אישור חבילה בודדת
PortGuard

PortGuard מציעה טכנולוגיית הרשאת מנות יחידה חזקה כדי להגן על הרשת שלך מפני גישה לא מורשית, כולל איומי סריקת יציאות.

הורד עכשיו, GUI רב פלטפורמות

הורד עבור Windows

fwknopc_2_6_11_x64-setup.exe

הורד עבור Macos

fwknopc_2_6_11_x64.pkg

הורד עבור אנדרואיד

fwknopc_2_6_11_x64.apk

שרת Fwknop עבור CentOS7

שם הקובץ שונה לאחרונה MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
הערה: התקנה מהירה ב-CentOS 7

1. למה פיתחתי את PortGuard?

למדתי לראשונה על הקונספט של אישור חבילות יחידות (SPA) במהלך שיחה אגבית עם עמיתים בעבודה. לפני כן, לא היה לי ידע ב-Port-knocking או SPA. במקרה החברה שלנו הייתה זקוקה לפתרון Port-knocking, ולאחר מחקר וחקרתי חומרים רלוונטיים, גיליתי את fwknop. הקונספט של fwknop היה מרשים באמת - עבור שירותים שצריכים להיות נגישים רק למעטים נבחרים, fwknop הוא פתרון מצוין. שקלנו לפתח כלי משלנו, אבל fwknop היה הרבה יותר בוגר. עם זאת, ל-fwknop יש חסרונות: הוא מורכב, עם עקומת למידה תלולה להתקנה ולשימוש, והוא חסר יישום לקוח ייעודי. זה הוביל ליצירת PortGuard. מטרת PortGuard היא לתמוך בפרוטוקולי Port-knocking מרכזיים כמו fwknop, ובעתיד, tnok, תוך מתן לקוח חוצה פלטפורמות. PortGuard, שנבנה כהרחבה של fwknop ו-tnok, שואף להפוך את טכנולוגיית SPA לידידותית ונגישה יותר למשתמש.

2. פלטפורמות נתמכות על ידי לקוח PortGuard

נכון לעכשיו, PortGuard תומך בפלטפורמות הבאות:

  • iOS
  • Android
  • Windows
  • macOS

3. מקרי שימוש ב-PortGuard

הפונקציונליות העיקרית של PortGuard היא שיפור אבטחת הרשת על ידי הסתרת פורטים של שירות (ברירת מחדל סגורה), והיא מתאימה לתרחישים הבאים:

3.1 הגנה על שירותי גישה מרחוק (למשל SSH)

תרחיש:מנהלי מערכת צריכים גישה מאובטחת לשירותי SSH ממיקומים שונים (למשל, בית, בית קפה, רשת סלולרית) מבלי לחשוף את יציאת ה-SSH לרשת הציבורית.

יישום: השתמשו ב-fwknop או ב-tnok, הלקוח שולח חבילות נתונים של SPA או חבילות knock של TOTP, והשרת מאמת ופותח באופן זמני את פורט ה-SSH (ברירת מחדל 22) לאחר האימות.

יתרונות: מנע מ-Nmap ומכלי סריקת פורטים אחרים לגלות שירותים, ובכך מפחית את הסיכון לניצול פגיעויות של יום אפס.

דוּגמָה: חברי צוות מרוחקים משתמשים בלקוח fwknop כדי לשלוח חבילות נתונים של SPA במכשירי Windows או Android, ולגשת בצורה מאובטחת לשרתים פנימיים של החברה.

3.2 הגנת שירות בסביבות ענן

תרחיש:יש לגשת לשירותים פנימיים (למשל, מסדי נתונים, שרתי אינטרנט) ב-AWS, Azure ופלטפורמות ענן אחרות דרך הרשת הציבורית, אך יש להימנע מחשיפה ישירה של הפורטים.

יישום: PortGuard משתלב עם NAT כדי לאפשר ללקוחות חיצוניים גישה לשירותים פנימיים במרחב הכתובות של RFC 1918 דרך SPA.

יתרונות: תומך בטופולוגיות רשת מורכבות, מתאים לענן היברידי ולסביבות מרובות דיירים.

דוּגמָה: הפעל את fwknopd על מופעי AWS EC2, פתח באופן דינמי את פורט MySQL (3306) עבור משתמשים מורשים.

3.3 התגוננות מפני סריקת פורטים וכוח ברוט

תרחיש:שרתים מתמודדים עם סריקת פורטים (למשל, Nmap) או התקפות Brute Force, וצריכים להסתיר פורטי שירות כדי להפחית את משטח ההתקפה.

יישום: PortGuard שומר על מדיניות ברירת המחדל של חומת אש לשחרור פורטים, ופותח פורטים רק לאחר קבלת חבילות נתונים תקפות של SPA.

יתרונות: אפילו אם ישנן פגיעויות שלא תוקנו, תוקפים אינם יכולים לגלות פורטי שירות.

