एकल पैकेट प्राधिकरण
PortGuard
PortGuard आपके नेटवर्क को पोर्ट स्कैनिंग खतरों सहित अनधिकृत पहुंच से सुरक्षित रखने के लिए मजबूत एकल पैकेट प्राधिकरण प्रौद्योगिकी प्रदान करता है।
अभी डाउनलोड करें, मल्टी-प्लेटफ़ॉर्म GUI
मल्टी-प्लेटफ़ॉर्म GUI
विंडोज के लिए डाउनलोड करें
fwknopc_2_6_11_x64-setup.exe
Macos के लिए डाउनलोड करें
fwknopc_2_6_11_x64.pkg
एंड्रॉयड के लिए डाउनलोड करें
fwknopc_2_6_11_x64.apk
CentOS7 के लिए Fwknop सर्वर
| फ़ाइल का नाम | अंतिम संशोधन | एमडी5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. मैंने पोर्टगार्ड क्यों विकसित किया?
मैंने पहली बार कार्यस्थल पर सहकर्मियों के साथ एक अनौपचारिक बातचीत के दौरान सिंगल पैकेट ऑथराइज़ेशन (SPA) की अवधारणा के बारे में जाना। इससे पहले, मुझे पोर्ट नॉकिंग या SPA के बारे में कोई जानकारी नहीं थी। संयोग से हमारी कंपनी को एक पोर्ट-नॉकिंग समाधान की आवश्यकता थी, और संबंधित सामग्रियों पर शोध और अन्वेषण करने के बाद, मुझे fwknop का पता चला। fwknop की अवधारणा वाकई प्रभावशाली थी—उन सेवाओं के लिए जिनकी पहुँच केवल कुछ चुनिंदा लोगों तक ही होनी चाहिए, fwknop एक बेहतरीन समाधान है। हमने अपना खुद का टूल विकसित करने पर विचार किया, लेकिन fwknop कहीं अधिक परिपक्व था। हालाँकि, fwknop की अपनी कमियाँ हैं: यह जटिल है, इसकी स्थापना और उपयोग के लिए सीखने की प्रक्रिया कठिन है, और इसमें एक समर्पित क्लाइंट एप्लिकेशन का अभाव है। इसी वजह से पोर्टगार्ड का निर्माण हुआ। पोर्टगार्ड का लक्ष्य क्रॉस-प्लेटफ़ॉर्म क्लाइंट प्रदान करते हुए, fwknop और भविष्य में tnok जैसे मुख्यधारा के पोर्ट-नॉकिंग प्रोटोकॉल का समर्थन करना है। fwknop और tnok के विस्तार के रूप में निर्मित, पोर्टगार्ड का लक्ष्य SPA प्रौद्योगिकी को अधिक उपयोगकर्ता-अनुकूल और सुलभ बनाना है।
2. पोर्टगार्ड क्लाइंट समर्थित प्लेटफ़ॉर्म
वर्तमान में, पोर्टगार्ड निम्नलिखित प्लेटफार्मों का समर्थन करता है:
- iOS
- Android
- Windows
- macOS
3. पोर्टगार्ड उपयोग के मामले
पोर्टगार्ड की मुख्य कार्यक्षमता सेवा पोर्ट (डिफ़ॉल्ट बंद) को छिपाकर नेटवर्क सुरक्षा को बढ़ाना है, और यह निम्नलिखित परिदृश्यों के लिए उपयुक्त है:
3.1 दूरस्थ पहुँच सेवाओं (जैसे SSH) की सुरक्षा करें
परिदृश्य: प्रशासकों को SSH पोर्ट को सार्वजनिक नेटवर्क पर उजागर किए बिना विभिन्न स्थानों (जैसे, घर, कॉफी शॉप, मोबाइल नेटवर्क) से SSH सेवाओं तक सुरक्षित रूप से पहुंचने की आवश्यकता होती है।
कार्यान्वयन: fwknop या tnok का उपयोग करें, क्लाइंट SPA डेटा पैकेट या TOTP नॉक पैकेट भेजता है, और सर्वर सत्यापन के बाद SSH पोर्ट (डिफ़ॉल्ट 22) को सत्यापित करता है और अस्थायी रूप से खोलता है।
लाभ: एनमैप और अन्य पोर्ट स्कैनिंग उपकरणों को सेवाओं की खोज करने से रोकें, जिससे शून्य-दिन की कमजोरियों का फायदा उठाने का जोखिम कम हो जाएगा।
उदाहरण: दूरस्थ टीम के सदस्य विंडोज या एंड्रॉइड डिवाइस पर एसपीए डेटा पैकेट भेजने के लिए fwknop क्लाइंट का उपयोग करते हैं, और कंपनी के आंतरिक सर्वर तक सुरक्षित रूप से पहुंच बनाते हैं।
3.2 क्लाउड वातावरण में सेवा सुरक्षा
परिदृश्य: AWS, Azure और अन्य क्लाउड प्लेटफार्मों में आंतरिक सेवाओं (जैसे, डेटाबेस, वेब सर्वर) को सार्वजनिक नेटवर्क के माध्यम से एक्सेस किया जाना चाहिए, लेकिन पोर्ट्स को सीधे उजागर होने से बचाया जाना चाहिए।
