Autorizace jednoho paketu
PortGuard

PortGuard nabízí robustní technologii autorizace jednotlivých paketů pro ochranu vaší sítě před neoprávněným přístupem, včetně hrozeb skenování portů.

Stáhnout nyní, multiplatformní GUI

Stáhnout pro Windows

fwknopc_2_6_11_x64-setup.exe

Stáhnout pro Macos

fwknopc_2_6_11_x64.pkg

Stáhnout pro Android

fwknopc_2_6_11_x64.apk

Server Fwknop pro CentOS7

Název souboru Naposledy upraveno MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Poznámka: Rychlá instalace v CentOS 7

1. Proč jsem vyvinul PortGuard?

O konceptu autorizace jednotlivých paketů (SPA) jsem se poprvé dozvěděl během neformálního rozhovoru s kolegy v práci. Předtím jsem neměl žádné znalosti o port knockingu ani o SPA. Shodou okolností naše společnost potřebovala řešení pro port knocking a po prozkoumání relevantních materiálů jsem objevil fwknop. Koncept fwknop byl skutečně působivý – pro služby, které musí být přístupné jen vybraným, je fwknop vynikajícím řešením. Zvažovali jsme vývoj vlastního nástroje, ale fwknop byl mnohem vyspělejší. Fwknop má však své nevýhody: je složitý, s prudkou křivkou učení pro instalaci a používání a chybí mu specializovaná klientská aplikace. To vedlo k vytvoření PortGuardu. Cílem PortGuardu je podporovat mainstreamové protokoly pro port knocking, jako je fwknop a v budoucnu tnok, a zároveň poskytovat multiplatformní klienta. PortGuard, vytvořený jako rozšíření fwknop a tnok, si klade za cíl zpřístupnit technologii SPA uživatelsky přívětivější a dostupnější.

2. Platformy podporované klientem PortGuard

PortGuard v současné době podporuje následující platformy:

  • iOS
  • Android
  • Windows
  • macOS

3. Případy použití PortGuardu

Hlavní funkcí PortGuardu je zvýšení zabezpečení sítě skrytím servisních portů (výchozí nastavení je zavřené) a je vhodný pro následující scénáře:

3.1 Ochrana služeb vzdáleného přístupu (např. SSH)

Scénář:Administrátoři potřebují bezpečně přistupovat k SSH službám z různých míst (např. z domova, kavárny, mobilní sítě), aniž by museli vystavovat SSH port veřejné síti.

Implementace: Použijte fwknop nebo tnok, klient odešle datové pakety SPA nebo TOTP knock a server po ověření ověří a dočasně otevře SSH port (výchozí 22).

Výhody: Zabraňte Nmapu a dalším nástrojům pro skenování portů v objevování služeb, čímž snižujete riziko zneužití zranitelností typu zero-day.

Příklad: Vzdálení členové týmu používají klienta fwknop k odesílání datových paketů SPA na zařízeních se systémem Windows nebo Android a k bezpečnému přístupu k interním serverům společnosti.

3.2 Ochrana služeb v cloudových prostředích

Scénář:Interní služby (např. databáze, webové servery) v AWS, Azure a dalších cloudových platformách musí být přístupné prostřednictvím veřejné sítě, ale je třeba se vyhnout přímému odhalení portů.

Implementace: PortGuard se integruje s NAT, aby umožnil externím klientům přístup k interním službám v adresním prostoru RFC 1918 prostřednictvím SPA.

Výhody: Podporuje komplexní síťové topologie, vhodné pro hybridní cloud a prostředí s více klienty.

Příklad: Spusťte příkaz fwknopd na instancích AWS EC2 a dynamicky otevřete port MySQL (3306) pro přístup autorizovaných uživatelů.

3.3 Ochrana proti skenování portů a hrubé síle

Scénář:Servery čelí skenování portů (např. Nmap) nebo útokům hrubou silou a potřebují skrýt servisní porty, aby se zmenšila plocha pro útok.

Implementace: PortGuard dodržuje výchozí zásadu firewallu pro zablokování portů a otevírá porty pouze po přijetí platných datových paketů SPA.

Výhody: I když existují neopravené zranitelnosti, útočníci nemohou objevit servisní porty.

Příklad: Zabraňte hrubé síle SSH, fwknop otevírá porty pouze po ověření HMAC.

