Einzelpaketautorisierung
PortGuard

PortGuard bietet eine robuste Einzelpaketautorisierungstechnologie zum Schutz Ihres Netzwerks vor unbefugtem Zugriff, einschließlich Bedrohungen durch Port-Scanning.

Jetzt herunterladen, Multiplattform-GUI

Download für Windows

fwknopc_2_6_11_x64-setup.exe

Download für macOS

fwknopc_2_6_11_x64.pkg

Für Android herunterladen

fwknopc_2_6_11_x64.apk

Fwknop-Server für CentOS7

Dateiname Zuletzt geändert MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Hinweis: Schnellinstallation in CentOS 7

1. Warum habe ich PortGuard entwickelt?

Ich hörte das Konzept der Single Packet Authorization (SPA) zum ersten Mal bei einem lockeren Gespräch mit Arbeitskollegen. Zuvor hatte ich keine Ahnung von Port Knocking oder SPA. Zufällig benötigte unser Unternehmen eine Port-Knocking-Lösung, und nach der Recherche und Auswertung relevanter Materialien stieß ich auf fwknop. Das Konzept von fwknop war wirklich beeindruckend – für Dienste, die nur für wenige Auserwählte zugänglich sein dürfen, ist fwknop eine hervorragende Lösung. Wir überlegten, ein eigenes Tool zu entwickeln, aber fwknop war deutlich ausgereifter. Allerdings hat fwknop auch Nachteile: Es ist komplex, erfordert einen steilen Lernprozess für Installation und Nutzung und es fehlt eine dedizierte Client-Anwendung. Dies führte zur Entwicklung von PortGuard. Das Ziel von PortGuard ist es, gängige Port-Knocking-Protokolle wie fwknop und zukünftig tnok zu unterstützen und gleichzeitig einen plattformübergreifenden Client bereitzustellen. PortGuard wurde als Erweiterung von fwknop und tnok entwickelt und soll die SPA-Technologie benutzerfreundlicher und zugänglicher machen.

2. Vom PortGuard-Client unterstützte Plattformen

Derzeit unterstützt PortGuard die folgenden Plattformen:

  • iOS
  • Android
  • Windows
  • macOS

3. PortGuard-Anwendungsfälle

Die Kernfunktionalität von PortGuard besteht darin, die Netzwerksicherheit durch das Ausblenden von Service-Ports (standardmäßig geschlossen) zu verbessern und eignet sich für die folgenden Szenarien:

3.1 Remote Access Services (z. B. SSH) schützen

Szenario:Administratoren müssen von verschiedenen Standorten (z. B. zu Hause, im Café, im Mobilfunknetz) sicher auf SSH-Dienste zugreifen können, ohne den SSH-Port dem öffentlichen Netzwerk auszusetzen.

Durchführung: Verwenden Sie fwknop oder tnok, der Client sendet SPA-Datenpakete oder TOTP-Knock-Pakete, und der Server überprüft und öffnet nach der Überprüfung vorübergehend den SSH-Port (Standard 22).

Vorteile: Verhindern Sie, dass Nmap und andere Port-Scanning-Tools Dienste erkennen, und verringern Sie so das Risiko, dass Zero-Day-Schwachstellen ausgenutzt werden.

Beispiel: Remote-Teammitglieder verwenden den fwknop-Client, um SPA-Datenpakete auf Windows- oder Android-Geräten zu senden und sicher auf interne Server des Unternehmens zuzugreifen.

3.2 Serviceschutz in Cloud-Umgebungen

Szenario:Auf interne Dienste (z. B. Datenbanken, Webserver) in AWS, Azure und anderen Cloud-Plattformen muss über das öffentliche Netzwerk zugegriffen werden, die Ports dürfen jedoch nicht direkt offengelegt werden.

Durchführung: PortGuard lässt sich in NAT integrieren, um externen Clients den Zugriff auf interne Dienste im RFC 1918-Adressraum über SPA zu ermöglichen.

Vorteile: Unterstützt komplexe Netzwerktopologien, geeignet für Hybrid-Cloud- und Multi-Tenant-Umgebungen.

Beispiel: Führen Sie fwknopd auf AWS EC2-Instanzen aus und öffnen Sie den MySQL-Port (3306) dynamisch für den Zugriff autorisierter Benutzer.

3.3 Schutz vor Port-Scanning und Brute-Force-Angriffen

Szenario:Server sind Port-Scanning (z. B. Nmap) oder Brute-Force-Angriffen ausgesetzt und müssen Service-Ports verbergen, um die Angriffsfläche zu verringern.

Durchführung: PortGuard behält die standardmäßige Drop-Firewall-Richtlinie bei und öffnet Ports nur nach dem Empfang gültiger SPA-Datenpakete.

Vorteile: Selbst wenn es ungepatchte Schwachstellen gibt, können Angreifer die Service-Ports nicht entdecken.

Beispiel: Verhindern Sie Brute-Force-Angriffe auf SSH. fwknop öffnet Ports nur nach Überprüfung von HMAC.

