TCP Stealth

Im Bereich der Informationstechnik ist TCP Stealth eine mit dem TCP-Standard kompatible Erweiterung des TCP-Protokolls. TCP Stealth verbirgt offene Ports vor Fremden, die einen Portscanner wie Zmap oder Nmap betreiben, um Computersysteme zu finden, die ein Eindringen möglich machen. Damit sollen Server geschützt werden, deren Existenz nicht öffentlich bekanntgegeben wird.

TCP Stealth bettet in die Verbindungsanfrage des Clients ein Authentifizierungszeichen ein. Die initiale Sequenznummer (ISN) im TCP-SYN-Segment wird durch eine in einem Einwegverfahren gebildete Zahl ersetzt. Diese ist abgeleitet aus mehreren Komponenten, darunter einem beiden Seiten vorliegenden geheimen Schlüssel. Mit dieser Zahl entscheidet der Server nach Erhalt des Segments, ob er antwortet.

Das Verfahren geht über bisherige Schutzmaßnahmen hinaus. Bei bisherigen Portknocking-Techniken autorisieren sich Anfragende durch ein Klopfzeichen. Kontrolliert ein Angreifer alle Wege zwischen Client und Server, ist das Verfahren auszuhebeln, indem er den Verkehr nach Autorisierung als „Man in the Middle“ übernimmt. Um dies zu verhindern, überträgt TCP Stealth optional zum Authentifizierungszeichen im ersten Segment eine kryptografische Prüfsumme (Hash) der ersten vom Client nach dem Handschlag gesendeten Datenbytes.^[1]

TCP Stealth lässt sich auch ohne Änderung des Betriebssystem-Quelltextes mit Hilfe der Bibliothek libknockify nutzen, die auf der Projektseite erhältlich ist. Diese wirkt als Hüllprogramm (Wrapper) für die Funktionen der Netzwerk-API.

Die Spezifikation wurde als am 15. August 2014 als Entwurf der IETF vorgelegt, nachdem öffentlich bekannt wurde, wie der britische Geheimdienst in 27 Ländern in Routineverfahren systematisch Portscans missbrauchte.

Die Autoren der Spezifikation sind Forscher der Technischen Universität München, Jacob Appelbaum vom Tor-Projekt und Holger Kenn von Microsoft.