مجوزدهی تک‌بسته‌ای

PortGuard

PortGuard فناوری مجوز تک بسته قوی را برای محافظت از شبکه شما در برابر دسترسی های غیرمجاز، از جمله تهدیدات اسکن پورت، ارائه می دهد.

اکنون دانلود کنید، رابط کاربری گرافیکی چند پلتفرمی

دانلود برای ویندوز

fwknopc_2_6_11_x64-setup.exe

دانلود برای Macos

fwknopc_2_6_11_x64.pkg

دانلود برای اندروید

fwknopc_2_6_11_x64.apk

سرور Fwknop برای CentOS7

نام فایل	آخرین اصلاح	ام دی۵
fwknop-server-2.6.11-1.el7.x86_64.rpm	2025-07-29	`1a375f89c2aa16935ddce164ad16adad`
libfko-3.0.0-1.x86_64.rpm	2025-07-29	`7f720f1f444f1634bab7cadbbfec40b2`

توجه: نصب سریع در CentOS 7

۱. چرا PortGuard را توسعه دادم؟

من برای اولین بار در یک مکالمه‌ی غیررسمی با همکارانم در محل کار، با مفهوم مجوز تک بسته‌ای (SPA) آشنا شدم. قبل از آن، هیچ اطلاعی از پورت ناکینگ یا SPA نداشتم. اتفاقاً شرکت ما به یک راه‌حل پورت ناکینگ نیاز داشت و پس از تحقیق و بررسی مطالب مرتبط، fwknop را کشف کردم. مفهوم fwknop واقعاً چشمگیر بود - برای خدماتی که باید فقط برای تعداد کمی از افراد خاص قابل دسترسی باشند، fwknop یک راه‌حل عالی است. ما به توسعه ابزار خودمان فکر کردیم، اما fwknop بسیار بالغ‌تر بود. با این حال، fwknop معایبی هم دارد: پیچیده است، منحنی یادگیری نصب و استفاده از آن بسیار طولانی است و فاقد یک برنامه کلاینت اختصاصی است. این امر منجر به ایجاد PortGuard شد. هدف PortGuard پشتیبانی از پروتکل‌های پورت ناکینگ رایج مانند fwknop و در آینده tnok است، در حالی که یک کلاینت چند پلتفرمی ارائه می‌دهد. PortGuard که به عنوان افزونه‌ای از fwknop و tnok ساخته شده است، قصد دارد فناوری SPA را کاربرپسندتر و در دسترس‌تر کند.

۲. پلتفرم‌های پشتیبانی‌شده توسط کلاینت PortGuard

در حال حاضر، PortGuard از پلتفرم‌های زیر پشتیبانی می‌کند:

iOS
Android
Windows
macOS

۳. موارد استفاده PortGuard

عملکرد اصلی PortGuard افزایش امنیت شبکه با پنهان کردن پورت‌های سرویس (که به طور پیش‌فرض بسته هستند) است و برای سناریوهای زیر مناسب است:

۳.۱ محافظت از سرویس‌های دسترسی از راه دور (مثلاً SSH)

سناریو:مدیران شبکه باید بتوانند از مکان‌های مختلف (مثلاً خانه، کافی‌شاپ، شبکه تلفن همراه) به طور ایمن به سرویس‌های SSH دسترسی داشته باشند، بدون اینکه پورت SSH در معرض دید عموم قرار گیرد.

پیاده‌سازی: از fwknop یا tnok استفاده کنید، کلاینت بسته‌های داده SPA یا بسته‌های TOTP knock را ارسال می‌کند و سرور پورت SSH (پیش‌فرض ۲۲) را تأیید و پس از تأیید، موقتاً باز می‌کند.

مزایا: از کشف سرویس‌ها توسط Nmap و سایر ابزارهای اسکن پورت جلوگیری کنید و خطر سوءاستفاده از آسیب‌پذیری‌های روز صفر را کاهش دهید.

مثال: اعضای تیم از راه دور از کلاینت fwknop برای ارسال بسته‌های داده SPA در دستگاه‌های ویندوز یا اندروید و دسترسی ایمن به سرورهای داخلی شرکت استفاده می‌کنند.