कार्यान्वयन: पोर्टगार्ड NAT के साथ एकीकृत होकर बाह्य ग्राहकों को SPA के माध्यम से RFC 1918 एड्रेस स्पेस में आंतरिक सेवाओं तक पहुंचने की अनुमति देता है।
लाभ: जटिल नेटवर्क टोपोलॉजी का समर्थन करता है, हाइब्रिड क्लाउड और मल्टी-टेनेंट वातावरण के लिए उपयुक्त है।
उदाहरण: AWS EC2 इंस्टैंस पर fwknopd चलाएं, अधिकृत उपयोगकर्ताओं के लिए MySQL पोर्ट (3306) को गतिशील रूप से खोलें।
3.3 पोर्ट स्कैनिंग और ब्रूट फोर्स से बचाव
परिदृश्य: सर्वरों को पोर्ट स्कैनिंग (जैसे, एनमैप) या ब्रूट फोर्स हमलों का सामना करना पड़ता है, और हमले की सतह को कम करने के लिए उन्हें सर्विस पोर्ट छिपाने की आवश्यकता होती है।
कार्यान्वयन: पोर्टगार्ड डिफ़ॉल्ट ड्रॉप फ़ायरवॉल नीति को बनाए रखता है, तथा मान्य SPA डेटा पैकेट प्राप्त करने के बाद ही पोर्ट खोलता है।
लाभ: यहां तक कि यदि पैच न किए गए कमजोरियां हों, तो भी हमलावर सर्विस पोर्ट्स की खोज नहीं कर सकते।
उदाहरण: SSH ब्रूट फोर्स को रोकें, fwknop केवल HMAC को सत्यापित करने के बाद ही पोर्ट खोलता है।
3.4 बहु-सेवा सुरक्षा का समर्थन करें
परिदृश्य: उद्यमों को कई सेवाओं (जैसे, एसएसएच, आरडीपी, वीपीएन, डेटाबेस) की सुरक्षा की आवश्यकता होती है, लेकिन वे नहीं चाहते कि सभी पोर्ट हर समय खुले रहें।
कार्यान्वयन: fwknop access.conf में एकाधिक सेवाओं और पोर्ट को परिभाषित करने का समर्थन करता है, और क्लाइंट लक्ष्य प्रोटोकॉल और पोर्ट निर्दिष्ट कर सकता है।
लाभ: लचीला नियम विन्यास, कस्टम टाइमआउट और पोर्ट ओपन रणनीतियों का समर्थन।
उदाहरण: SSH (tcp/22) और OpenVPN (udp/1194) दोनों की सुरक्षा के लिए fwknop को कॉन्फ़िगर करें।
3.5 एम्बेडेड या IoT डिवाइस सुरक्षा
परिदृश्य: IoT डिवाइस या एम्बेडेड सिस्टम को दूरस्थ प्रबंधन की आवश्यकता होती है, लेकिन डिवाइस संसाधन सीमित होते हैं और हमलों के प्रति संवेदनशील होते हैं।
कार्यान्वयन: संसाधन-सीमित उपकरणों पर हल्के fwknopd या tnokd चलाएं, SPA या TOTP के माध्यम से पहुंच को नियंत्रित करें।
लाभ: कम संसाधन खपत, छोटे उपकरणों के लिए उपयुक्त।
उदाहरण: रास्पबेरी पाई पर चल रही वेब सेवा को सुरक्षित रखें।
3.6 तृतीय-पक्ष डिवाइस एकीकरण
परिदृश्य: उन डिवाइसों के साथ एकीकरण करने की आवश्यकता है जो मूल fwknop (जैसे, सिस्को राउटर) का समर्थन नहीं करते हैं, फ़ायरवॉल नियमों को नियंत्रित करते हैं।
कार्यान्वयन: fwknop की कमांड ओपन/क्लोज साइकिल (command open/close cycle) सुविधा, तृतीय-पक्ष डिवाइसों के ACL को गतिशील रूप से संशोधित करने के लिए कस्टम स्क्रिप्ट निष्पादित करने की अनुमति देती है।
लाभ: एक्सटेंसिबल, गैर-मानक फ़ायरवॉल उपकरणों का समर्थन करता है।
उदाहरण: लिनक्स सर्वर पर fwknopd चलाएं, SSH के माध्यम से सिस्को राउटर के ACL को अपडेट करें।
3.7 तकनीकी विवरण
- fwknop टाइमआउट (CMD_CYCLE_TIMER) को परिभाषित करने, पोर्ट को स्वचालित रूप से बंद करने, एक्सपोज़र समय को कम करने का समर्थन करता है।
- सुरक्षित निजी नेटवर्क बनाने के लिए इसे VPN (जैसे, WireGuard, OpenVPN) के साथ जोड़ा जा सकता है।
- X-Forwarded-For हेडर पार्सिंग का समर्थन करता है, जो HTTP वातावरण में SPA के लिए उपयुक्त है।
4. पोर्टगार्ड कितना सुरक्षित है?
