Аўтарызацыя аднаго пакета
PortGuard

PortGuard прапануе надзейную тэхналогію аўтарызацыі аднаго пакета для абароны вашай сеткі ад несанкцыянаванага доступу, уключаючы пагрозы сканавання партоў.

Спампуйце зараз, шматплатформенны графічны інтэрфейс

Спампаваць для Windows

fwknopc_2_6_11_x64-setup.exe

Спампаваць для Macos

fwknopc_2_6_11_x64.pkg

Спампаваць для Android

fwknopc_2_6_11_x64.apk

Сервер Fwknop для CentOS7

Імя файла Апошняе змяненне МД5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Заўвага: Хуткая ўстаноўка ў CentOS 7

1. Чаму я распрацаваў PortGuard?

Упершыню я даведаўся пра канцэпцыю аўтарызацыі аднаго пакета (SPA) падчас нефармальнай размовы з калегамі па працы. Да гэтага я нічога не ведаў пра націсканне партоў або SPA. Так атрымалася, што нашай кампаніі патрэбна было рашэнне для націскання партоў, і пасля даследавання і вывучэння адпаведных матэрыялаў я знайшоў fwknop. Канцэпцыя fwknop была сапраўды ўражлівай — для сэрвісаў, якія павінны быць даступныя толькі абраным, fwknop — выдатнае рашэнне. Мы разглядалі магчымасць распрацоўкі ўласнага інструмента, але fwknop аказаўся значна больш дасканалым. Аднак fwknop мае свае недахопы: ён складаны, патрабуе крутой крывой навучання для ўстаноўкі і выкарыстання, і яму не хапае спецыяльнага кліенцкага прыкладання. Гэта прывяло да стварэння PortGuard. Мэта PortGuard — падтрымліваць асноўныя пратаколы націскання партоў, такія як fwknop і, у будучыні, tnok, адначасова забяспечваючы кросплатформенны кліент. PortGuard, створаны як пашырэнне fwknop і tnok, імкнецца зрабіць тэхналогію SPA больш зручнай для карыстальнікаў і даступнай.

2. Платформы, якія падтрымліваюцца кліентам PortGuard

У цяперашні час PortGuard падтрымлівае наступныя платформы:

  • iOS
  • Android
  • Windows
  • macOS

3. Выпадкі выкарыстання PortGuard

Асноўная функцыянальнасць PortGuard заключаецца ў павышэнні бяспекі сеткі шляхам утойвання службовых партоў (па змаўчанні яны зачыненыя), і яна падыходзіць для наступных сцэнарыяў:

3.1 Абарона службаў аддаленага доступу (напрыклад, SSH)

Сцэнар:Адміністратарам неабходна бяспечна атрымліваць доступ да SSH-сэрвісаў з розных месцаў (напрыклад, дома, кавярні, мабільнай сеткі), не падвяргаючы SSH-порт агульнадаступнай сетцы.

Рэалізацыя: Выкарыстоўвайце fwknop або tnok, кліент адпраўляе пакеты дадзеных SPA або пакеты TOTP knock, а сервер правярае і часова адкрывае порт SSH (па змаўчанні 22) пасля праверкі.

Перавагі: Не дапускайце выяўлення сэрвісаў з дапамогай Nmap і іншых інструментаў сканавання партоў, што зніжае рызыку выкарыстання ўразлівасцей нулявога дня.

Прыклад: Аддаленыя супрацоўнікі выкарыстоўваюць кліент fwknop для адпраўкі пакетаў дадзеных SPA на прыладах Windows або Android, а таксама для бяспечнага доступу да ўнутраных сервераў кампаніі.

3.2 Абарона паслуг у воблачных асяроддзях

Сцэнар:Доступ да ўнутраных сэрвісаў (напрыклад, баз дадзеных, вэб-сервераў) у AWS, Azure і іншых хмарных платформах павінен ажыццяўляцца праз агульнадаступную сетку, але неабходна пазбягаць непасрэднага доступу да партоў.