3.4 Podpora ochrany více služeb

Scénář:Podniky potřebují chránit více služeb (např. SSH, RDP, VPN, databázi), ale nechtějí, aby všechny porty byly neustále otevřené.

Implementace: fwknop podporuje definování více služeb a portů v souboru access.conf a klient může zadat cílový protokol a port.

Výhody: Flexibilní konfigurace pravidel, podpora vlastního časového limitu a strategií otevírání portů.

Příklad: Nakonfigurujte fwknop pro ochranu SSH (tcp/22) i OpenVPN (udp/1194).

3.5 Zabezpečení vestavěných zařízení nebo zařízení IoT

Scénář:Zařízení IoT nebo vestavěné systémy vyžadují vzdálenou správu, ale zdroje zařízení jsou omezené a zranitelné vůči útokům.

Implementace: Spouštějte odlehčené nástroje fwknopd nebo tnokd na zařízeních s omezenými zdroji a ovládejte přístup přes SPA nebo TOTP.

Výhody: Nízká spotřeba zdrojů, vhodné pro malá zařízení.

Příklad: Chraňte webové služby běžící na Raspberry Pi.

3.6 Integrace zařízení třetích stran

Scénář:Potřeba integrace se zařízeními, která nepodporují nativní fwknop (např. routery Cisco), kontrola pravidel firewallu.

Implementace: Funkce cyklu otevírání/zavírání příkazů (command open/close cycle) nástroje fwknop umožňuje spouštění vlastních skriptů pro dynamickou úpravu ACL zařízení třetích stran.

Výhody: Rozšiřitelné, podpora nestandardních firewallů.

Příklad: Spusťte fwknopd na Linuxových serverech a aktualizujte ACL routerů Cisco přes SSH.

3.7 Technické detaily

  • fwknop podporuje definování časového limitu (CMD_CYCLE_TIMER), otevření portu se automaticky zavírá, čímž se zkracuje doba expozice.
  • Lze kombinovat s VPN (např. WireGuard, OpenVPN) pro vybudování zabezpečené privátní sítě.
  • Podporuje parsování hlaviček X-Forwarded-For, vhodné pro SPA v prostředí HTTP.

4. Jak bezpečný je PortGuard?

Zabezpečení PortGuardu je primárně závislé na mechanismu autorizace jednotlivých paketů (SPA) služby fwknop v kombinaci se šifrováním, ověřováním a integrací firewallu, což zajišťuje vícevrstvou ochranu. Následuje podrobná analýza zabezpečení:

4.1 Šifrování a ověřování

Šifrování: fwknop podporuje symetrické šifrování Rijndael (AES) nebo asymetrické šifrování GnuPG a obsah datových paketů SPA nelze přímo analyzovat.

Ověřování: Pro ověřování datových paketů použijte HMAC-SHA256 (výchozí) nebo vyšší verze, které zajistí integritu dat a důvěryhodnost zdroje.

Zabezpečení: Zabraňte útokům typu „man-in-the-middle“ (MITM) a útokům typu replay, HMAC aplikovaný po šifrování, odolává útokům typu oracle s doplňováním CBC (např. Vaudenayovy útoky).

Omezení: Symetrické šifrování vyžaduje sdílené klíče klienta a serveru, nesprávná správa klíčů může vést k úniku; režim GnuPG vyžaduje údržbu klíčových svazků,

4.2 Zabránění skenování portů

Mechanismus: PortGuard používá výchozí zásady firewallu pro drop port a servisní port je neviditelný, pokud není autorizován, takže jej Nmap a další nástroje nemohou detekovat.

Zabezpečení: Výrazně snižuje plochu pro útok, i když existují zranitelnosti typu zero-day, útočníci nemohou najít servisní port.

Omezení: Pokud je paket dat knock sniffován (tradiční port knocking je k tomu náchylnější), útočníci se mohou pokusit o jeho přehrání (SPA tento problém vyřešilo pomocí HMAC).

4.3 Odolejte hrubé síle

Mechanismus: Datové pakety SPA musí být správně šifrovány a ověřeny pomocí HMAC, hrubá síla je téměř nemožná (datové pakety s neúspěšným HMAC jsou přímo zahozeny).

