Нэг пакетийн зөвшөөрөл
PortGuard
PortGuard нь порт сканнердах аюул зэрэг зөвшөөрөлгүй хандалтаас сүлжээгээ хамгаалах хүчирхэг ганц пакет зөвшөөрлийн технологийг санал болгодог.
Одоо татаж авах, Олон платформ GUI
Олон платформ GUI
Windows-д зориулсан татаж авах
fwknopc_2_6_11_x64-setup.exe
Macos-д зориулсан татаж авах
fwknopc_2_6_11_x64.pkg
Android-д зориулсан татаж авах
fwknopc_2_6_11_x64.apk
CentOS7-д зориулсан Fwknop сервер
| Файлын нэр | Сүүлд өөрчилсөн | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. Би яагаад PortGuard-г хөгжүүлсэн бэ?
Би анх ажил дээрээ хамт ажиллагсадтайгаа энгийн яриа өрнүүлж байхдаа Single Packet Authorization (SPA) гэдэг ойлголтын талаар олж мэдсэн. Үүнээс өмнө би порт тогших, SPA талаар ямар ч мэдлэггүй байсан. Манай компанид порт тогших шийдэл хэрэгтэй болсон тул холбогдох материалыг судалж, судалсны дараа би fwknop-ийг олж мэдсэн. fwknop-ийн тухай ойлголт үнэхээр гайхалтай байсан—зөвхөн цөөн хэдэн хүн хандах ёстой үйлчилгээний хувьд fwknop бол маш сайн шийдэл юм. Бид өөрсдийн хэрэглүүрийг хөгжүүлэх талаар бодож байсан ч fwknop нь илүү боловсронгуй байсан. Гэсэн хэдий ч, fwknop нь сул талуудтай: энэ нь нарийн төвөгтэй, суулгах, ашиглахад суралцах эгц муруйтай, тусгай клиент програм байхгүй. Энэ нь PortGuard-г бүтээхэд хүргэсэн. PortGuard-ийн зорилго нь fwknop, ирээдүйд tnok зэрэг порт тогших протоколуудыг дэмжихийн зэрэгцээ платформ хоорондын клиентээр хангах явдал юм. Fwknop болон tnok-ийн өргөтгөлөөр бүтээгдсэн PortGuard нь SPA технологийг илүү хэрэглэгчдэд ээлтэй, хүртээмжтэй болгох зорилготой юм.
2. PortGuard Client дэмждэг платформууд
Одоогоор PortGuard нь дараах платформуудыг дэмждэг.
- iOS
- Android
- Windows
- macOS
3. PortGuard ашиглах тохиолдлууд
PortGuard-ийн үндсэн функц нь үйлчилгээний портуудыг нуух замаар сүлжээний аюулгүй байдлыг сайжруулах явдал юм (анхдагчаар хаалттай) бөгөөд энэ нь дараах хувилбаруудад тохиромжтой.
3.1 Алсын хандалтын үйлчилгээг хамгаалах (жишээ нь SSH)
Хувилбар: Администраторууд SSH портыг нийтийн сүлжээнд оруулахгүйгээр өөр өөр байршлаас (жишээ нь, гэр, кофе шоп, гар утасны сүлжээ) SSH үйлчилгээнд найдвартай нэвтрэх шаардлагатай.
Хэрэгжилт: fwknop эсвэл tnok ашиглан үйлчлүүлэгч SPA өгөгдлийн пакетууд эсвэл TOTP knock пакетуудыг илгээдэг ба сервер нь баталгаажуулсны дараа SSH портыг (өгөгдмөл 22) шалгаж, түр нээдэг.
Давуу тал: Nmap болон бусад порт сканнерын хэрэгслүүдийг үйлчилгээг илрүүлэхээс сэргийлж, тэг өдрийн эмзэг байдлыг ашиглах эрсдэлийг бууруулна.
Жишээ: Алсын удирдлагатай багийн гишүүд fwknop клиентийг Windows эсвэл Android төхөөрөмж дээр SPA мэдээллийн пакет илгээх, компанийн дотоод серверт найдвартай нэвтрэх зорилгоор ашигладаг.
3.2 Үүлний орчин дахь үйлчилгээний хамгаалалт
Хувилбар: AWS, Azure болон бусад үүл платформууд дахь дотоод үйлчилгээнүүд (жишээ нь, мэдээллийн сан, вэб серверүүд) нь нийтийн сүлжээгээр дамжуулан хандах шаардлагатай боловч портууд нь шууд өртөхөөс зайлсхийх хэрэгтэй.
