単一パケット認証

PortGuard

PortGuard は、ポートスキャンの脅威などの不正アクセスからネットワークを保護するための強力な単一パケット認証テクノロジを提供します。

今すぐダウンロード、マルチプラットフォームGUI

Windows用ダウンロード

fwknopc_2_6_11_x64-setup.exe

MacOS用ダウンロード

fwknopc_2_6_11_x64.pkg

Android用にダウンロード

fwknopc_2_6_11_x64.apk

CentOS7 用 Fwknop サーバー

ファイル名	最終更新日	MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm	2025-07-29	`1a375f89c2aa16935ddce164ad16adad`
libfko-3.0.0-1.x86_64.rpm	2025-07-29	`7f720f1f444f1634bab7cadbbfec40b2`

注: CentOS 7 でのクイックインストール

1. PortGuard を開発した理由

SPA（Single Packet Authorization）の概念を初めて知ったのは、職場の同僚との何気ない会話の中でした。それまでは、ポートノッキングやSPAについては全く知りませんでした。たまたま会社でポートノッキングソリューションが必要になり、関連資料を調査・検討した結果、fwknopを発見しました。fwknopのコンセプトには本当に感銘を受けました。限られた人数だけがアクセスできるようにする必要があるサービスにとって、fwknopは優れたソリューションです。独自のツール開発も検討しましたが、fwknopの方がはるかに成熟していました。しかし、fwknopには欠点もありました。複雑で、インストールと使用方法を習得するのが難しく、専用のクライアントアプリケーションもありませんでした。これがPortGuardの開発につながりました。PortGuardの目標は、クロスプラットフォームクライアントを提供しながら、fwknopや将来的にはtnokなどの主流のポートノッキングプロトコルをサポートすることです。 PortGuard は fwknop と tnok の拡張機能として構築され、SPA テクノロジーをよりユーザーフレンドリーでアクセスしやすいものにすることを目的としています。

2. PortGuardクライアントがサポートするプラットフォーム

現在、PortGuard は次のプラットフォームをサポートしています。

iOS
Android
Windows
macOS

3. PortGuardのユースケース

PortGuard のコア機能は、サービスポートを非表示にする (デフォルトでは閉じている) ことでネットワークセキュリティを強化することであり、次のシナリオに適しています。

3.1 リモートアクセスサービス (SSH など) を保護する

シナリオ： 管理者は、SSH ポートをパブリックネットワークに公開することなく、さまざまな場所 (自宅、コーヒーショップ、モバイルネットワークなど) から SSH サービスに安全にアクセスする必要があります。

実装： fwknop または tnok を使用すると、クライアントは SPA データパケットまたは TOTP ノックパケットを送信し、サーバーは検証して、検証後に SSH ポート (デフォルトは 22) を一時的に開きます。

利点: Nmap やその他のポートスキャンツールによるサービスの検出を防ぎ、ゼロデイ脆弱性が悪用されるリスクを軽減します。

例：リモートチームメンバーは fwknop クライアントを使用して Windows または Android デバイスで SPA データパケットを送信し、会社の内部サーバーに安全にアクセスします。

3.2 クラウド環境におけるサービス保護

シナリオ： AWS、Azure、その他のクラウドプラットフォームの内部サービス (データベース、Web サーバーなど) にはパブリックネットワーク経由でアクセスする必要がありますが、ポートが直接公開されないようにする必要があります。

実装： PortGuard は NAT と統合され、外部クライアントが SPA を介して RFC 1918 アドレス空間内の内部サービスにアクセスできるようになります。

利点: ハイブリッドクラウドやマルチテナント環境に適した複雑なネットワークトポロジをサポートします。

例： AWS EC2 インスタンスで fwknopd を実行し、承認されたユーザーがアクセスできるように MySQL ポート (3306) を動的に開きます。

3.3 ポートスキャンとブルートフォース攻撃に対する防御

シナリオ： サーバーはポートスキャン (Nmap など) やブルートフォース攻撃を受ける可能性があるため、攻撃対象領域を減らすためにサービスポートを非表示にする必要があります。

