Autorizzazione del singolo pacchetto

PortGuard

PortGuard offre una solida tecnologia di autorizzazione dei singoli pacchetti per proteggere la tua rete dagli accessi non autorizzati, comprese le minacce di scansione delle porte.

Scarica ora, GUI multipiattaforma

Scarica per Windows

fwknopc_2_6_11_x64-setup.exe

Scarica per macOS

fwknopc_2_6_11_x64.pkg

Scarica per Android

fwknopc_2_6_11_x64.apk

Server Fwknop per CentOS7

Nome del file	Ultima modifica	MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm	2025-07-29	`1a375f89c2aa16935ddce164ad16adad`
libfko-3.0.0-1.x86_64.rpm	2025-07-29	`7f720f1f444f1634bab7cadbbfec40b2`

Nota: installazione rapida in CentOS 7

1. Perché ho sviluppato PortGuard?

Ho scoperto per la prima volta il concetto di Single Packet Authorization (SPA) durante una conversazione informale con i colleghi di lavoro. Prima di allora, non avevo alcuna conoscenza del port knocking o di SPA. La nostra azienda aveva bisogno di una soluzione di port knocking e, dopo aver ricercato e consultato materiale pertinente, ho scoperto fwknop. Il concetto di fwknop era davvero impressionante: per servizi che devono essere accessibili solo a pochi eletti, fwknop è una soluzione eccellente. Abbiamo pensato di sviluppare un nostro strumento, ma fwknop era molto più maturo. Tuttavia, fwknop ha i suoi svantaggi: è complesso, con una curva di apprendimento ripida per l'installazione e l'utilizzo e non ha un'applicazione client dedicata. Questo ha portato alla creazione di PortGuard. L'obiettivo di PortGuard è supportare i protocolli di port knocking più diffusi come fwknop e, in futuro, tnok, fornendo al contempo un client multipiattaforma. Progettato come estensione di fwknop e tnok, PortGuard mira a rendere la tecnologia SPA più intuitiva e accessibile.

2. Piattaforme supportate dal client PortGuard

Attualmente, PortGuard supporta le seguenti piattaforme:

iOS
Android
Windows
macOS

3. Casi d'uso di PortGuard

La funzionalità principale di PortGuard è quella di migliorare la sicurezza della rete nascondendo le porte di servizio (chiuse per impostazione predefinita) ed è adatta ai seguenti scenari:

3.1 Proteggere i servizi di accesso remoto (ad esempio SSH)

Scenario:Gli amministratori devono poter accedere in modo sicuro ai servizi SSH da diverse posizioni (ad esempio, casa, bar, rete mobile) senza esporre la porta SSH alla rete pubblica.

Implementazione: Utilizzando fwknop o tnok, il client invia pacchetti di dati SPA o pacchetti knock TOTP e il server verifica e apre temporaneamente la porta SSH (predefinita 22) dopo la verifica.

Vantaggi: Impedisce a Nmap e ad altri strumenti di scansione delle porte di rilevare i servizi, riducendo il rischio di sfruttamento delle vulnerabilità zero-day.

Esempio: I membri del team remoto utilizzano il client fwknop per inviare pacchetti di dati SPA su dispositivi Windows o Android e accedere in modo sicuro ai server interni dell'azienda.

3.2 Protezione del servizio negli ambienti cloud

Scenario:L'accesso ai servizi interni (ad esempio database, server Web) in AWS, Azure e altre piattaforme cloud deve avvenire tramite la rete pubblica, ma è necessario evitare che le porte siano esposte direttamente.

Implementazione: PortGuard si integra con NAT per consentire ai client esterni di accedere ai servizi interni nello spazio di indirizzamento RFC 1918 tramite SPA.

Vantaggi: Supporta topologie di rete complesse, adatte ad ambienti cloud ibridi e multi-tenant.

Esempio: Esegui fwknopd sulle istanze AWS EC2, apri dinamicamente la porta MySQL (3306) per consentire l'accesso agli utenti autorizzati.

3.3 Difendersi dalla scansione delle porte e dagli attacchi di forza bruta

Scenario:I server sono soggetti a scansione delle porte (ad esempio, Nmap) o attacchi di forza bruta e devono nascondere le porte di servizio per ridurre la superficie di attacco.

Implementazione: PortGuard mantiene la politica predefinita di eliminazione del firewall, aprendo le porte solo dopo aver ricevuto pacchetti di dati SPA validi.

