Técnicas avanzadas de filtrado dinámico en sistemas cortafuegos : Port Knocking y Single Packet Authorization

Abstract

Hoy en día ningún administrador de sistemas puede confiar en la seguridad proporcionada por los fabricantes de software para proteger los servicios de red de sus sistemas. Los exploits 0-day son una enorme amenaza para sistemas donde la seguridad es crítica. Port Knocking y Single Packet Authorization son dos técnicas que proporcionan una herramienta eficaz para que un host de red mantenga todos sus puertos en estado cerrado y los abra bajo demanda a aquellos clientes que presenten las credenciales de autenticación adecuadas. Este documento discute en profundidad estas dos técnicas y presenta Aldaba, una implementación completamente funcional de un servicio de autenticación PK/SPA, que proporciona una capa adicional de seguridad a sistemas que no pueden permitirse ningún tipo de intrusión.-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Nowadays system administrators can't rely on the security provided by software manufacturers to protect services that run on their network servers. 0-day exploits are a serious threat to critical systems. Port Knocking and Single Packet Authorization are two different techniques that provide mechanisms to have all ports of a network host closed and open them on request, to clients that present the appropriate authentication credentials. This document discusses these two security techniques in detail, and presents Aldaba, the implementation of a complete PK/SPA authentication service that adds an extra layer of security to systems that just can't afford intrusions.