Enkeltpakkegodkendelse
PortGuard

PortGuard tilbyder robust enkeltpakkeautorisationsteknologi til at beskytte dit netværk mod uautoriseret adgang, herunder portscanningstrusler.

Download nu, Multi-Platform GUI

Download til Windows

fwknopc_2_6_11_x64-setup.exe

Hent til Macos

fwknopc_2_6_11_x64.pkg

Download til Android

fwknopc_2_6_11_x64.apk

Fwknop-server til CentOS7

Filnavn Sidst ændret MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Bemærk: Hurtig installation i CentOS 7

1. Hvorfor udviklede jeg PortGuard?

Jeg hørte første gang om konceptet Single Packet Authorization (SPA) under en afslappet samtale med kolleger på arbejdet. Før det havde jeg ingen kendskab til port knocking eller SPA. Det skete, at vores virksomhed havde brug for en port-knocking-løsning, og efter at have researchet og udforsket relevante materialer, opdagede jeg fwknop. Konceptet med fwknop var virkelig imponerende – til tjenester, der kun skal være tilgængelige for nogle få udvalgte, er fwknop en fremragende løsning. Vi overvejede at udvikle vores eget værktøj, men fwknop var langt mere modent. fwknop har dog sine ulemper: det er komplekst, med en stejl læringskurve for installation og brug, og det mangler en dedikeret klientapplikation. Dette førte til oprettelsen af PortGuard. Målet med PortGuard er at understøtte mainstream port-knocking-protokoller som fwknop og i fremtiden tnok, samtidig med at det leverer en klient på tværs af platforme. PortGuard er bygget som en udvidelse af fwknop og tnok og sigter mod at gøre SPA-teknologi mere brugervenlig og tilgængelig.

2. PortGuard-klientunderstøttede platforme

I øjeblikket understøtter PortGuard følgende platforme:

  • iOS
  • Android
  • Windows
  • macOS

3. PortGuard-brugsscenarier

PortGuards kernefunktion er at forbedre netværkssikkerheden ved at skjule serviceporte (standard lukket), og den er egnet til følgende scenarier:

3.1 Beskyt fjernadgangstjenester (f.eks. SSH)

Scenarie:Administratorer skal have sikker adgang til SSH-tjenester fra forskellige steder (f.eks. hjemmet, caféen, mobilnetværket) uden at eksponere SSH-porten for det offentlige netværk.

Implementering: Brug fwknop eller tnok, klienten sender SPA-datapakker eller TOTP knock-pakker, og serveren verificerer og åbner midlertidigt SSH-porten (standard 22) efter verifikation.

Fordele: Forhindr Nmap og andre portscanningsværktøjer i at opdage tjenester, hvilket reducerer risikoen for udnyttelse af zero-day-sårbarheder.

Eksempel: Fjernteammedlemmer bruger fwknop-klienten til at sende SPA-datapakker på Windows- eller Android-enheder og få sikker adgang til virksomhedens interne servere.

3.2 Tjenestebeskyttelse i cloudmiljøer

Scenarie:Interne tjenester (f.eks. databaser, webservere) i AWS, Azure og andre cloudplatforme skal tilgås via det offentlige netværk, men portene skal undgås at blive direkte eksponeret.

Implementering: PortGuard integrerer med NAT for at give eksterne klienter adgang til interne tjenester i RFC 1918-adresserummet via SPA.

Fordele: Understøtter komplekse netværkstopologier, velegnet til hybrid cloud og miljøer med flere lejere.

Eksempel: Kør fwknopd på AWS EC2-instanser, åbn dynamisk MySQL-porten (3306) for autoriserede brugere.

3.3 Forsvar mod portscanning og brute force

Scenarie:Servere udsættes for portscanning (f.eks. Nmap) eller brute-force-angreb og er nødt til at skjule serviceporte for at reducere angrebsfladen.

Implementering: PortGuard opretholder standardpolitikken for firewall-drop og åbner kun porte efter modtagelse af gyldige SPA-datapakker.

Fordele: Selv hvis der er uopdaterede sårbarheder, kan angribere ikke finde serviceporte.

Eksempel: Undgå SSH brute force, fwknop åbner kun porte efter verifikation af HMAC.