Vantaggi: Anche se sono presenti vulnerabilità non corrette, gli aggressori non riescono a scoprire le porte di servizio.

Esempio: Impedisce gli attacchi brute force SSH: fwknop apre le porte solo dopo aver verificato HMAC.

3.4 Supporto per la protezione di più servizi

Scenario:Le aziende hanno bisogno di proteggere più servizi (ad esempio SSH, RDP, VPN, database), ma non vogliono che tutte le porte siano sempre aperte.

Implementazione: fwknop supporta la definizione di più servizi e porte in access.conf e il client può specificare il protocollo e la porta di destinazione.

Vantaggi: Configurazione flessibile delle regole, supporto di strategie personalizzate di timeout e apertura delle porte.

Esempio: Configurare fwknop per proteggere sia SSH (tcp/22) sia OpenVPN (udp/1194).

3.5 Sicurezza dei dispositivi IoT o integrati

Scenario:I dispositivi IoT o i sistemi integrati necessitano di gestione remota, ma le risorse dei dispositivi sono limitate e vulnerabili agli attacchi.

Implementazione: Esegui fwknopd o tnokd leggeri su dispositivi con risorse limitate, controlla l'accesso tramite SPA o TOTP.

Vantaggi: Basso consumo di risorse, adatto a dispositivi di piccole dimensioni.

Esempio: Proteggere il servizio Web in esecuzione su Raspberry Pi.

3.6 Integrazione di dispositivi di terze parti

Scenario:È necessario integrare dispositivi che non supportano fwknop nativo (ad esempio, router Cisco) e controllare le regole del firewall.

Implementazione: La funzionalità di comando ciclo di apertura/chiusura (comando ciclo di apertura/chiusura) di fwknop consente di eseguire script personalizzati per modificare dinamicamente l'ACL di dispositivi di terze parti.

Vantaggi: Estensibile, supporta dispositivi firewall non standard.

Esempio: Eseguire fwknopd sui server Linux, aggiornare l'ACL dei router Cisco tramite SSH.

3.7 Dettagli tecnici

fwknop supporta la definizione del timeout (CMD_CYCLE_TIMER), la porta aperta viene chiusa automaticamente, riducendo il tempo di esposizione.
Può essere combinato con una VPN (ad esempio, WireGuard, OpenVPN) per creare una rete privata sicura.
Supporta l'analisi dell'intestazione X-Forwarded-For, adatta per SPA in ambiente HTTP.

4. Quanto è sicuro PortGuard?

La sicurezza di PortGuard si basa principalmente sul meccanismo di autorizzazione a pacchetto singolo (SPA) di fwknop, combinato con crittografia, autenticazione e integrazione con il firewall, fornendo una protezione multilivello. Di seguito un'analisi dettagliata della sicurezza:

4.1 Crittografia e autenticazione

Crittografia: fwknop supporta la crittografia simmetrica Rijndael (AES) o la crittografia asimmetrica GnuPG e il contenuto del pacchetto dati SPA non può essere analizzato direttamente.

Autenticazione: Utilizzare HMAC-SHA256 (predefinito) o versioni successive per l'autenticazione dei pacchetti dati, garantendo l'integrità dei dati e l'affidabilità della fonte.

Sicurezza: Previene gli attacchi man-in-the-middle (MITM) e replay, HMAC applicato dopo la crittografia, resistendo agli attacchi oracle con padding in modalità CBC (ad esempio, attacchi Vaudenay).

Limitazioni: La crittografia simmetrica richiede chiavi condivise tra client e server, una gestione impropria delle chiavi può portare a perdite; la modalità GnuPG richiede la manutenzione dei portachiavi,

4.2 Prevenire la scansione delle porte

Meccanismo: PortGuard utilizza la politica predefinita del firewall drop e la porta di servizio è invisibile quando non è autorizzata, quindi Nmap e altri strumenti non possono rilevarla.

Sicurezza: Riduce significativamente la superficie di attacco: anche in presenza di vulnerabilità zero-day, gli aggressori non riescono a individuare la porta del servizio.

Limitazioni: Se il pacchetto di dati knock viene intercettato (il port knocking tradizionale è più soggetto a questo problema), gli aggressori potrebbero tentare una replica (SPA ha risolto questo problema tramite HMAC).

