Autorisatie voor één pakket
PortGuard

PortGuard biedt robuuste technologie voor enkelvoudige pakketautorisatie om uw netwerk te beschermen tegen ongeautoriseerde toegang, inclusief bedreigingen door poortscans.

Nu downloaden, multi-platform GUI

Downloaden voor Windows

fwknopc_2_6_11_x64-setup.exe

Downloaden voor Macos

fwknopc_2_6_11_x64.pkg

Downloaden voor Android

fwknopc_2_6_11_x64.apk

Fwknop-server voor CentOS7

Bestandsnaam Laatst gewijzigd MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Let op: Snelle installatie in CentOS 7

1. Waarom heb ik PortGuard ontwikkeld?

Ik hoorde voor het eerst over het concept van Single Packet Authorization (SPA) tijdens een informeel gesprek met collega's op het werk. Daarvoor had ik geen kennis van port knocking of SPA. Toevallig had ons bedrijf een port-knocking-oplossing nodig, en na onderzoek en het bestuderen van relevante materialen ontdekte ik fwknop. Het concept van fwknop was werkelijk indrukwekkend: voor services die slechts voor een selecte groep toegankelijk moeten zijn, is fwknop een uitstekende oplossing. We overwogen om onze eigen tool te ontwikkelen, maar fwknop was veel volwassener. fwknop heeft echter ook nadelen: het is complex, heeft een steile leercurve voor installatie en gebruik, en het mist een speciale clientapplicatie. Dit leidde tot de ontwikkeling van PortGuard. Het doel van PortGuard is om mainstream port-knocking-protocollen zoals fwknop en, in de toekomst, tnok te ondersteunen en tegelijkertijd een platformonafhankelijke client te bieden. PortGuard is gebouwd als een uitbreiding van fwknop en tnok en heeft als doel SPA-technologie gebruiksvriendelijker en toegankelijker te maken.

2. PortGuard Client Ondersteunde Platforms

Momenteel ondersteunt PortGuard de volgende platforms:

  • iOS
  • Android
  • Windows
  • macOS

3. PortGuard-gebruiksscenario's

De kernfunctionaliteit van PortGuard is het verbeteren van de netwerkbeveiliging door servicepoorten te verbergen (standaard gesloten). Het is geschikt voor de volgende scenario's:

3.1 Beveilig externe toegangsservices (bijv. SSH)

Scenario:Beheerders moeten veilig toegang kunnen krijgen tot SSH-services vanaf verschillende locaties (bijvoorbeeld thuis, in een café, op een mobiel netwerk) zonder de SSH-poort bloot te stellen aan het openbare netwerk.

Uitvoering: Gebruik fwknop of tnok. De client verstuurt SPA-datapakketten of TOTP-knockpakketten en de server verifieert en opent tijdelijk de SSH-poort (standaard 22) na de verificatie.

Voordelen: Voorkom dat Nmap en andere hulpmiddelen voor poortscanning services detecteren, waardoor het risico op misbruik van zero-day-kwetsbaarheden wordt verkleind.

Voorbeeld: Leden van externe teams gebruiken de fwknop-client om SPA-datapakketten te versturen op Windows- of Android-apparaten en veilig toegang te krijgen tot interne servers van het bedrijf.

3.2 Servicebeveiliging in cloudomgevingen

Scenario:Interne services (bijvoorbeeld databases en webservers) in AWS, Azure en andere cloudplatforms moeten via het openbare netwerk toegankelijk zijn, maar de poorten mogen niet rechtstreeks worden blootgesteld.

Uitvoering: PortGuard integreert met NAT zodat externe clients toegang kunnen krijgen tot interne services in de RFC 1918-adresruimte via SPA.

Voordelen: Ondersteunt complexe netwerktopologieën, geschikt voor hybride cloud- en multi-tenantomgevingen.

Voorbeeld: Voer fwknopd uit op AWS EC2-instanties en open dynamisch de MySQL-poort (3306) voor toegang door geautoriseerde gebruikers.

3.3 Verdediging tegen poortscanning en brute force

Scenario:Servers worden geconfronteerd met poortscans (bijvoorbeeld Nmap) of brute force-aanvallen en moeten servicepoorten verbergen om het aanvalsoppervlak te verkleinen.

Uitvoering: PortGuard hanteert het standaardbeleid voor dropfirewalls en opent alleen poorten nadat er geldige SPA-gegevenspakketten zijn ontvangen.

Voordelen: Zelfs als er kwetsbaarheden zijn die niet zijn gepatcht, kunnen aanvallers geen servicepoorten ontdekken.

Voorbeeld: Voorkom brute force-aanvallen via SSH: fwknop opent alleen poorten nadat HMAC is geverifieerd.

3.4 Ondersteuning voor bescherming van meerdere services

Scenario:Bedrijven moeten meerdere services beveiligen (bijvoorbeeld SSH, RDP, VPN, database), maar willen niet dat alle poorten altijd open zijn.