Рэалізацыя: PortGuard інтэгруецца з NAT, каб дазволіць знешнім кліентам атрымліваць доступ да ўнутраных службаў у адраснай прасторы RFC 1918 праз SPA.

Перавагі: Падтрымлівае складаныя сеткавыя тапалогіі, падыходзіць для гібрыдных воблачных і шматкарыстальніцкіх асяроддзяў.

Прыклад: Запусціце fwknopd на экзэмплярах AWS EC2, дынамічна адкрыйце порт MySQL (3306) для доступу аўтарызаваных карыстальнікаў.

3.3 Абарона ад сканавання партоў і грубай сілы

Сцэнар:Серверы падвяргаюцца сканаванню партоў (напрыклад, Nmap) або атакам метадам грубай сілы, і ім неабходна хаваць службовыя парты, каб паменшыць паверхню атакі.

Рэалізацыя: PortGuard падтрымлівае палітыку адключэння брандмаўэра па змаўчанні, адкрываючы парты толькі пасля атрымання сапраўдных пакетаў дадзеных SPA.

Перавагі: Нават калі ёсць невыпраўленыя ўразлівасці, зламыснікі не могуць выявіць службовыя парты.

Прыклад: Прадухіляе перабор SSH, fwknop адкрывае парты толькі пасля праверкі HMAC.

3.4 Падтрымка абароны некалькіх сэрвісаў

Сцэнар:Прадпрыемствам неабходна абараняць некалькі сэрвісаў (напрыклад, SSH, RDP, VPN, базу дадзеных), але яны не хочуць, каб усе парты былі адкрыты ўвесь час.

Рэалізацыя: fwknop падтрымлівае вызначэнне некалькіх службаў і партоў у access.conf, і кліент можа ўказаць мэтавы пратакол і порт.

Перавагі: Гнуткая канфігурацыя правілаў, падтрымка карыстальніцкіх тайм-аўтаў і стратэгій адкрыцця партоў.

Прыклад: Наладзьце fwknop для абароны як SSH (tcp/22), так і OpenVPN (udp/1194).

3.5 Бяспека ўбудаваных прылад або прылад Інтэрнэту рэчаў

Сцэнар:Прылады Інтэрнэту рэчаў або ўбудаваныя сістэмы патрабуюць дыстанцыйнага кіравання, але рэсурсы прылад абмежаваныя і ўразлівыя да нападаў.

Рэалізацыя: Запускайце лёгкія fwknopd або tnokd на прыладах з абмежаванымі рэсурсамі, кантралюйце доступ праз SPA або TOTP.

Перавагі: Нізкае спажыванне рэсурсаў, падыходзіць для невялікіх прылад.

Прыклад: Абараніце вэб-сэрвіс, які працуе на Raspberry Pi.

3.6 Інтэграцыя прылад іншых вытворцаў

Сцэнар:Неабходна інтэгравацца з прыладамі, якія не падтрымліваюць убудаваны fwknop (напрыклад, маршрутызатары Cisco), кантраляваць правілы брандмаўэра.

Рэалізацыя: Функцыя цыклу адкрыцця/закрыцця каманды (command open/close cycle) праграмы fwknop дазваляе выконваць карыстальніцкія скрыпты для дынамічнай змены ACL прылад іншых вытворцаў.

Перавагі: Пашыраецца, падтрымлівае нестандартныя прылады брандмаўэра.

Прыклад: Запусціце fwknopd на серверах Linux, абнавіце ACL маршрутызатараў Cisco праз SSH.

3.7 Тэхнічныя падрабязнасці

  • fwknop падтрымлівае вызначэнне тайм-аўту (CMD_CYCLE_TIMER), порт аўтаматычна зачыняецца, скарачаючы час экспазіцыі.
  • Можна спалучаць з VPN (напрыклад, WireGuard, OpenVPN) для стварэння бяспечнай прыватнай сеткі.
  • Падтрымлівае разбор загалоўкаў X-Forwarded-For, падыходзіць для SPA ў асяроддзі HTTP.