3.4 Unterstützung des Schutzes mehrerer Dienste

Szenario:Unternehmen müssen mehrere Dienste schützen (z. B. SSH, RDP, VPN, Datenbank), möchten aber nicht, dass alle Ports ständig geöffnet sind.

Durchführung: fwknop unterstützt die Definition mehrerer Dienste und Ports in access.conf und der Client kann das Zielprotokoll und den Port angeben.

Vorteile: Flexible Regelkonfiguration, Unterstützung benutzerdefinierter Timeout- und Port-Open-Strategien.

Beispiel: Konfigurieren Sie fwknop, um sowohl SSH (tcp/22) als auch OpenVPN (udp/1194) zu schützen.

3.5 Sicherheit eingebetteter oder IoT-Geräte

Szenario:IoT-Geräte oder eingebettete Systeme benötigen eine Fernverwaltung, aber die Geräteressourcen sind begrenzt und anfällig für Angriffe.

Durchführung: Führen Sie auf Geräten mit eingeschränkten Ressourcen das leichte fwknopd oder tnokd aus und steuern Sie den Zugriff über SPA oder TOTP.

Vorteile: Geringer Ressourcenverbrauch, geeignet für kleine Geräte.

Beispiel: Schützen Sie den auf Raspberry Pi laufenden Webdienst.

3.6 Integration von Geräten von Drittanbietern

Szenario:Müssen mit Geräten integriert werden, die kein natives fwknop unterstützen (z. B. Cisco-Router), Firewall-Regeln steuern.

Durchführung: Die Funktion „Befehls-Öffnen/Schließen-Zyklus“ (Befehls-Öffnen/Schließen-Zyklus) von fwknop ermöglicht die Ausführung benutzerdefinierter Skripte, um die ACL von Geräten von Drittanbietern dynamisch zu ändern.

Vorteile: Erweiterbar, unterstützt nicht standardmäßige Firewall-Geräte.

Beispiel: Führen Sie fwknopd auf Linux-Servern aus und aktualisieren Sie die ACL von Cisco-Routern über SSH.

3.7 Technische Details

  • fwknop unterstützt die Definition eines Timeouts (CMD_CYCLE_TIMER), wobei offene Ports automatisch geschlossen werden, wodurch die Belichtungszeit reduziert wird.
  • Kann mit VPN (z. B. WireGuard, OpenVPN) kombiniert werden, um ein sicheres privates Netzwerk aufzubauen.
  • Unterstützt X-Forwarded-For-Header-Parsing, geeignet für SPA in HTTP-Umgebung.

4. Wie sicher ist PortGuard?

Die Sicherheit von PortGuard basiert in erster Linie auf dem Single-Packet-Authorization-Mechanismus (SPA) von fwknop, kombiniert mit Verschlüsselung, Authentifizierung und Firewall-Integration, wodurch ein mehrschichtiger Schutz gewährleistet wird. Im Folgenden finden Sie eine detaillierte Sicherheitsanalyse:

4.1 Verschlüsselung und Authentifizierung

Verschlüsselung: fwknop unterstützt die symmetrische Rijndael-Verschlüsselung (AES) oder die asymmetrische GnuPG-Verschlüsselung und der Inhalt des SPA-Datenpakets kann nicht direkt analysiert werden.

Authentifizierung: Verwenden Sie HMAC-SHA256 (Standard) oder höhere Versionen zur Datenpaketauthentifizierung, um Datenintegrität und Quellenvertrauen sicherzustellen.

Sicherheit: Verhindern Sie Man-in-the-Middle- (MITM) und Replay-Angriffe. HMAC wird nach der Verschlüsselung angewendet und widersteht Oracle-Angriffen im CBC-Modus (z. B. Vaudenay-Angriffen).

Einschränkungen: Für die symmetrische Verschlüsselung sind gemeinsame Schlüssel von Client und Server erforderlich. Unsachgemäße Schlüsselverwaltung kann zu Lecks führen. Der GnuPG-Modus erfordert die Pflege von Schlüsselringen.

4.2 Port-Scanning verhindern

Mechanismus: PortGuard verwendet die standardmäßige Drop-Firewall-Richtlinie und der Service-Port ist unsichtbar, wenn er nicht autorisiert ist, sodass Nmap und andere Tools ihn nicht erkennen können.

Sicherheit: Reduziert die Angriffsfläche erheblich, selbst wenn Zero-Day-Schwachstellen vorhanden sind, können Angreifer den Service-Port nicht lokalisieren.

Einschränkungen: Wenn das Knock-Datenpaket abgehört wird (herkömmliches Port-Knocking ist hierfür anfälliger), können Angreifer versuchen, es erneut abzuspielen (SPA hat dieses Problem durch HMAC gelöst).

4.3 Widerstehen Sie roher Gewalt

Mechanismus: SPA-Datenpakete müssen korrekt verschlüsselt und HMAC-authentifiziert sein, Brute-Force-Angriffe sind nahezu unmöglich (Datenpakete mit fehlgeschlagenem HMAC werden direkt verworfen).