実装： PortGuard はデフォルトのドロップファイアウォールポリシーを維持し、有効な SPA データパケットを受信した後にのみポートを開きます。

利点: パッチが適用されていない脆弱性があったとしても、攻撃者はサービスポートを発見できません。

例： SSH ブルートフォースを防止し、fwknop は HMAC を検証した後にのみポートを開きます。

3.4 複数のサービス保護をサポート

シナリオ： 企業は複数のサービス (SSH、RDP、VPN、データベースなど) を保護する必要がありますが、すべてのポートを常に開いたままにしておく必要はありません。

実装： fwknop は access.conf で複数のサービスとポートを定義することをサポートしており、クライアントはターゲットプロトコルとポートを指定できます。

利点: 柔軟なルール構成、カスタムタイムアウトおよびポートオープン戦略をサポートします。

例： SSH (tcp/22) と OpenVPN (udp/1194) の両方を保護するように fwknop を設定します。

3.5 組み込みデバイスまたはIoTデバイスのセキュリティ

シナリオ： IoT デバイスや組み込みシステムにはリモート管理が必要ですが、デバイスのリソースは限られており、攻撃に対して脆弱です。

実装： リソースが制限されたデバイスで軽量の fwknopd または tnokd を実行し、SPA または TOTP を介してアクセスを制御します。

利点: リソース消費量が少なく、小型デバイスに適しています。

例： Raspberry Pi 上で実行されている Web サービスを保護します。

3.6 サードパーティ製デバイスの統合

シナリオ： ネイティブ fwknop (Cisco ルータなど) をサポートしていないデバイスと統合し、ファイアウォールルールを制御する必要があります。

実装： fwknop のコマンドオープン/クローズサイクル (コマンドオープン/クローズサイクル) 機能を使用すると、カスタムスクリプトを実行してサードパーティデバイスの ACL を動的に変更できます。

利点: 拡張可能で、非標準のファイアウォールデバイスをサポートします。

例： Linux サーバーで fwknopd を実行し、SSH 経由で Cisco ルーターの ACL を更新します。

3.7 技術的な詳細

fwknop はタイムアウト (CMD_CYCLE_TIMER) の定義をサポートし、開いているポートが自動的に閉じられるため、露出時間が短縮されます。
VPN (WireGuard、OpenVPN など) と組み合わせて、安全なプライベートネットワークを構築できます。
HTTP 環境の SPA に適した X-Forwarded-For ヘッダー解析をサポートします。

4. PortGuard はどの程度安全ですか?

PortGuardのセキュリティは、主にfwknopのシングルパケット認証（SPA）メカニズムに依存しており、暗号化、認証、ファイアウォール統合を組み合わせることで、多層的な保護を実現します。以下は、セキュリティの詳細な分析です。

4.1 暗号化と認証

暗号化: fwknop は Rijndael (AES) 対称暗号化または GnuPG 非対称暗号化をサポートしており、SPA データパケットの内容を直接解析することはできません。

認証: データパケット認証には HMAC-SHA256 (デフォルト) 以上のバージョンを使用し、データの整合性とソースの信頼性を確保します。

安全： 中間者攻撃 (MITM) とリプレイ攻撃を防ぎ、暗号化後に HMAC を適用し、CBC モードパディングオラクル攻撃 (Vaudenay 攻撃など) に抵抗します。

制限事項: 対称暗号化ではクライアントとサーバーの共有鍵が必要であり、不適切な鍵管理は漏洩につながる可能性がある。GnuPGモードでは鍵リングの維持管理が必要である。

4.2 ポートスキャンを防止する

機構： PortGuard はデフォルトのドロップファイアウォールポリシーを使用し、承認されていない場合はサービスポートが表示されないため、Nmap などのツールでは検出できません。

安全： 攻撃対象領域が大幅に縮小され、ゼロデイ脆弱性があっても、攻撃者はサービスポートを見つけることができません。

制限事項: ノックデータパケットがスニッフィングされた場合 (従来のポートノッキングの方が影響を受けやすい)、攻撃者はリプレイを試みる可能性があります (SPA は HMAC を通じてこの問題を解決しました)。