4. Наколькі бяспечны PortGuard?

Бяспека PortGuard у першую чаргу залежыць ад механізму аўтарызацыі аднаго пакета (SPA) fwknop у спалучэнні з шыфраваннем, аўтэнтыфікацыяй і інтэграцыяй брандмаўэра, што забяспечвае шматслаёвую абарону. Ніжэй прыведзены падрабязны аналіз бяспекі:

4.1 Шыфраванне і аўтэнтыфікацыя

Шыфраванне: fwknop падтрымлівае сіметрычнае шыфраванне Rijndael (AES) або асіметрычнае шыфраванне GnuPG, і змесціва пакета дадзеных SPA нельга непасрэдна прааналізаваць.

Аўтэнтыфікацыя: Выкарыстоўвайце HMAC-SHA256 (па змаўчанні) або больш познія версіі для аўтэнтыфікацыі пакетаў дадзеных, што забяспечвае цэласнасць дадзеных і давер крыніцы.

Бяспека: Прадухіленне атак тыпу «чалавек пасярэдзіне» (MITM) і паўторных гульняў, HMAC ужываецца пасля шыфравання, супраціўленне атакам аракулаў з дапаўненнем у рэжыме CBC (напрыклад, атакам Водэня).

Абмежаванні: Сіметрычнае шыфраванне патрабуе агульных ключоў кліента і сервера, няправільнае кіраванне ключамі можа прывесці да ўцечкі; рэжым GnuPG патрабуе падтрымання ключавых кольцаў,

4.2 Прадухіленне сканавання партоў

Механізм: PortGuard выкарыстоўвае палітыку брандмаўэра па змаўчанні, і службовы порт нябачны, калі ён не аўтарызаваны, таму Nmap і іншыя інструменты не могуць яго выявіць.

Бяспека: Значна памяншае паверхню атакі, нават калі ёсць уразлівасці нулявога дня, зламыснікі не могуць знайсці службовы порт.

Абмежаванні: Калі пакет дадзеных knock перахопліваецца (традыцыйныя метады knocking больш схільныя да гэтага), зламыснікі могуць паспрабаваць перагуляць яго (SPA вырашыў гэтую праблему з дапамогай HMAC).

4.3 Супраціўляйцеся грубай сіле

Механізм: Пакеты дадзеных SPA павінны быць правільна зашыфраваны і аўтэнтыфікаваны з дапамогай HMAC, перабор практычна немагчымы (пакеты дадзеных з няўдалым HMAC адразу адкідаюцца).

Бяспека: У параўнанні з традыцыйным перахопам партоў, аднапакетная канструкцыя і механізм шыфравання SPA значна паляпшаюць здольнасць супрацьстаяць перабору.

Абмежаванні: Памылкі канфігурацыі (напрыклад, слабыя ключы або адключаны HMAC) могуць знізіць бяспеку.

✨ Асаблівасці

Надзейныя функцыі бяспекі
🔓 Надзейныя функцыі бяспекі
Сучасная тэхналогія шыфравання
PortGuard выкарыстоўвае перадавую тэхналогію шыфравання для забеспячэння бяспекі даных, забяспечваючы надзейную абарону ад несанкцыянаванага доступу і забяспечваючы канфідэнцыяльнасць вашых даных.
Надзейнасць сістэмы
📈 Надзейнасць сістэмы
Неперасягненая стабільнасць
Строга пратэставаны, PortGuard стабільна працуе ў розных асяроддзях, забяспечваючы высокую даступнасць і надзейнасць для важных прыкладанняў.
Кросплатформенная сумяшчальнасць
💻 Кросплатформенная сумяшчальнасць
Бесперашкодная шматплатформенная падтрымка
Падтрымлівае Windows, macOS, Linux і многае іншае, што дазваляе бесперабойную інтэграцыю ў розныя ІТ-асяроддзі і абслугоўвае шырокае кола карыстальнікаў.
Гнуткасць адкрытага зыходнага кода
🔓 Гнуткасць адкрытага зыходнага кода
Павялічце сваю бяспеку з адкрытым зыходным кодам
PortGuard з'яўляецца адкрытым зыходным кодам і падтрымлівае прыватнае разгортванне, даючы карыстальнікам поўны кантроль над сваёй інфраструктурай бяспекі і магчымасць наладжваць яе пад свае патрэбы.