۳.۲ حفاظت از سرویس در محیط‌های ابری

سناریو:سرویس‌های داخلی (مانند پایگاه‌های داده، سرورهای وب) در AWS، Azure و سایر پلتفرم‌های ابری باید از طریق شبکه عمومی قابل دسترسی باشند، اما باید از قرار گرفتن مستقیم پورت‌ها در معرض دید جلوگیری شود.

پیاده‌سازی: PortGuard با NAT ادغام می‌شود تا به کلاینت‌های خارجی اجازه دهد از طریق SPA به سرویس‌های داخلی در فضای آدرس RFC 1918 دسترسی داشته باشند.

مزایا: از توپولوژی‌های پیچیده شبکه پشتیبانی می‌کند، مناسب برای محیط‌های ابری ترکیبی و چند مستاجری.

مثال: اجرای fwknopd روی نمونه‌های AWS EC2، به صورت پویا پورت MySQL (3306) را برای دسترسی کاربران مجاز باز می‌کند.

۳.۳ دفاع در برابر اسکن پورت و حملات جستجوی فراگیر

سناریو:سرورها با اسکن پورت (مثلاً Nmap) یا حملات جستجوی فراگیر روبرو هستند و برای کاهش سطح حمله، باید پورت‌های سرویس را پنهان کنند.

پیاده‌سازی: PortGuard سیاست پیش‌فرضِ رها کردن فایروال را حفظ می‌کند و تنها پس از دریافت بسته‌های داده معتبر SPA، پورت‌ها را باز می‌کند.

مزایا: حتی اگر آسیب‌پذیری‌های وصله نشده‌ای وجود داشته باشد، مهاجمان نمی‌توانند پورت‌های سرویس را کشف کنند.

مثال: از حمله‌ی brute force در SSH جلوگیری کنید، fwknop فقط پورت‌ها را پس از تأیید HMAC باز می‌کند.

۳.۴ پشتیبانی از حفاظت چند سرویسی

سناریو:شرکت‌ها باید از چندین سرویس (مانند SSH، RDP، VPN، پایگاه داده) محافظت کنند، اما نمی‌خواهند همه پورت‌ها همیشه باز باشند.

پیاده‌سازی: fwknop از تعریف چندین سرویس و پورت در access.conf پشتیبانی می‌کند و کلاینت می‌تواند پروتکل و پورت هدف را مشخص کند.

مزایا: پیکربندی انعطاف‌پذیر قوانین، پشتیبانی از استراتژی‌های زمانبندی سفارشی و باز کردن پورت.

مثال: پیکربندی fwknop برای محافظت از SSH (tcp/22) و OpenVPN (udp/1194).

۳.۵ امنیت دستگاه‌های تعبیه‌شده یا اینترنت اشیا

سناریو:دستگاه‌های اینترنت اشیا یا سیستم‌های تعبیه‌شده نیاز به مدیریت از راه دور دارند، اما منابع دستگاه محدود و در برابر حملات آسیب‌پذیر هستند.

پیاده‌سازی: اجرای fwknopd یا tnokd سبک روی دستگاه‌های با منابع محدود، کنترل دسترسی از طریق SPA یا TOTP.

مزایا: مصرف کم منابع، مناسب برای دستگاه‌های کوچک.

مثال: از سرویس وب در حال اجرا روی رزبری پای محافظت کنید.

۳.۶ ادغام دستگاه‌های شخص ثالث

سناریو:نیاز به ادغام با دستگاه‌هایی که از fwknop بومی پشتیبانی نمی‌کنند (مثلاً روترهای سیسکو)، کنترل قوانین فایروال.

پیاده‌سازی: ویژگی چرخه باز/بسته کردن فرمان (فرمان باز/بسته کردن چرخه) fwknop امکان اجرای اسکریپت‌های سفارشی را برای تغییر پویای ACL دستگاه‌های شخص ثالث فراهم می‌کند.

مزایا: قابل توسعه، پشتیبانی از دستگاه‌های فایروال غیر استاندارد.

مثال: اجرای fwknopd روی سرورهای لینوکس، به‌روزرسانی ACL روترهای سیسکو از طریق SSH.

