Préambule

Objet du document

Ce document présente deux techniques intéressantes permettant d’ouvrir un port à distance, à la demande, et ainsi de contourner certaines failles de sécurité liées à l'ouverture de ports sur un firewall.
Ces techniques, respectivement appelées Port Knocking et SPA (Single Packet Authorization), consistent à ouvrir sur un serveur, pour une adresse IP, un port initialement fermé par le firewall, à partir d'une séquence de ping (pour le port knocking) ou d’un paquet particulier (pour le Single Packet Authorization).

Limitations

Les tests ont été effectués à partir d'une version d'émulation Cygwin sous Windows pour le client et d'une version de knockd installée dans un environnement virtualisé par VMWARE Debian pour le serveur, le client et le serveur étant physiquement sur la même machine.
Remarque :
Sous Cygwin (environnement Windows), le message suivant peut apparaître lors de la génération des clés :

« AVERTISSEMENT: l'utilisation de la mémoire n'est pas sûre ! »

Ceci est dû au système d’exploitation. Ce message n’apparaît pas si le système d’exploitation client est Linux. Néanmoins, l’apparition de ce message ne perturbe pas le bon fonctionnement des clés générées. Dans le cadre du présent document, le client et le serveur ont les propriétés suivantes :