דוּגמָה: מנע כוח ברוט של SSH, fwknop פותח פורטים רק לאחר אימות HMAC.

3.4 תמיכה בהגנה מרובה שירותים

תרחיש:ארגונים צריכים להגן על שירותים מרובים (למשל, SSH, RDP, VPN, מסד נתונים) אך אינם רוצים שכל הפורטים יהיו פתוחים כל הזמן.

יישום: fwknop תומך בהגדרת שירותים ופורטים מרובים ב- access.conf, והלקוח יכול לציין את פרוטוקול היעד והפורט.

יתרונות: תצורת כללים גמישה, תמיכה באסטרטגיות התאמה אישית של פסק זמן ופתיחת פורטים.

דוּגמָה: הגדר את fwknop כדי להגן גם על SSH (tcp/22) וגם על OpenVPN (udp/1194).

3.5 אבטחת מכשירי IoT משובצים

תרחיש:התקני IoT או מערכות משובצות זקוקים לניהול מרחוק, אך משאבי המכשיר מוגבלים ופגיעים להתקפות.

יישום: הפעלת fwknopd או tnokd קלים על מכשירים מוגבלי משאבים, שלוט בגישה דרך SPA או TOTP.

יתרונות: צריכת משאבים נמוכה, מתאים למכשירים קטנים.

דוּגמָה: הגן על שירות האינטרנט הפועל על Raspberry Pi.

3.6 שילוב מכשירים של צד שלישי

תרחיש:צריך לשלב עם מכשירים שאינם תומכים ב-fwknop מקורי (למשל, נתבים של סיסקו), לשלוט בכללי חומת האש.

יישום: תכונת מחזור הפתיחה/סגירה של הפקודה (command open/close cycle) של fwknop מאפשרת ביצוע סקריפטים מותאמים אישית כדי לשנות באופן דינמי את ה-ACL של התקני צד שלישי.

יתרונות: ניתן להרחבה, תמיכה בהתקני חומת אש שאינם סטנדרטיים.

דוּגמָה: הפעל את fwknopd על שרתי לינוקס, עדכן את ה-ACL של נתבי סיסקו דרך SSH.

3.7 פרטים טכניים

  • fwknop תומך בהגדרת פסק זמן (CMD_CYCLE_TIMER), פתיחת פורט ונסגרת אוטומטית, מה שמפחית את זמן החשיפה.
  • ניתן לשלב עם VPN (למשל, WireGuard, OpenVPN) כדי לבנות רשת פרטית מאובטחת.
  • תומך בניתוח כותרות X-Forwarded-For, מתאים ל-SPA בסביבת HTTP.

4. עד כמה מאובטח PortGuard?

האבטחה של PortGuard תלויה בעיקר במנגנון הרשאה יחידה (SPA) של fwknop, בשילוב עם הצפנה, אימות ושילוב חומת אש, המספקים הגנה רב-שכבתית. להלן ניתוח מפורט של האבטחה:

4.1 הצפנה ואימות

הצפנה: fwknop תומך בהצפנה סימטרית של Rijndael (AES) או בהצפנה אסימטרית של GnuPG, ולא ניתן לנתח ישירות את תוכן חבילת הנתונים של SPA.

אימות: השתמש ב-HMAC-SHA256 (ברירת מחדל) או בגרסאות מתקדמות יותר לאימות חבילות נתונים, תוך הבטחת שלמות הנתונים ואמון המקור.

בִּטָחוֹן: מניעת התקפות MITM (Man-in-the-Middle) והפעלת קבצים חוזרים, יישום HMAC לאחר הצפנה, עמידות בפני התקפות אורקל בריפוד במצב CBC (למשל, התקפות Vaudenay).

מגבלות: הצפנה סימטרית דורשת מפתחות משותפים של הלקוח והשרת, ניהול מפתחות לא תקין עלול להוביל לדליפה; מצב GnuPG דורש תחזוקת טבעות מפתחות,

4.2 מניעת סריקת פורטים

מַנגָנוֹן: PortGuard משתמש במדיניות ברירת המחדל של חומת האש לשחרור, ופורט השירות אינו נראה כאשר אינו מורשה, כך ש-Nmap וכלים אחרים אינם יכולים לזהות אותו.

בִּטָחוֹן: מפחית משמעותית את משטח ההתקפה, גם אם ישנן פגיעויות יום אפס, תוקפים אינם יכולים לאתר את יציאת השירות.

מגבלות: אם חבילת נתוני ה-knock נגנבת (port knocking מסורתית פגיעה יותר לכך), תוקפים עשויים לנסות להפעיל מחדש (SPA פתר בעיה זו באמצעות HMAC).

4.3 התנגדות לכוח ברוטלי

מַנגָנוֹן: חבילות נתונים של SPA צריכות להיות מוצפנות כהלכה ולאמת את HMAC, שימוש בכוח ברוטלי כמעט בלתי אפשרי (חבילות נתונים עם HMAC כושל נמחקות ישירות).