Людзі ❤️ Fwknop

User Comment

John

Бяспека выбівання порта
Механізм адбору партоў PortGuard значна палепшыў бяспеку нашай сеткі. Дзякуючы дынамічнаму адкрыццю партоў толькі для аўтэнтыфікаваных кліентаў, мы эфектыўна ліквідавалі рызыку сканавання партоў і нападаў грубай сілы, што робіць амаль немагчымым для зламыснікаў выяўленне нашых сэрвісаў з дапамогай такіх інструментаў, як сканеры партоў.
User Comment

Michael

Абарона Nmap
Настройка PortGuard была надзіва простай. Дакументацыя зразумелая, а файлы канфігурацыі добра арганізаваны. Мне ўдалося інтэграваць яго ў нашу існуючую інфраструктуру без асаблівых праблем. Ён бесперашкодна працуе з нашым брандмаўэрам (iptables), і крывая навучання была мінімальнай. Цяпер мы абаронены ад сканавання Nmap і іншых інструментаў сканавання партоў.
User Comment

James

Прадухіленне сканавання партоў
Адна з лепшых функцый PortGuard - гэта тое, як ён прадухіляе сканаванне партоў. Закрываючы ўсе парты і адкрываючы іх толькі часова пасля атрымання сапраўднага пакета SPA, гэта ліквідуе рызыку сканавання партоў і нападаў грубай сілы. Гэта змяніла гульню для забеспячэння абароны SSH і іншых важных службаў ад сканараў партоў і іншых інструментаў сканавання партоў.
User Comment

David

Бяспечны аддалены доступ
PortGuard зрабіў аддалены доступ да нашых сервераў значна больш бяспечным. Замест таго, каб выстаўляць SSH у Інтэрнэт, мы цяпер выкарыстоўваем SPA для прадастаўлення доступу толькі пры неабходнасці. Ён ідэальна падыходзіць для членаў нашай аддаленай каманды, якім трэба бяспечна падключацца з розных месцаў, не клапоцячыся аб сканаванні Nmap або іншых пагрозах сканавання партоў.
User Comment

Olivia

Наладжвальная бяспека
Гнуткасць PortGuard уражвае. Мы можам наладзіць яго для працы з некалькімі сэрвісамі, а не толькі з SSH. Магчымасць вызначаць карыстальніцкія правілы і тайм-аўты для адкрыцця партоў дазваляе адаптаваць яго да нашых канкрэтных выпадкаў выкарыстання. Гэта наладжвальнае рашэнне, якое дапамагае нам апярэджваць пагрозы сканавання партоў, такія як Nmap.
User Comment

William

Надзейная бяспека
PortGuard змяніў правілы бяспекі нашай сеткі. Дзякуючы інтэграцыі WireGuard VPN і OpenVPN мы змаглі стварыць прыватную сетку, якая забяспечвае бяспеку нашых даных і абарону ад старонніх вачэй. Надзейнасць гэтай налады дае нам поўны спакой, ведаючы, што нашы даныя абаронены ад несанкцыянаванага доступу.
Спампаваць зараз

Telegram

Падручнік па PortGuard

Copyright 2025 PortGuard. All rights reserved.