4.3 ブルートフォース攻撃に抵抗する

機構： SPA データパケットは正しく暗号化され、HMAC 認証される必要があり、ブルートフォース攻撃はほぼ不可能です (HMAC に失敗したデータパケットは直接破棄されます)。

安全： 従来のポートノッキングと比較して、SPA の単一パケット設計と暗号化メカニズムにより、ブルートフォース攻撃に対する耐性が大幅に向上します。

制限事項: 構成エラー (弱いキーや無効な HMAC など) により、セキュリティが低下する可能性があります。

✨ 特徴

🔓 強力なセキュリティ機能

最先端の暗号化技術

PortGuard は高度な暗号化技術を使用してデータのセキュリティを確保し、不正アクセスに対する強力な保護を提供し、データの機密性を保証します。

📈 システムの信頼性

比類のない安定性

厳密にテストされた PortGuard はさまざまな環境で安定して実行され、重要なアプリケーションの高い可用性と信頼性を保証します。

💻 クロスプラットフォームの互換性

シームレスなマルチプラットフォームサポート

Windows、macOS、Linux などをサポートし、多様な IT 環境にシームレスに統合し、幅広いユーザーに対応します。

🔓 オープンソースの柔軟性

オープンソースでセキュリティを強化

PortGuard はオープンソースであり、プライベート展開をサポートしているため、ユーザーはセキュリティインフラストラクチャを完全に制御し、ニーズに合わせてカスタマイズできます。

みんな❤️Fwknop

John

ポートノッキングセキュリティ

PortGuardのポートノッキングメカニズムにより、ネットワークセキュリティが大幅に向上しました。認証されたクライアントに対してのみポートを動的に開くことで、ポートスキャンやブルートフォース攻撃のリスクを効果的に排除し、ポートスキャナーなどのツールを使用して攻撃者が当社のサービスを検出することをほぼ不可能にしました。

Michael

Nmap保護

PortGuardの設定は驚くほど簡単でした。ドキュメントも分かりやすく、設定ファイルも整理されています。大きな問題もなく、既存のインフラに統合できました。ファイアウォール（iptables）ともシームレスに連携し、学習曲線も最小限でした。これで、Nmapスキャンやその他のポートスキャンツールから保護されるようになりました。

James

ポートスキャン防止

PortGuardの最も優れた機能の一つは、ポートスキャンの防止です。すべてのポートを閉じ、有効なSPAパケットを受信した後にのみ一時的にポートを開くことで、ポートスキャンやブルートフォース攻撃のリスクを排除します。これは、SSHなどの重要なサービスをポートスキャナーやその他のポートスキャンツールから保護するための画期的なツールです。

David

安全なリモートアクセス

PortGuardのおかげで、サーバーへのリモートアクセスのセキュリティが大幅に向上しました。SSHをインターネットに公開する代わりに、SPAを使用して必要な場合にのみアクセスを許可しています。Nmapスキャンやその他のポートスキャンの脅威を心配することなく、異なる場所から安全に接続する必要があるリモートチームメンバーにとって、これは最適なソリューションです。

Olivia

カスタマイズ可能なセキュリティ

PortGuardの柔軟性は実に素晴らしいです。SSHだけでなく、複数のサービスと連携するように設定できます。ポート開放に関するカスタムルールとタイムアウトを定義できるため、特定のユースケースに柔軟に対応できます。Nmapなどのポートスキャンの脅威に先手を打つことができる、高度にカスタマイズ可能なソリューションです。

William

信頼できるセキュリティ

PortGuardは、私たちのネットワークセキュリティに革命をもたらしました。WireGuard VPNとOpenVPNを統合することで、データの安全性を確保し、覗き見から保護するプライベートネットワークを構築できました。この信頼性の高い設定により、データが不正アクセスから守られているという安心感を得ています。

今すぐダウンロード

シングルパケット認証のリーダー

単一パケット認証 PortGuard