Zabezpečení: Ve srovnání s tradičním „port knockingem“ (tzv. „port knocking“), design s jedním paketem a šifrovací mechanismus SPA výrazně zlepšují schopnost odolávat útokům hrubou silou.

Omezení: Chyby v konfiguraci (např. slabé klíče nebo zakázaný HMAC) mohou snížit zabezpečení.

✨ Vlastnosti

Robustní funkce zabezpečení
🔓 Robustní funkce zabezpečení
Nejmodernější technologie šifrování
PortGuard používá pokročilou technologii šifrování k zajištění bezpečnosti dat, poskytuje robustní ochranu proti neoprávněnému přístupu a zajišťuje důvěrnost vašich dat.
Spolehlivost systému
📈 Spolehlivost systému
Bezkonkurenční stabilita
Přísně testovaný PortGuard funguje stabilně v různých prostředích a zajišťuje vysokou dostupnost a spolehlivost pro kritické aplikace.
Kompatibilita napříč platformami
💻 Kompatibilita napříč platformami
Bezproblémová podpora více platforem
Podporuje Windows, macOS, Linux a další, což umožňuje bezproblémovou integraci do různých IT prostředí a uspokojuje širokou škálu uživatelů.
Open Source Flexibilita
🔓 Open Source Flexibilita
Vylepšete svou bezpečnost pomocí Open Source
PortGuard je open source a podporuje privátní nasazení, což uživatelům dává plnou kontrolu nad jejich bezpečnostní infrastrukturou a možnost si ji přizpůsobit svým potřebám.

Lidé ❤️ Fwknop

User Comment

John

Zabezpečení klepání přístavu
Mechanismus klepání portů PortGuard výrazně zlepšil zabezpečení naší sítě. Dynamickým otevíráním portů pouze pro ověřené klienty jsme účinně eliminovali riziko skenování portů a útoků hrubou silou, takže je pro útočníky téměř nemožné detekovat naše služby pomocí nástrojů, jako jsou skenery portů.
User Comment

Michael

Ochrana Nmap
Nastavení PortGuard bylo překvapivě jednoduché. Dokumentace je jasná a konfigurační soubory jsou dobře uspořádané. Podařilo se mi jej bez větších problémů integrovat do naší stávající infrastruktury. Funguje bez problémů s naším firewallem (iptables) a křivka učení byla minimální. Nyní jsme chráněni před skenováním Nmap a dalšími nástroji pro skenování portů.
User Comment

James

Prevence skenování portů
Jednou z nejlepších funkcí PortGuard je to, jak zabraňuje skenování portů. Uzavřením všech portů a jejich otevřením pouze dočasně po přijetí platného SPA paketu eliminujete riziko skenování portů a útoků hrubou silou. Je to změna hry pro zabezpečení SSH a dalších kritických služeb ze skenerů portů a dalších nástrojů pro skenování portů.
User Comment

David

Zabezpečený vzdálený přístup
PortGuard učinil vzdálený přístup k našim serverům mnohem bezpečnějším. Namísto vystavení SSH internetu nyní používáme SPA k udělení přístupu pouze v případě potřeby. Je ideální pro členy našeho vzdáleného týmu, kteří se potřebují bezpečně připojit z různých míst, aniž by se museli starat o skenování Nmap nebo jiné hrozby skenování portů.
User Comment

Olivia

Přizpůsobitelné zabezpečení
Flexibilita PortGuard je působivá. Můžeme jej nakonfigurovat tak, aby fungoval s více službami, nejen s SSH. Schopnost definovat vlastní pravidla a časové limity pro otevření portů umožňuje přizpůsobit se našim konkrétním případům použití. Je to vysoce přizpůsobitelné řešení, které nám pomáhá udržet náskok před hrozbami skenování portů, jako je Nmap.
User Comment

William

Spolehlivé zabezpečení
PortGuard změnilo naše zabezpečení sítě. Díky integraci WireGuard VPN a OpenVPN jsme byli schopni vytvořit soukromou síť, která zajišťuje, že naše data zůstanou v bezpečí a chráněna před zvědavýma očima. Spolehlivost tohoto nastavení nám dává naprostý klid, protože víme, že naše data jsou v bezpečí před neoprávněným přístupem.
Stáhnout nyní

Telegram

Výukový program PortGuardu

Copyright 2025 PortGuard. All rights reserved.