Хэрэгжилт: PortGuard нь NAT-тай нэгдэж, гадаад үйлчлүүлэгчдэд RFC 1918 хаягийн орон зайд SPA-ээр дамжуулан дотоод үйлчилгээнд хандах боломжийг олгодог.
Давуу тал: Гибрид үүл болон олон түрээслэгчийн орчинд тохиромжтой, цогц сүлжээний топологийг дэмждэг.
Жишээ: AWS EC2 instance дээр fwknopd-г ажиллуулж, эрх бүхий хэрэглэгчдэд хандахын тулд MySQL портыг (3306) динамикаар нээнэ үү.
3.3 Порт сканнердах болон харгис хүчний эсрэг хамгаалах
Хувилбар: Серверүүд порт скан хийх (жишээ нь, Nmap) эсвэл харгис хүчний халдлагад өртдөг бөгөөд халдлагын гадаргууг багасгахын тулд үйлчилгээний портуудыг нуух шаардлагатай болдог.
Хэрэгжилт: PortGuard нь анхдагч галт ханын бодлогыг баримталдаг бөгөөд зөвхөн хүчинтэй SPA өгөгдлийн пакетуудыг хүлээн авсны дараа портуудыг нээдэг.
Давуу тал: Хэдийгээр засварлаагүй сул талууд байгаа ч халдагчид үйлчилгээний портуудыг илрүүлж чадахгүй.
Жишээ: SSH бүдүүлэг хүчнээс урьдчилан сэргийлэх, fwknop нь зөвхөн HMAC-г баталгаажуулсны дараа портуудыг нээдэг.
3.4 Олон үйлчилгээний хамгаалалтыг дэмжинэ
Хувилбар: Аж ахуйн нэгжүүд олон үйлчилгээг (жишээ нь, SSH, RDP, VPN, мэдээллийн сан) хамгаалах шаардлагатай боловч бүх портуудыг үргэлж нээлттэй байлгахыг хүсдэггүй.
Хэрэгжилт: fwknop нь access.conf-д олон үйлчилгээ болон портуудыг тодорхойлохыг дэмждэг бөгөөд үйлчлүүлэгч зорилтот протокол болон портыг зааж өгч болно.
Давуу тал: Уян хатан дүрмийн тохиргоо, захиалгат хугацаа болон порт нээх стратегийг дэмждэг.
Жишээ: SSH (tcp/22) болон OpenVPN (udp/1194) хоёуланг нь хамгаалахын тулд fwknop-г тохируулна уу.
3.5 Embedded буюу IoT төхөөрөмжийн аюулгүй байдал
Хувилбар: IoT төхөөрөмж эсвэл суулгагдсан систем нь алсаас удирдах шаардлагатай боловч төхөөрөмжийн нөөц хязгаарлагдмал бөгөөд халдлагад өртөмтгий байдаг.
Хэрэгжилт: Хязгаарлагдмал нөөцтэй төхөөрөмжүүд дээр хөнгөн жинтэй fwknopd эсвэл tnokd ажиллуулж, SPA эсвэл TOTP-ээр дамжуулан хандалтыг хянах.
Давуу тал: Нөөцийн хэрэглээ бага, жижиг төхөөрөмжид тохиромжтой.
Жишээ: Raspberry Pi дээр ажиллаж байгаа вэб үйлчилгээг хамгаалах.
3.6 Гуравдагч этгээдийн төхөөрөмжийг нэгтгэх
Хувилбар: Төрөлхийн fwknop (жишээ нь, Cisco чиглүүлэгч) дэмждэггүй төхөөрөмжүүдтэй нэгтгэх, галт ханын дүрмийг хянах шаардлагатай.
Хэрэгжилт: fwknop-ын нээх/хаах командын цикл (командын нээх/хаах цикл) функц нь гуравдагч талын төхөөрөмжүүдийн ACL-ийг динамикаар өөрчлөх тусгай скриптүүдийг гүйцэтгэх боломжийг олгодог.
Давуу тал: Өргөтгөх боломжтой, стандарт бус галт ханын төхөөрөмжүүдийг дэмждэг.
