Autorización de paquete único
PortGuard

PortGuard ofrece una sólida tecnología de autorización de paquetes únicos para proteger su red contra accesos no autorizados, incluidas las amenazas de escaneo de puertos.

Descargar ahora, GUI multiplataforma

Descargar para Windows

fwknopc_2_6_11_x64-setup.exe

Descargar para Macos

fwknopc_2_6_11_x64.pkg

Descargar para Android

fwknopc_2_6_11_x64.apk

Servidor Fwknop para CentOS7

Nombre del archivo Última modificación MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Nota: Instalación rápida en CentOS 7

1. ¿Por qué desarrollé PortGuard?

Conocí el concepto de Autorización Única de Paquetes (SPA) durante una conversación informal con compañeros de trabajo. Antes de eso, no tenía ni idea de port knocking ni de SPA. Nuestra empresa necesitaba una solución para port knocking, y tras investigar y explorar materiales relevantes, descubrí fwknop. El concepto de fwknop era realmente impresionante: para servicios que solo necesitan ser accesibles para unos pocos, fwknop es una solución excelente. Consideramos desarrollar nuestra propia herramienta, pero fwknop era mucho más madura. Sin embargo, fwknop tiene sus inconvenientes: es complejo, con una curva de aprendizaje pronunciada para su instalación y uso, y carece de una aplicación cliente dedicada. Esto llevó a la creación de PortGuard. El objetivo de PortGuard es ser compatible con los protocolos de port knocking más comunes, como fwknop y, en el futuro, tnok, a la vez que ofrece un cliente multiplataforma. Creado como una extensión de fwknop y tnok, PortGuard busca hacer que la tecnología SPA sea más intuitiva y accesible.

2. Plataformas compatibles con el cliente PortGuard

Actualmente, PortGuard admite las siguientes plataformas:

  • iOS
  • Android
  • Windows
  • macOS

3. Casos de uso de PortGuard

La funcionalidad principal de PortGuard es mejorar la seguridad de la red ocultando los puertos de servicio (cerrados de forma predeterminada) y es adecuado para los siguientes escenarios:

3.1 Proteger los servicios de acceso remoto (por ejemplo, SSH)

Escenario:Los administradores necesitan acceder de forma segura a los servicios SSH desde diferentes ubicaciones (por ejemplo, casa, cafetería, red móvil) sin exponer el puerto SSH a la red pública.

Implementación: Utilice fwknop o tnok, el cliente envía paquetes de datos SPA o paquetes TOTP knock y el servidor verifica y abre temporalmente el puerto SSH (predeterminado 22) después de la verificación.

Ventajas: Evita que Nmap y otras herramientas de escaneo de puertos descubran servicios, lo que reduce el riesgo de que se exploten vulnerabilidades de día cero.

Ejemplo: Los miembros del equipo remoto utilizan el cliente fwknop para enviar paquetes de datos SPA en dispositivos Windows o Android y acceder de forma segura a los servidores internos de la empresa.

3.2 Protección de servicios en entornos de nube

Escenario:Es necesario acceder a los servicios internos (por ejemplo, bases de datos, servidores web) en AWS, Azure y otras plataformas en la nube a través de la red pública, pero se debe evitar que los puertos queden expuestos directamente.

Implementación: PortGuard se integra con NAT para permitir que los clientes externos accedan a servicios internos en el espacio de direcciones RFC 1918 a través de SPA.

Ventajas: Admite topologías de red complejas, adecuadas para entornos de nube híbrida y de múltiples inquilinos.

Ejemplo: Ejecute fwknopd en instancias de AWS EC2, abra dinámicamente el puerto MySQL (3306) para que los usuarios autorizados puedan acceder.

3.3 Defensa contra el escaneo de puertos y la fuerza bruta

Escenario:Los servidores se enfrentan al escaneo de puertos (por ejemplo, Nmap) o a ataques de fuerza bruta, y necesitan ocultar los puertos de servicio para reducir la superficie de ataque.

Implementación: PortGuard mantiene la política de firewall predeterminada y solo abre los puertos después de recibir paquetes de datos SPA válidos.

Ventajas: Incluso si existen vulnerabilidades sin parchear, los atacantes no pueden descubrir los puertos de servicio.

