهول ضد تسلسل TCP ثلاثي الضربات (مثل المنفذ 1000، 2000، 3000) مهاجمًا لاختبار كل ثلاثة منافذ في النطاق (1-65535) ثم فحص كل منفذ بين الهجمات للكشف عن أي تغييرات في المنفذ الوصول إلى النظام المستهدف. نظرًا لأن طرق عرض المنفذ هي حسب تعريف الحالة، فلن يتم فتح المنفذ المطلوب حتى يتم استلام تسلسل رقم ثلاثة منافذ صحيح بالترتيب الصحيح ودون تلقي أي حزم متداخلة أخرى من المصدر. يتطلب سيناريو متوسط الحالة ما يقرب من 141 تريليون (⁶⁵⁵³⁵³ / 2) حزم لتحديد رقم صحيح ثلاثي المنافذ. هذه التقنية، جنبًا إلى جنب مع التسلسلات الأطول أو الأكثر تعقيدًا وتجزئة التشفير، إلى جانب الحد من محاولات الدفع، وتجعل محاولات الوصول الناجحة للمنافذ صعبة للغاية.

بمجرد توفير تسلسل ضرب المنفذ الناجح لفتح منفذ، تفتح قواعد جدار الحماية بشكل عام المنفذ فقط على عنوان IP الذي قدم الضربة الصحيحة، مما يضيف وظائف ديناميكية لسلوك جدار الحماية. بدلاً من استخدام القائمة البيضاء لعناوين IP الثابتة المكونة مسبقًا على جدار الحماية، سيتمكن المستخدم المصرح له الموجود في أي مكان في العالم من فتح أي منفذ ضروري دون مساعدة من مسؤول الخادم. يمكن أيضًا تكوين النظام للسماح للمستخدم المصادق عليه بإغلاق المنفذ يدويًا بمجرد انتهاء الجلسة أو لإغلاقه تلقائيًا باستخدام آلية المهلة. لإنشاء جلسة جديدة، سيُطلب من المستخدم البعيد إعادة المصادقة باستخدام التسلسل الصحيح.

يسمح السلوك المصحوب بالحالة لطرق المنفذ للعديد من المستخدمين من عناوين IP مختلفة المصدر أن يكونوا على مستويات مختلفة من مصادقة طرق المنفذ في وقت واحد، مما يسمح للمستخدم الشرعي بتسلسل الضربة الصحيح عبر جدار الحماية بينما يكون جدار الحماية نفسه في منتصف هجوم منفذ من عدة عناوين IP (بافتراض عدم استهلاك النطاق الترددي لجدار الحماية بالكامل). من أي عنوان IP مهاجم آخر، ستظل المنافذ الموجودة على جدار الحماية تبدو مغلقة.

يؤدي استخدام تجزئات التشفير داخل تسلسل ضرب المنفذ للدفاع ضد استنشاق الحزمة بين الأجهزة المصدر والهدف، مما يمنع اكتشاف تسلسل ضرب المنفذ أو استخدام المعلومات لإنشاء هجمات إعادة تشغيل حركة المرور لتكرار تسلسل ضربات المنفذ السابقة.

يتم استخدام طرق المنافذ كجزء من دفاع في إستراتيجية العمق. حتى إذا تمكن المهاجم من الوصول إلى المنفذ بنجاح، فلا تزال آليات أمان المنفذ الأخرى سارية، إلى جانب آليات مصادقة الخدمة المعينة على المنافذ المفتوحة.

يعد تنفيذ هذه التقنية أمرًا سهلاً، حيث يستخدم كحد أدنى برنامج نصي شل على الخادم وملف دفعي لنظام التشغيل Windows أو أداة مساعدة لسطر الأوامر على العميل. يعتبر الحمل على كل من الخادم والعميل من حيث حركة المرور واستهلاك وحدة المعالجة المركزية والذاكرة ضئيلاً. شياطين طرق المنفذ ليست معقدة في البرمجة؛ أي نوع من الثغرات الأمنية داخل الكود واضح وقابل للتدقيق.

يتجنب نظام ضرب المنفذ المطبق على منافذ مثل SSH مشكلة هجمات كلمات المرور بالقوة الغاشمة على عمليات تسجيل الدخول. في حالة SSH ، لا يتم تنشيط برنامج SSH الخفي بدون ضرب المنفذ الصحيح، ويتم تصفية الهجوم بواسطة مكدس TCP / IP بدلاً من استخدام موارد مصادقة SSH. بالنسبة للمهاجم، يتعذر الوصول إلى البرنامج الخفي حتى يتم توفير منفذ النقر الصحيح.

الاعتبارات الأمنية

طرق المنافذ هي وظيفة إضافية مرنة وقابلة للتخصيص في النظام. إذا اختار المسؤول ربط تسلسل ضرب بنشاط مثل تشغيل برنامج نصي شل، فيمكن بسهولة دمج التغييرات الأخرى مثل تطبيق قواعد جدار الحماية الإضافية لفتح منافذ لعناوين IP محددة في البرنامج النصي. يتم استيعاب الجلسات المتزامنة بسهولة.

باستخدام استراتيجيات مثل: الطول الديناميكي ومجموعة الطول يمكن أن يقلل من احتمالية اختراق تسلسلات الضربة القاضية إلى ما يقرب من الصفر.