3.4 Understøttelse af beskyttelse mod flere tjenester

Scenarie:Virksomheder har brug for at beskytte flere tjenester (f.eks. SSH, RDP, VPN, database), men ønsker ikke, at alle porte skal være åbne hele tiden.

Implementering: fwknop understøtter definition af flere tjenester og porte i access.conf, og klienten kan angive målprotokollen og porten.

Fordele: Fleksibel regelkonfiguration, understøtter brugerdefineret timeout og strategier for portåbning.

Eksempel: Konfigurer fwknop til at beskytte både SSH (tcp/22) og OpenVPN (udp/1194).

3.5 Sikkerhed for indlejrede enheder eller IoT-enheder

Scenarie:IoT-enheder eller indlejrede systemer kræver fjernadministration, men enhedsressourcerne er begrænsede og sårbare over for angreb.

Implementering: Kør letvægtsprogrammet fwknopd eller tnokd på ressourcebegrænsede enheder, og styr adgangen via SPA eller TOTP.

Fordele: Lavt ressourceforbrug, velegnet til små enheder.

Eksempel: Beskyt webtjenesten, der kører på Raspberry Pi.

3.6 Integration af tredjepartsenheder

Scenarie:Behov for integration med enheder, der ikke understøtter native fwknop (f.eks. Cisco-routere), kontrol af firewallregler.

Implementering: Funktionen 'åbn/luk'-kommando i fwknop tillader udførelse af brugerdefinerede scripts for dynamisk at ændre ACL'en for tredjepartsenheder.

Fordele: Udvidelig, understøtter ikke-standard firewall-enheder.

Eksempel: Kør fwknopd på Linux-servere, opdater ACL'en for Cisco-routere via SSH.

3.7 Tekniske detaljer

  • fwknop understøtter definition af timeout (CMD_CYCLE_TIMER), portåbning lukkes automatisk, hvilket reducerer eksponeringstiden.
  • Kan kombineres med VPN (f.eks. WireGuard, OpenVPN) for at opbygge et sikkert privat netværk.
  • Understøtter X-Forwarded-For header-parsing, egnet til SPA i HTTP-miljø.

4. Hvor sikker er PortGuard?

PortGuards sikkerhed er primært afhængig af fwknops SPA-mekanisme (single-packet authorization), kombineret med kryptering, godkendelse og firewallintegration, hvilket giver flerlagsbeskyttelse. Følgende er en detaljeret analyse af sikkerheden:

4.1 Kryptering og godkendelse

Kryptering: fwknop understøtter symmetrisk Rijndael (AES) kryptering eller asymmetrisk GnuPG-kryptering, og indholdet af SPA-datapakken kan ikke parses direkte.

Godkendelse: Brug HMAC-SHA256 (standard) eller nyere versioner til godkendelse af datapakker, hvilket sikrer dataintegritet og kildetillid.

Sikkerhed: Forhindrer man-in-the-middle (MITM) og replay-angreb, HMAC anvendes efter kryptering, modstår CBC-tilstands padding oracle-angreb (f.eks. Vaudenay-angreb).

Begrænsninger: Symmetrisk kryptering kræver delte nøgler fra klient og server, ukorrekt nøglehåndtering kan føre til lækage; GnuPG-tilstand kræver vedligeholdelse af nøgleringe.

4.2 Forhindr portscanning

Mekanisme: PortGuard bruger standardpolitikken for firewall-beskyttelse, og serviceporten er usynlig, når den ikke er autoriseret, så Nmap og andre værktøjer kan ikke registrere den.

Sikkerhed: Reducerer angrebsfladen betydeligt, selvom der er zero-day-sårbarheder, kan angribere ikke finde serviceporten.

Begrænsninger: Hvis knock-datapakken bliver sniffet (traditionel port knocking er mere modtagelig for dette), kan angribere forsøge at afspille (SPA har løst dette problem via HMAC).

4.3 Modstå råstyrke

Mekanisme: SPA-datapakker skal krypteres korrekt, og HMAC-godkendes. Brute force er næsten umuligt (datapakker med defekt HMAC kasseres direkte).