בִּטָחוֹן: בהשוואה ל-port knocking מסורתי, עיצוב ה-single-packet ומנגנון ההצפנה של SPA משפרים משמעותית את היכולת להתנגד לכוח ברוט.

מגבלות: שגיאות תצורה (למשל, מפתחות חלשים או HMAC מושבת) עלולות לפגוע באבטחה.

✨ תכונות

תכונות אבטחה חזקות
🔓 תכונות אבטחה חזקות
טכנולוגיית הצפנה חדישה
PortGuard משתמש בטכנולוגיית הצפנה מתקדמת כדי להבטיח אבטחת נתונים, מתן הגנה חזקה מפני גישה בלתי מורשית והבטחת סודיות הנתונים שלך.
אמינות מערכת
📈 אמינות מערכת
יציבות ללא תחרות
PortGuard, שנבדק בקפדנות, פועל ביציבות בסביבות שונות, ומבטיח זמינות גבוהה ואמינות עבור יישומים קריטיים.
תאימות בין פלטפורמות
💻 תאימות בין פלטפורמות
תמיכה מרובת פלטפורמות חלקה
תומך ב-Windows, macOS, Linux ועוד, מה שמאפשר שילוב חלק בסביבות IT מגוונות ומתן שירות למגוון רחב של משתמשים.
גמישות בקוד פתוח
🔓 גמישות בקוד פתוח
העצים את האבטחה שלך עם קוד פתוח
PortGuard הוא קוד פתוח ותומך בפריסה פרטית, המעניק למשתמשים שליטה מלאה על תשתית האבטחה שלהם ויכולת להתאים אותה לצרכיהם.

אנשים ❤️ Fwknop

User Comment

John

Port Knocking Security
מנגנון דפיקת היציאות של PortGuard שיפר משמעותית את אבטחת הרשת שלנו. על ידי פתיחה דינמית של יציאות רק עבור לקוחות מאומתים, חיסלנו למעשה את הסיכון של סריקת יציאות והתקפות בכוח גס, מה שהופך את זה לכמעט בלתי אפשרי עבור תוקפים לזהות את השירותים שלנו באמצעות כלים כמו סורקי יציאות.
User Comment

Michael

הגנת Nmap
הגדרת PortGuard הייתה פשוטה באופן מפתיע. התיעוד ברור, וקבצי התצורה מאורגנים היטב. הצלחתי לשלב אותו בתשתית הקיימת שלנו ללא בעיות גדולות. זה עובד בצורה חלקה עם חומת האש שלנו (iptables), ועקומת הלמידה הייתה מינימלית. כעת, אנו מוגנים מפני סריקות Nmap וכלי סריקת יציאות אחרים.
User Comment

James

מניעת סריקת יציאות
אחת התכונות הטובות ביותר של PortGuard היא האופן שבו הוא מונע סריקת יציאות. על ידי סגירת כל היציאות ופתיחתן באופן זמני בלבד לאחר קבלת חבילת SPA חוקית, זה מבטל את הסיכון של סריקת יציאות והתקפות בכוח גס. זהו מחליף משחק לאבטחת SSH ושירותים קריטיים אחרים מסורקי יציאות וכלים אחרים לסריקת יציאות.
User Comment

David

גישה מרחוק מאובטחת
PortGuard הפכה את הגישה מרחוק לשרתים שלנו לבטוחה הרבה יותר. במקום לחשוף את SSH לאינטרנט, אנו משתמשים כעת ב-SPA כדי להעניק גישה רק בעת הצורך. זה מושלם עבור חברי הצוות המרוחק שלנו שצריכים להתחבר בצורה מאובטחת ממיקומים שונים, מבלי לדאוג מסריקות Nmap או איומים אחרים של סריקת יציאות.
User Comment

Olivia

אבטחה הניתנת להתאמה אישית
הגמישות של PortGuard מרשימה. אנחנו יכולים להגדיר את זה לעבוד עם שירותים מרובים, לא רק עם SSH. היכולת להגדיר כללים מותאמים אישית ופסקי זמן לפתחי יציאות הופכת אותו להתאמה למקרי השימוש הספציפיים שלנו. זהו פתרון הניתן להתאמה אישית מאוד שעוזר לנו להישאר לפני איומי סריקת יציאות כמו Nmap.
User Comment

William

אבטחה אמינה
PortGuard היה מחליף משחק עבור אבטחת הרשת שלנו. עם השילוב של WireGuard VPN ו-OpenVPN, הצלחנו ליצור רשת פרטית שמבטיחה שהנתונים שלנו יישארו מאובטחים ומוגנים מעיניים סקרניות. האמינות של הגדרה זו מעניקה לנו שקט נפשי מוחלט, בידיעה שהנתונים שלנו בטוחים מגישה לא מורשית.
הורד עכשיו

Telegram

מדריך פורטגארד

Copyright 2025 PortGuard. All rights reserved.