4.3 Resisti alla forza bruta

Meccanismo: I pacchetti di dati SPA devono essere crittografati correttamente e autenticati tramite HMAC; la forza bruta è quasi impossibile (i pacchetti di dati con HMAC non riuscito vengono scartati direttamente).

Sicurezza: Rispetto al tradizionale port knocking, il design a pacchetto singolo e il meccanismo di crittografia di SPA migliorano significativamente la capacità di resistere alla forza bruta.

Limitazioni: Errori di configurazione (ad esempio chiavi deboli o HMAC disabilitato) possono ridurre la sicurezza.

✨ Caratteristiche

🔓 Funzionalità di sicurezza robuste

Tecnologia di crittografia all'avanguardia

PortGuard utilizza una tecnologia di crittografia avanzata per garantire la sicurezza dei dati, offrendo una solida protezione contro gli accessi non autorizzati e assicurando la riservatezza dei dati.

📈 Affidabilità del sistema

Stabilità senza pari

Rigorosamente testato, PortGuard funziona stabilmente in vari ambienti, garantendo elevata disponibilità e affidabilità per le applicazioni critiche.

💻 Compatibilità multipiattaforma

Supporto multipiattaforma senza interruzioni

Supporta Windows, macOS, Linux e altri sistemi operativi, consentendo un'integrazione perfetta in diversi ambienti IT e soddisfacendo le esigenze di un'ampia gamma di utenti.

🔓 Flessibilità Open Source

Potenzia la tua sicurezza con l'open source

PortGuard è open source e supporta la distribuzione privata, offrendo agli utenti il pieno controllo sulla propria infrastruttura di sicurezza e la possibilità di personalizzarla in base alle proprie esigenze.

Persone ❤️ Fwknop

John

Sicurezza del porto bussando

Il meccanismo di port knocking di PortGuard ha migliorato significativamente la sicurezza della nostra rete. Aprendo dinamicamente le porte solo ai client autenticati, abbiamo eliminato efficacemente il rischio di scansione delle porte e attacchi brute-force, rendendo quasi impossibile per gli aggressori rilevare i nostri servizi utilizzando strumenti come i port scanner.

Michael

Protezione Nmap

Configurare PortGuard è stato sorprendentemente semplice. La documentazione è chiara e i file di configurazione sono ben organizzati. Sono riuscito a integrarlo nella nostra infrastruttura esistente senza particolari problemi. Funziona perfettamente con il nostro firewall (iptables) e la curva di apprendimento è stata minima. Ora siamo protetti dalle scansioni di Nmap e da altri strumenti di scansione delle porte.

James

Prevenzione della scansione delle porte

Una delle migliori caratteristiche di PortGuard è la sua capacità di impedire la scansione delle porte. Chiudendo tutte le porte e riaprendole solo temporaneamente dopo la ricezione di un pacchetto SPA valido, elimina il rischio di scansione delle porte e attacchi brute-force. Rappresenta una svolta nella protezione di SSH e di altri servizi critici da scanner di porte e altri strumenti di scansione delle porte.

David

Accesso remoto sicuro

PortGuard ha reso l'accesso remoto ai nostri server molto più sicuro. Invece di esporre SSH a Internet, ora utilizziamo SPA per concedere l'accesso solo quando necessario. È perfetto per i membri del nostro team che lavorano da remoto e che devono connettersi in modo sicuro da diverse postazioni, senza doversi preoccupare delle scansioni Nmap o di altre minacce di scansione delle porte.

Olivia

Sicurezza personalizzabile

La flessibilità di PortGuard è impressionante. Possiamo configurarlo per funzionare con più servizi, non solo con SSH. La possibilità di definire regole e timeout personalizzati per l'apertura delle porte lo rende adattabile ai nostri casi d'uso specifici. È una soluzione altamente personalizzabile che ci aiuta a rimanere al passo con minacce di scansione delle porte come Nmap.

William

Sicurezza affidabile

PortGuard ha rivoluzionato la sicurezza della nostra rete. Grazie all'integrazione di WireGuard VPN e OpenVPN, siamo riusciti a creare una rete privata che garantisce la sicurezza dei nostri dati e la protezione da occhi indiscreti. L'affidabilità di questa configurazione ci offre la massima tranquillità, sapendo che i nostri dati sono al sicuro da accessi non autorizzati.

Scarica ora

Leader nell'autorizzazione a pacchetto singolo

Autorizzazione del singolo pacchetto PortGuard