Sicherheit: Im Vergleich zum herkömmlichen Port-Knocking verbessern das Einzelpaketdesign und der Verschlüsselungsmechanismus von SPA die Widerstandsfähigkeit gegen Brute-Force-Angriffe erheblich.

Einschränkungen: Konfigurationsfehler (z. B. schwache Schlüssel oder deaktiviertes HMAC) können die Sicherheit beeinträchtigen.

✨ Merkmale

Robuste Sicherheitsfunktionen
🔓 Robuste Sicherheitsfunktionen
Modernste Verschlüsselungstechnologie
PortGuard verwendet fortschrittliche Verschlüsselungstechnologie, um die Datensicherheit zu gewährleisten, einen robusten Schutz vor unbefugtem Zugriff zu bieten und die Vertraulichkeit Ihrer Daten zu gewährleisten.
Systemzuverlässigkeit
📈 Systemzuverlässigkeit
Unübertroffene Stabilität
PortGuard wurde gründlich getestet und läuft stabil in verschiedenen Umgebungen. Dadurch wird eine hohe Verfügbarkeit und Zuverlässigkeit für kritische Anwendungen gewährleistet.
Plattformübergreifende Kompatibilität
💻 Plattformübergreifende Kompatibilität
Nahtlose Multiplattform-Unterstützung
Unterstützt Windows, macOS, Linux und mehr, ermöglicht eine nahtlose Integration in unterschiedliche IT-Umgebungen und richtet sich an ein breites Benutzerspektrum.
Open Source-Flexibilität
🔓 Open Source-Flexibilität
Verbessern Sie Ihre Sicherheit mit Open Source
PortGuard ist Open Source und unterstützt die private Bereitstellung, sodass Benutzer die vollständige Kontrolle über ihre Sicherheitsinfrastruktur haben und diese an ihre Bedürfnisse anpassen können.

Leute ❤️ Fwknop

User Comment

John

Port-Knocking-Sicherheit
Der Port-Knocking-Mechanismus von PortGuard hat unsere Netzwerksicherheit deutlich verbessert. Durch die dynamische Öffnung von Ports nur für authentifizierte Clients haben wir das Risiko von Port-Scanning und Brute-Force-Angriffen effektiv eliminiert. Angreifer können unsere Dienste mit Tools wie Port-Scannern somit kaum noch erkennen.
User Comment

Michael

Nmap-Schutz
Die Einrichtung von PortGuard war überraschend unkompliziert. Die Dokumentation ist verständlich und die Konfigurationsdateien gut organisiert. Ich konnte es problemlos in unsere bestehende Infrastruktur integrieren. Es funktioniert reibungslos mit unserer Firewall (iptables), und der Lernaufwand war minimal. Jetzt sind wir vor Nmap-Scans und anderen Port-Scanning-Tools geschützt.
User Comment

James

Port-Scan-Schutz
Eine der besten Funktionen von PortGuard ist die Verhinderung von Port-Scanning. Indem alle Ports geschlossen und nur nach dem Empfang eines gültigen SPA-Pakets vorübergehend geöffnet werden, wird das Risiko von Port-Scanning und Brute-Force-Angriffen eliminiert. Dies ist ein entscheidender Vorteil für die Sicherung von SSH und anderen kritischen Diensten vor Port-Scannern und anderen Port-Scanning-Tools.
User Comment

David

Sicherer Fernzugriff
PortGuard hat den Fernzugriff auf unsere Server deutlich sicherer gemacht. Anstatt SSH dem Internet zugänglich zu machen, nutzen wir jetzt SPA, um Zugriff nur bei Bedarf zu gewähren. Das ist ideal für unsere Remote-Teammitglieder, die sich von verschiedenen Standorten aus sicher verbinden müssen, ohne sich um Nmap-Scans oder andere Port-Scanning-Bedrohungen sorgen zu müssen.
User Comment

Olivia

Anpassbare Sicherheit
Die Flexibilität von PortGuard ist beeindruckend. Wir können es für mehrere Dienste konfigurieren, nicht nur für SSH. Die Möglichkeit, benutzerdefinierte Regeln und Timeouts für Portöffnungen zu definieren, macht es an unsere spezifischen Anwendungsfälle anpassbar. Es ist eine hochgradig anpassbare Lösung, die uns hilft, Port-Scanning-Bedrohungen wie Nmap immer einen Schritt voraus zu sein.
User Comment

William

Zuverlässige Sicherheit
PortGuard hat unsere Netzwerksicherheit grundlegend verändert. Durch die Integration von WireGuard VPN und OpenVPN konnten wir ein privates Netzwerk aufbauen, das unsere Daten sicher und vor neugierigen Blicken schützt. Die Zuverlässigkeit dieses Setups gibt uns die Gewissheit, dass unsere Daten vor unbefugtem Zugriff geschützt sind.
Jetzt herunterladen

Telegram

PortGuard-Tutorial

Copyright 2025 PortGuard. All rights reserved.