Жишээ: Linux серверүүд дээр fwknopd ажиллуулж, Cisco чиглүүлэгчийн ACL-ийг SSH-ээр шинэчил.
3.7 Техникийн дэлгэрэнгүй мэдээлэл
- fwknop нь хугацаа дуусах (CMD_CYCLE_TIMER), порт нээгдэх автоматаар хаагдах, өртөх хугацааг багасгахыг дэмждэг.
- Аюулгүй хувийн сүлжээг бий болгохын тулд VPN-тэй (жишээ нь, WireGuard, OpenVPN) нэгтгэж болно.
- HTTP орчинд SPA-д тохиромжтой, X-Forwarded-For толгой хэсгийг задлахыг дэмждэг.
4. PortGuard хэр найдвартай вэ?
PortGuard-ийн аюулгүй байдал нь үндсэндээ fwknop-ийн нэг пакет зөвшөөрөл (SPA) механизмаас шалтгаалж, шифрлэлт, нэвтрэлт танилт, галт ханын интеграцчилалтай хослуулан олон давхаргат хамгаалалтыг хангадаг. Дараах нь аюулгүй байдлын нарийвчилсан дүн шинжилгээ юм.
4.1 Шифрлэлт ба баталгаажуулалт
Шифрлэлт: fwknop нь Rijndael (AES) тэгш хэмт шифрлэлт эсвэл GnuPG тэгш хэмт бус шифрлэлтийг дэмждэг бөгөөд SPA өгөгдлийн пакетийн агуулгыг шууд задлан шинжлэх боломжгүй.
Баталгаажуулалт: Өгөгдлийн багцын баталгаажуулалтад HMAC-SHA256 (анхдагч) буюу түүнээс дээш хувилбарыг ашиглан өгөгдлийн бүрэн бүтэн байдал, эх сурвалжийн найдвартай байдлыг хангана уу.
Аюулгүй байдал: Дундад хүн (MITM) болон дахин тоглуулах халдлагаас урьдчилан сэргийлж, шифрлэлтийн дараа HMAC ашигладаг бөгөөд CBC горимын oracle халдлагыг (жишээ нь, Vaudenay халдлагууд) эсэргүүцдэг.
Хязгаарлалтууд: Тэгш хэмтэй шифрлэлт нь үйлчлүүлэгч болон серверийн хуваалцсан түлхүүрүүдийг шаарддаг, буруу түлхүүрийн удирдлага нь алдагдалд хүргэж болзошгүй; GnuPG горим нь түлхүүрийн бөгжийг хадгалахыг шаарддаг.
4.2 Порт скан хийхээс урьдчилан сэргийлэх
Механизм: PortGuard нь анхдагч галт ханын бодлогыг ашигладаг бөгөөд зөвшөөрөлгүй үед үйлчилгээний порт нь үл үзэгдэх тул Nmap болон бусад хэрэгслүүд үүнийг илрүүлж чадахгүй.
Аюулгүй байдал: Довтолгооны гадаргууг мэдэгдэхүйц бууруулж, тэг өдрийн эмзэг байдал байсан ч халдагчид үйлчилгээний портыг олж чадахгүй.
Хязгаарлалтууд: Хэрэв тогших өгөгдлийн багцыг үнэрлэвэл (уламжлалт порт тогших нь үүнд илүү өртөмтгий байдаг) халдагчид дахин тоглуулахыг оролдож болно (SPA энэ асуудлыг HMAC-ээр шийдсэн).
4.3 Харгис хүчийг эсэргүүц
Механизм: SPA өгөгдлийн пакетуудыг зөв шифрлэж, HMAC баталгаажуулсан байх шаардлагатай, харгис хүч хэрэглэх нь бараг боломжгүй (амжилтгүй HMAC-тай өгөгдлийн пакетуудыг шууд устгадаг).
Аюулгүй байдал: Уламжлалт порт тогшихтой харьцуулахад SPA-ийн нэг пакет дизайн, шифрлэлтийн механизм нь харгис хүчийг эсэргүүцэх чадварыг эрс сайжруулдаг.
Хязгаарлалтууд: Тохиргооны алдаа (жишээ нь, сул товчлуурууд эсвэл идэвхгүй HMAC) нь аюулгүй байдлыг бууруулж болзошгүй.
✨ Онцлогууд
Хүмүүсээ ❤️ Fwknop
John
Michael
James
David
Olivia
William