Ejemplo: Evita la fuerza bruta de SSH, fwknop solo abre los puertos después de verificar HMAC.

3.4 Admite protección de múltiples servicios

Escenario:Las empresas necesitan proteger múltiples servicios (por ejemplo, SSH, RDP, VPN, base de datos) pero no quieren que todos los puertos estén abiertos todo el tiempo.

Implementación: fwknop admite la definición de múltiples servicios y puertos en access.conf, y el cliente puede especificar el protocolo y el puerto de destino.

Ventajas: Configuración de reglas flexibles, admite tiempos de espera personalizados y estrategias de apertura de puertos.

Ejemplo: Configure fwknop para proteger tanto SSH (tcp/22) como OpenVPN (udp/1194).

3.5 Seguridad de dispositivos integrados o IoT

Escenario:Los dispositivos IoT o los sistemas integrados necesitan gestión remota, pero los recursos del dispositivo son limitados y vulnerables a ataques.

Implementación: Ejecute fwknopd o tnokd livianos en dispositivos con recursos limitados y controle el acceso a través de SPA o TOTP.

Ventajas: Bajo consumo de recursos, adecuado para dispositivos pequeños.

Ejemplo: Proteja el servicio web que se ejecuta en Raspberry Pi.

3.6 Integración de dispositivos de terceros

Escenario:Necesita integrarse con dispositivos que no admiten fwknop nativo (por ejemplo, enrutadores Cisco) y controlar las reglas del firewall.

Implementación: La función de ciclo de apertura/cierre de comandos (comando open/close cycle) de fwknop permite ejecutar scripts personalizados para modificar dinámicamente la ACL de dispositivos de terceros.

Ventajas: Extensible, compatible con dispositivos de firewall no estándar.

Ejemplo: Ejecute fwknopd en servidores Linux, actualice la ACL de los enrutadores Cisco a través de SSH.

3.7 Detalles técnicos

  • fwknop admite la definición de tiempo de espera (CMD_CYCLE_TIMER), el puerto abierto se cierra automáticamente, lo que reduce el tiempo de exposición.
  • Se puede combinar con VPN (por ejemplo, WireGuard, OpenVPN) para crear una red privada segura.
  • Admite el análisis de encabezado X-Forwarded-For, adecuado para SPA en entorno HTTP.

4. ¿Qué tan seguro es PortGuard?

La seguridad de PortGuard se basa principalmente en el mecanismo de autorización de paquete único (SPA) de fwknop, combinado con cifrado, autenticación e integración de firewall, lo que proporciona protección multicapa. A continuación, se presenta un análisis detallado de la seguridad:

4.1 Cifrado y autenticación

Cifrado: fwknop admite el cifrado simétrico Rijndael (AES) o el cifrado asimétrico GnuPG, y el contenido del paquete de datos SPA no se puede analizar directamente.

Autenticación: Utilice HMAC-SHA256 (predeterminado) o versiones superiores para la autenticación de paquetes de datos, lo que garantiza la integridad de los datos y la confianza de la fuente.

Seguridad: Previene ataques de intermediario (MITM) y de repetición, HMAC aplicado después del cifrado, resistiendo ataques de oráculo de relleno de modo CBC (por ejemplo, ataques Vaudenay).

Limitaciones: El cifrado simétrico requiere claves compartidas entre el cliente y el servidor; la administración inadecuada de claves puede provocar fugas; el modo GnuPG requiere mantener conjuntos de claves.

4.2 Evitar el escaneo de puertos

Mecanismo: PortGuard utiliza la política de firewall predeterminada y el puerto de servicio es invisible cuando no está autorizado, por lo que Nmap y otras herramientas no pueden detectarlo.

Seguridad: Reduce significativamente la superficie de ataque, incluso si hay vulnerabilidades de día cero, los atacantes no pueden localizar el puerto de servicio.

Limitaciones: Si se detecta el paquete de datos de knock (el knocking de puertos tradicional es más susceptible a esto), los atacantes pueden intentar reproducirlo (SPA ha resuelto este problema a través de HMAC).

4.3 Resistir la fuerza bruta

Mecanismo: Los paquetes de datos de SPA deben estar correctamente cifrados y autenticados con HMAC; la fuerza bruta es casi imposible (los paquetes de datos con HMAC fallido se descartan directamente).