۳.۷ جزئیات فنی

fwknop از تعریف زمان انقضا (CMD_CYCLE_TIMER) پشتیبانی می‌کند، پورت باز شده به طور خودکار بسته می‌شود و زمان نوردهی را کاهش می‌دهد.
می‌تواند با VPN (مثلاً WireGuard، OpenVPN) ترکیب شود تا یک شبکه خصوصی امن ایجاد شود.
از تجزیه هدر X-Forwarded-For پشتیبانی می‌کند، مناسب برای SPA در محیط HTTP.

۴. پورت‌گارد چقدر امن است؟

امنیت PortGuard در درجه اول به مکانیسم مجوز تک بسته‌ای (SPA) fwknop وابسته است، که با رمزگذاری، احراز هویت و ادغام فایروال ترکیب شده و محافظت چند لایه را فراهم می‌کند. در ادامه تجزیه و تحلیل دقیقی از امنیت ارائه شده است:

۴.۱ رمزگذاری و احراز هویت

رمزگذاری: fwknop از رمزگذاری متقارن Rijndael (AES) یا رمزگذاری نامتقارن GnuPG پشتیبانی می‌کند و محتوای بسته داده SPA را نمی‌توان مستقیماً تجزیه کرد.

احراز هویت: برای احراز هویت بسته‌های داده، از نسخه‌های HMAC-SHA256 (پیش‌فرض) یا بالاتر استفاده کنید تا از یکپارچگی داده‌ها و اعتماد به منبع اطمینان حاصل شود.

امنیت: جلوگیری از حملات مرد میانی (MITM) و بازپخش، اعمال HMAC پس از رمزگذاری، مقاومت در برابر حملات اوراکل لایه‌گذاری حالت CBC (مانند حملات Vaudenay).

محدودیت‌ها: رمزگذاری متقارن به کلیدهای مشترک کلاینت و سرور نیاز دارد، مدیریت نادرست کلید ممکن است منجر به نشت اطلاعات شود؛ حالت GnuPG نیاز به نگهداری حلقه‌های کلید دارد،

۴.۲ جلوگیری از اسکن پورت

مکانیسم: PortGuard از سیاست پیش‌فرضِ رها کردن فایروال استفاده می‌کند و پورت سرویس در صورت عدم احراز هویت، نامرئی است، بنابراین Nmap و سایر ابزارها نمی‌توانند آن را شناسایی کنند.

امنیت: سطح حمله را به میزان قابل توجهی کاهش می‌دهد، حتی اگر آسیب‌پذیری‌های روز صفر وجود داشته باشد، مهاجمان نمی‌توانند پورت سرویس را پیدا کنند.

محدودیت‌ها: اگر بسته داده knock شنود شود (روش سنتی port knocking بیشتر مستعد این امر است)، مهاجمان ممکن است اقدام به بازپخش (replay) کنند (SPA این مشکل را از طریق HMAC حل کرده است).

۴.۳ مقاومت در برابر حملات وحشیانه

مکانیسم: بسته‌های داده SPA باید به درستی رمزگذاری و HMAC احراز هویت شوند، حمله جستجوی فراگیر تقریباً غیرممکن است (بسته‌های داده با HMAC ناموفق مستقیماً دور انداخته می‌شوند).

امنیت: در مقایسه با پورت ناک سنتی، طراحی تک بسته‌ای و مکانیزم رمزگذاری SPA به طور قابل توجهی توانایی مقاومت در برابر حملات جستجوی فراگیر را بهبود می‌بخشد.

محدودیت‌ها: خطاهای پیکربندی (مثلاً کلیدهای ضعیف یا غیرفعال کردن HMAC) ممکن است امنیت را کاهش دهند.

✨ ویژگی ها

🔓 ویژگی های امنیتی قوی

پیشرفته ترین فناوری رمزگذاری

PortGuard از فناوری رمزگذاری پیشرفته برای اطمینان از امنیت داده ها، ارائه محافظت قوی در برابر دسترسی های غیرمجاز و اطمینان از محرمانه بودن داده های شما استفاده می کند.

📈 قابلیت اطمینان سیستم

ثبات بی نظیر

PortGuard که به شدت آزمایش شده است، به طور پایدار در محیط های مختلف اجرا می شود و از دسترسی و قابلیت اطمینان بالا برای برنامه های کاربردی مهم اطمینان می دهد.