بالإضافة إلى التخفيف من هجمات القوة الغاشمة على كلمات المرور والنمو الحتمي في السجلات المرتبطة بشفرة العملية، فإن طرق المنافذ تحمي أيضًا من عمليات استغلال الثغرات الأمنية في البروتوكول. إذا تم اكتشاف ثغرة يمكن أن تعرض الخدمة للخطر في تكوينها الافتراضي، فإن استخدام منفذ يطرق على منفذ الاستماع يقلل من احتمالية التسوية حتى يتم تحديث البرنامج أو العملية. سيستمر تقديم المستخدمين المصرح لهم بمجرد تقديمهم تسلسل الضربة الصحيح بينما سيتم تجاهل محاولات الوصول العشوائية.

لا ينبغي النظر إلى طرق طرق المنافذ إلا كجزء من إستراتيجية شاملة للدفاع عن الشبكة توفر الحماية ضد الهجمات العشوائية والموجهة، وليس كحل مستقل كامل.

تجاهل متخصصو أمن الشبكات إلى حد كبير طرق طرق المنافذ كحل في الماضي نظرًا لأن عمليات التنفيذ المبكرة اعتمدت فقط على توفير مجموعات المنافذ الصحيحة لتحقيق الوصول. تتضمن أنظمة طرق المنفذ الحديثة ميزات مثل تجزئة التشفير الآمنة والقوائم السوداء والقوائم البيضاء واستجابات الهجوم الديناميكي لزيادة قدرة النظام. تعد طرق عرض المنفذ وسيلة فعالة لتعظيم موارد الخادم على الشبكات المواجهة للإنترنت.

طرق طرق المنفذ المطبقة بشكل صحيح لا تقلل من الأمان العام للنظام. إنه إجراء فعال يوفر طبقة إضافية من الأمان مع الحد الأدنى من عبء موارد الخادم. في أسوأ الأحوال، تقدم أنظمة مثل طرق المنافذ مشكلات أمنية جديدة من خلال سوء التنفيذ أو فضح مواقف الإدارة المتضاربة من خلال مواقف مثل تعويض المخاطر.

المساوئ

- طرق (طَرق المنافذ) تعتمد كليا على متانة برنامج طرق على المنفذ. سيؤدي فشل البرنامج الخفي إلى رفض وصول جميع المستخدمين إلى المنفذ ومن منظور قابلية الاستخدام والأمان، فهذه نقطة فشل فردية غير مرغوب فيها. تعمل تطبيقات طرق المنفذ الحديثة على تخفيف هذه المشكلة من خلال توفير برنامج خفي لمراقبة العملية والذي سيعيد تشغيل عملية خفية لطرق المنفذ الفاشلة أو المتوقفة.

- الأنظمة التي لا تستخدم تجزئات التشفير معرضة لهجمات انتحال عنوان IP . تستخدم هذه الهجمات، وهي شكل من أشكال رفض الخدمة، وظيفة طرق المنفذ لإغلاق عناوين IP المعروفة (مثل محطات إدارة المسؤول) عن طريق إرسال حزم بعنوان IP مخادع إلى منافذ عشوائية. الخوادم التي تستخدم العنونة الثابتة معرضة بشكل خاص لهذه الأنواع من رفض الخدمة لأن عناوينها معروفة جيدًا.

- قد تكون طرق طرق المنفذ مشكلة على الشبكات التي تعرض زمن انتقال عالٍ. يعتمد ضرب المنفذ على وصول الحزم بالتسلسل الصحيح للوصول إلى وظائفها المصممة. من ناحية أخرى، تم تصميم TCP / IP ليعمل من خلال تجميع الحزم خارج الترتيب في رسالة متماسكة. في هذه الحالات، الحل الوحيد هو أن يستمر العميل في إعادة إرسال التسلسل الصحيح للحزم على أساس دوري حتى يتم التعرف على التسلسل من قبل الخادم.

- لا يمكن استخدام طرق عرض المنفذ كآلية مصادقة وحيدة للخادم. من منظور أمني، يعتمد طرق طرق المنفذ البسيطة على الأمن من خلال الغموض؛ يؤدي النشر غير المقصود لتسلسل الضربة القاضية إلى تسوية جميع الأجهزة التي تدعم التسلسل. علاوة على ذلك، طرق طرق المنافذ غير المشفرة عرضة لاستنشاق الحزم. يمكن لتتبع الشبكة ذي الطول المناسب اكتشاف تسلسل الضربة الصحيح من عنوان IP واحد وبالتالي توفير آلية للوصول غير المصرح به إلى خادم وبالتالي الشبكة المتصلة. بمجرد اختراقها، تصبح ملفات السجل على الجهاز مصدرًا لتسلسلات طرق صحيحة أخرى، مما يكشف عن نقطة فشل أخرى. حلول مثل التعامل مع كل تسلسل نقر على أنه كلمة مرور لمرة واحدة هزيمة هدف الإدارة المبسطة. في الممارسة العملية، يجب أن يتم دمج طرق طرق المنافذ مع أشكال المصادقة الأخرى التي ليست عرضة لإعادة التشغيل أو هجمات man-in-the-middle حتى يكون النظام بأكمله فعالاً.

•  بوابة أمن المعلومات