पोर्टगार्ड की सुरक्षा मुख्य रूप से fwknop के सिंगल-पैकेट ऑथराइज़ेशन (SPA) तंत्र पर निर्भर करती है, जो एन्क्रिप्शन, प्रमाणीकरण और फ़ायरवॉल एकीकरण के साथ मिलकर बहु-स्तरीय सुरक्षा प्रदान करता है। सुरक्षा का विस्तृत विश्लेषण निम्नलिखित है:
4.1 एन्क्रिप्शन और प्रमाणीकरण
कूटलेखन: fwknop Rijndael (AES) सममित एन्क्रिप्शन या GnuPG असममित एन्क्रिप्शन का समर्थन करता है, और SPA डेटा पैकेट सामग्री को सीधे पार्स नहीं किया जा सकता है।
प्रमाणीकरण: डेटा पैकेट प्रमाणीकरण के लिए HMAC-SHA256 (डिफ़ॉल्ट) या उच्चतर संस्करण का उपयोग करें, जिससे डेटा अखंडता और स्रोत विश्वास सुनिश्चित हो सके।
सुरक्षा: मैन-इन-द-मिडल (MITM) और रीप्ले हमलों को रोकें, एन्क्रिप्शन के बाद लागू HMAC, CBC मोड पैडिंग ऑरेकल हमलों (जैसे, वौडेने हमलों) का प्रतिरोध करें।
सीमाएँ: सममित एन्क्रिप्शन के लिए क्लाइंट और सर्वर की साझा कुंजियों की आवश्यकता होती है, अनुचित कुंजी प्रबंधन के कारण लीकेज हो सकता है; GnuPG मोड के लिए कुंजी रिंगों को बनाए रखना आवश्यक होता है,
4.2 पोर्ट स्कैनिंग रोकें
तंत्र: पोर्टगार्ड डिफ़ॉल्ट ड्रॉप फ़ायरवॉल नीति का उपयोग करता है, और अधिकृत न होने पर सेवा पोर्ट अदृश्य रहता है, इसलिए एनमैप और अन्य उपकरण इसका पता नहीं लगा सकते।
सुरक्षा: यह हमले की सतह को महत्वपूर्ण रूप से कम कर देता है, भले ही शून्य-दिन की कमजोरियां हों, हमलावर सेवा पोर्ट का पता नहीं लगा सकते हैं।
सीमाएँ: यदि नॉक डेटा पैकेट को सूंघ लिया जाता है (पारंपरिक पोर्ट नॉकिंग इसके प्रति अधिक संवेदनशील है), तो हमलावर पुनः चलाने का प्रयास कर सकते हैं (एसपीए ने एचएमएसी के माध्यम से इस समस्या का समाधान कर लिया है)।
4.3 क्रूर बल का प्रतिरोध करें
तंत्र: एसपीए डेटा पैकेटों को सही ढंग से एन्क्रिप्ट किया जाना चाहिए और एचएमएसी प्रमाणित किया जाना चाहिए, ब्रूट फोर्स लगभग असंभव है (विफल एचएमएसी वाले डेटा पैकेटों को सीधे त्याग दिया जाता है)।
सुरक्षा: पारंपरिक पोर्ट नॉकिंग की तुलना में, एसपीए का एकल-पैकेट डिजाइन और एन्क्रिप्शन तंत्र क्रूर बल का प्रतिरोध करने की क्षमता में महत्वपूर्ण रूप से सुधार करता है।
सीमाएँ: कॉन्फ़िगरेशन त्रुटियाँ (जैसे, कमज़ोर कुंजियाँ या अक्षम HMAC) सुरक्षा को कम कर सकती हैं।
✨ विशेषताएँ
लोग ❤️ Fwknop
John
Michael
James
David
Olivia
William