Sikkerhed: Sammenlignet med traditionel port knocking forbedrer SPAs single-packet design og krypteringsmekanisme evnen til at modstå brute force betydeligt.

Begrænsninger: Konfigurationsfejl (f.eks. svage nøgler eller deaktiveret HMAC) kan reducere sikkerheden.

✨ Funktioner

Robuste sikkerhedsfunktioner
🔓 Robuste sikkerhedsfunktioner
State-of-the-art krypteringsteknologi
PortGuard bruger avanceret krypteringsteknologi til at sikre datasikkerhed, der giver robust beskyttelse mod uautoriseret adgang og sikrer fortroligheden af ​​dine data.
Systempålidelighed
📈 Systempålidelighed
Uovertruffen stabilitet
PortGuard er grundigt testet og kører stabilt i forskellige miljøer, hvilket sikrer høj tilgængelighed og pålidelighed til kritiske applikationer.
Cross-Platform kompatibilitet
💻 Cross-Platform kompatibilitet
Sømløs støtte til flere platforme
Understøtter Windows, macOS, Linux og mere, hvilket tillader problemfri integration i forskellige it-miljøer og serverer en bred vifte af brugere.
Open Source fleksibilitet
🔓 Open Source fleksibilitet
Styrk din sikkerhed med Open Source
PortGuard er open source og understøtter privat implementering, hvilket giver brugerne fuld kontrol over deres sikkerhedsinfrastruktur og muligheden for at tilpasse den til deres behov.

Mennesker ❤️ Fwknop

User Comment

John

Port Knocking Security
PortGuards portbankemekanisme har forbedret vores netværkssikkerhed markant. Ved dynamisk kun at åbne porte for autentificerede klienter har vi effektivt elimineret risikoen for portscanning og brute-force-angreb, hvilket gør det næsten umuligt for angribere at opdage vores tjenester ved hjælp af værktøjer som portscannere.
User Comment

Michael

Nmap beskyttelse
Opsætningen af ​​PortGuard var overraskende ligetil. Dokumentationen er overskuelig, og konfigurationsfilerne er velorganiserede. Jeg var i stand til at integrere det i vores eksisterende infrastruktur uden større problemer. Det fungerer problemfrit med vores firewall (iptables), og indlæringskurven var minimal. Nu er vi beskyttet mod Nmap-scanninger og andre portscanningsværktøjer.
User Comment

James

Forebyggelse af portscanning
En af de bedste funktioner ved PortGuard er, hvordan den forhindrer portscanning. Ved at lukke alle porte og kun åbne dem midlertidigt, efter at en gyldig SPA-pakke er modtaget, eliminerer det risikoen for portscanning og brute-force-angreb. Det er en game-changer til at sikre SSH og andre kritiske tjenester fra portscannere og andre portscanningsværktøjer.
User Comment

David

Sikker fjernadgang
PortGuard har gjort fjernadgang til vores servere meget mere sikker. I stedet for at udsætte SSH for internettet, bruger vi nu SPA til kun at give adgang, når det er nødvendigt. Det er perfekt til vores eksterne teammedlemmer, der har brug for at oprette forbindelse sikkert fra forskellige steder uden at bekymre dig om Nmap-scanninger eller andre portscanningstrusler.
User Comment

Olivia

Sikkerhed, der kan tilpasses
PortGuards fleksibilitet er imponerende. Vi kan konfigurere den til at fungere med flere tjenester, ikke kun SSH. Evnen til at definere brugerdefinerede regler og timeouts for portåbninger gør den tilpasselig til vores specifikke brugssituationer. Det er en meget tilpasselig løsning, der hjælper os med at være på forkant med portscanningstrusler som Nmap.
User Comment

William

Pålidelig sikkerhed
PortGuard har været en game-changer for vores netværkssikkerhed. Med sin integration af WireGuard VPN og OpenVPN har vi været i stand til at skabe et privat netværk, der sikrer, at vores data forbliver sikre og beskyttet mod nysgerrige øjne. Pålideligheden af ​​denne opsætning giver os fuldstændig ro i sindet, velvidende at vores data er sikret mod uautoriseret adgang.
Download nu

Telegram

PortGuard-vejledning

Copyright 2025 PortGuard. All rights reserved.