💻 سازگاری بین پلتفرم ها

پشتیبانی بدون درز چند پلت فرم

از ویندوز، macOS، لینوکس و موارد دیگر پشتیبانی می‌کند و امکان ادغام بی‌وقفه در محیط‌های فناوری اطلاعات و ارائه خدمات به طیف وسیعی از کاربران را فراهم می‌کند.

🔓 انعطاف پذیری منبع باز

امنیت خود را با منبع باز تقویت کنید

PortGuard منبع باز است و از استقرار خصوصی پشتیبانی می کند و به کاربران امکان کنترل کامل بر زیرساخت امنیتی خود و توانایی سفارشی سازی آن بر اساس نیازهای خود را می دهد.

مردم ❤️ Fwknop

John

امنیت کوبیدن پورت

مکانیزم ضربه زدن پورت PortGuard به طور قابل توجهی امنیت شبکه ما را بهبود بخشیده است. با باز کردن پویا پورت‌ها فقط برای کلاینت‌های احراز هویت شده، خطر اسکن پورت و حملات brute-force را به طور موثری از بین برده‌ایم و شناسایی سرویس‌های ما را برای مهاجمان با استفاده از ابزارهایی مانند اسکنر پورت تقریباً غیرممکن می‌کند.

Michael

حفاظت Nmap

راه اندازی PortGuard به طرز شگفت آوری ساده بود. اسناد واضح هستند و فایل های پیکربندی به خوبی سازماندهی شده اند. من توانستم آن را بدون هیچ مشکل اساسی در زیرساخت های موجود خود ادغام کنم. این یکپارچه با فایروال ما (iptables) کار می کند، و منحنی یادگیری حداقل بود. اکنون، ما از اسکن Nmap و سایر ابزارهای اسکن پورت در امان هستیم.

James

پیشگیری از اسکن پورت

یکی از بهترین ویژگی های PortGuard این است که چگونه از اسکن پورت جلوگیری می کند. با بستن همه پورت ها و باز کردن موقت آنها پس از دریافت بسته SPA معتبر، خطر اسکن پورت و حملات brute-force را از بین می برد. این یک تغییر دهنده بازی برای ایمن سازی SSH و سایر خدمات مهم از اسکنرهای پورت و سایر ابزارهای اسکن پورت است.

David

دسترسی از راه دور ایمن

PortGuard دسترسی از راه دور به سرورهای ما را بسیار ایمن تر کرده است. به جای اینکه SSH را در معرض اینترنت قرار دهیم، اکنون از SPA برای اعطای دسترسی فقط در صورت نیاز استفاده می کنیم. این برای اعضای تیم راه دور ما که نیاز به اتصال ایمن از مکان‌های مختلف دارند، بدون نگرانی در مورد اسکن Nmap یا سایر تهدیدات اسکن پورت، عالی است.

Olivia

امنیت قابل تنظیم

انعطاف پذیری PortGuard چشمگیر است. ما می توانیم آن را طوری پیکربندی کنیم که با چندین سرویس کار کند، نه فقط SSH. توانایی تعریف قوانین سفارشی و بازه های زمانی برای باز کردن پورت، آن را با موارد استفاده خاص ما سازگار می کند. این یک راه حل بسیار قابل تنظیم است که به ما کمک می کند از تهدیدات اسکن پورت مانند Nmap جلوتر بمانیم.

William

امنیت قابل اعتماد

PortGuard یک تغییر دهنده بازی برای امنیت شبکه ما بوده است. با ادغام WireGuard VPN و OpenVPN، ما توانسته ایم یک شبکه خصوصی ایجاد کنیم که تضمین می کند داده های ما ایمن باقی می مانند و از چشمان کنجکاو محافظت می شوند. قابل اعتماد بودن این راه‌اندازی به ما آرامش کامل می‌دهد، زیرا بدانیم داده‌های ما از دسترسی غیرمجاز در امان هستند.

اکنون دانلود کنید

رهبر در مجوز تک بسته

مجوزدهی تک‌بسته‌ای PortGuard