Seguridad: En comparación con el ataque de puerto tradicional, el diseño de paquete único y el mecanismo de cifrado de SPA mejoran significativamente la capacidad de resistir la fuerza bruta.

Limitaciones: Los errores de configuración (por ejemplo, claves débiles o HMAC deshabilitado) pueden reducir la seguridad.

✨ Características

Funciones de seguridad robustas
🔓 Funciones de seguridad robustas
Tecnología de cifrado de última generación
PortGuard utiliza tecnología de encriptación avanzada para garantizar la seguridad de los datos, brindando protección sólida contra el acceso no autorizado y garantizando la confidencialidad de sus datos.
Confiabilidad del sistema
📈 Confiabilidad del sistema
Estabilidad inigualable
Rigurosamente probado, PortGuard funciona de manera estable en diversos entornos, lo que garantiza alta disponibilidad y confiabilidad para aplicaciones críticas.
Compatibilidad entre plataformas
💻 Compatibilidad entre plataformas
Compatibilidad multiplataforma fluida
Es compatible con Windows, macOS, Linux y más, lo que permite una integración perfecta en diversos entornos de TI y satisface las necesidades de una amplia gama de usuarios.
Flexibilidad de código abierto
🔓 Flexibilidad de código abierto
Potencie su seguridad con código abierto
PortGuard es de código abierto y admite implementación privada, lo que brinda a los usuarios control total sobre su infraestructura de seguridad y la capacidad de personalizarla según sus necesidades.

Gente ❤️ Que le den

User Comment

John

Seguridad en el puerto
El mecanismo de acceso de puertos de PortGuard ha mejorado significativamente la seguridad de nuestra red. Al abrir puertos dinámicamente solo para clientes autenticados, hemos eliminado eficazmente el riesgo de escaneo de puertos y ataques de fuerza bruta, lo que hace prácticamente imposible que los atacantes detecten nuestros servicios mediante herramientas como escáneres de puertos.
User Comment

Michael

Protección de Nmap
Configurar PortGuard fue sorprendentemente sencillo. La documentación es clara y los archivos de configuración están bien organizados. Pude integrarlo en nuestra infraestructura existente sin mayores problemas. Funciona a la perfección con nuestro firewall (iptables) y la curva de aprendizaje fue mínima. Ahora estamos protegidos de los escaneos de Nmap y otras herramientas de escaneo de puertos.
User Comment

James

Prevención de escaneo de puertos
Una de las mejores características de PortGuard es que evita el escaneo de puertos. Al cerrar todos los puertos y abrirlos solo temporalmente tras recibir un paquete SPA válido, elimina el riesgo de escaneo de puertos y ataques de fuerza bruta. Es una herramienta revolucionaria para proteger SSH y otros servicios críticos de los escáneres de puertos y otras herramientas de escaneo de puertos.
User Comment

David

Acceso remoto seguro
PortGuard ha hecho que el acceso remoto a nuestros servidores sea mucho más seguro. En lugar de exponer SSH a internet, ahora usamos SPA para otorgar acceso solo cuando es necesario. Es perfecto para los miembros de nuestro equipo remoto que necesitan conectarse de forma segura desde diferentes ubicaciones, sin preocuparse por los escaneos de Nmap ni otras amenazas de escaneo de puertos.
User Comment

Olivia

Seguridad personalizable
La flexibilidad de PortGuard es impresionante. Podemos configurarlo para que funcione con múltiples servicios, no solo con SSH. La posibilidad de definir reglas personalizadas y tiempos de espera para la apertura de puertos lo adapta a nuestros casos de uso específicos. Es una solución altamente personalizable que nos ayuda a anticiparnos a las amenazas de escaneo de puertos como Nmap.
User Comment

William

Seguridad confiable
PortGuard ha sido un punto de inflexión en la seguridad de nuestra red. Gracias a la integración de WireGuard VPN y OpenVPN, hemos podido crear una red privada que garantiza la seguridad de nuestros datos y su protección contra intrusos. La fiabilidad de esta configuración nos brinda total tranquilidad, sabiendo que nuestros datos están a salvo del acceso no autorizado.
Descargar ahora

Telegram

Tutorial de PortGuard

Copyright 2025 PortGuard. All rights reserved.