Service-Knocking Communication

Abstract

Las herramientas de acceso remoto son un elemento fundamental para la actividad de los administradores de servidores. Debido a esto, es necesario que dichos servidores ejecuten servicios de administración remota, los cuales en general admiten conexiones desde cualquier IP. Esta configuración puede traer problemas de seguridad, como ser ataques de fuerza bruta[1] o ataques a vulnerabilidades específicas de los servicios de administración[2]. En este paper, se presenta una técnica que permite la comunicación remota con aplicaciones corriendo en un servidor sin que las mismas dispongan de un puerto abierto de comunicación. Se camufla la comunicación a través del puerto de un servicio de acceso publico en el servidor. Se implementó una herramienta simple como prueba de concepto de la técnica presentada. Esta técnica permite la comunicación con un servicio sin puertos dificultando la detección del mismo, por lo que llevar a cabo ataques contra el servicio se torna más difícil aun.

Administrators need to have a remote access to a server in order to perform administrative tasks. Having an administrative service publicly available arises several security issues, ranging from brute-force attacks[1] to exploiting service's vulnerabilities[2]. In this paper we present a technique along with a simple tool which enables the administrators to communicate with an application with no open ports through other running service's open port in order to disguise its traffic. A direct consequence of the application of this technique is that one could run an almost completely hidden service making it highly difficult to detect, thus to attack.