Uitvoering: fwknop ondersteunt het definiëren van meerdere services en poorten in access.conf. De client kan het doelprotocol en de poort opgeven.

Voordelen: Flexibele regelconfiguratie, ondersteuning voor aangepaste time-out- en poortopenstrategieën.

Voorbeeld: Configureer fwknop om zowel SSH (tcp/22) als OpenVPN (udp/1194) te beveiligen.

3.5 Beveiliging van ingebedde of IoT-apparaten

Scenario:IoT-apparaten of embedded systemen hebben beheer op afstand nodig, maar de apparaatbronnen zijn beperkt en kwetsbaar voor aanvallen.

Uitvoering: Voer een lichtgewicht fwknop of tnokd uit op apparaten met beperkte bronnen en beheer de toegang via SPA of TOTP.

Voordelen: Laag bronnenverbruik, geschikt voor kleine apparaten.

Voorbeeld: Beveilig de webservice die op Raspberry Pi draait.

3.6 Integratie van apparaten van derden

Scenario:Moet worden geïntegreerd met apparaten die geen native fwknop ondersteunen (bijv. Cisco-routers) en firewallregels beheren.

Uitvoering: Met de functie voor het openen/sluiten van opdrachten (command open/close cycle) van fwknop kunt u aangepaste scripts uitvoeren om de ACL van apparaten van derden dynamisch te wijzigen.

Voordelen: Uitbreidbaar, ondersteunt niet-standaard firewall-apparaten.

Voorbeeld: Voer fwknopd uit op Linux-servers en werk de ACL van Cisco-routers bij via SSH.

3.7 Technische details

  • fwknop ondersteunt het definiëren van een time-out (CMD_CYCLE_TIMER), waardoor poorten automatisch worden geopend en gesloten, waardoor de belichtingstijd wordt verkort.
  • Kan gecombineerd worden met VPN (bijv. WireGuard, OpenVPN) om een veilig privénetwerk te bouwen.
  • Ondersteunt X-Forwarded-For header parsing, geschikt voor SPA in HTTP-omgevingen.

4. Hoe veilig is PortGuard?

De beveiliging van PortGuard is voornamelijk afhankelijk van het single-packet authorization (SPA)-mechanisme van fwknop, gecombineerd met encryptie, authenticatie en firewall-integratie, wat zorgt voor meerlaagse bescherming. Hieronder volgt een gedetailleerde analyse van de beveiliging:

4.1 Versleuteling en authenticatie

Encryptie: fwknop ondersteunt symmetrische Rijndael (AES)-encryptie of asymmetrische GnuPG-encryptie. De inhoud van het SPA-datapakket kan niet rechtstreeks worden geparseerd.

Authenticatie: Gebruik HMAC-SHA256 (standaard) of hogere versies voor datapakketauthenticatie, zodat de integriteit van de gegevens en de betrouwbaarheid van de bron worden gewaarborgd.

Beveiliging: Voorkom man-in-the-middle (MITM) en replay-aanvallen, HMAC toegepast na encryptie, weerstand biedend tegen CBC mode padding Oracle-aanvallen (bijv. Vaudenay-aanvallen).

Beperkingen: Symmetrische encryptie vereist gedeelde sleutels van client en server, onjuist sleutelbeheer kan leiden tot lekken; GnuPG-modus vereist het onderhouden van sleutelringen,

4.2 Poortscanning voorkomen

Mechanisme: PortGuard maakt gebruik van het standaard dropfirewallbeleid en de servicepoort is onzichtbaar wanneer deze niet geautoriseerd is, zodat Nmap en andere hulpmiddelen deze niet kunnen detecteren.

Beveiliging: Vermindert het aanvalsoppervlak aanzienlijk: zelfs als er zero-day-kwetsbaarheden zijn, kunnen aanvallers de servicepoort niet vinden.

Beperkingen: Als het knock-datapakket wordt gesnuffeld (traditionele poort-knocking is hier gevoeliger voor), kunnen aanvallers proberen het opnieuw af te spelen (SPA heeft dit probleem opgelost via HMAC).

4.3 Weersta brute kracht

Mechanisme: SPA-datapakketten moeten correct worden gecodeerd en HMAC-geauthenticeerd. Brute force-aanvallen zijn vrijwel onmogelijk (datapakketten met een mislukte HMAC worden direct verwijderd).

Beveiliging: Vergeleken met de traditionele poort-knocking, verbeteren het single-packet-ontwerp en het encryptiemechanisme van SPA de weerstand tegen brute force aanzienlijk.

Beperkingen: Configuratiefouten (bijvoorbeeld zwakke sleutels of uitgeschakelde HMAC) kunnen de beveiliging verminderen.

✨ Functies

Robuuste beveiligingsfuncties
🔓 Robuuste beveiligingsfuncties
State-of-the-art encryptietechnologie
PortGuard maakt gebruik van geavanceerde encryptietechnologie om de veiligheid van uw gegevens te garanderen. Zo bieden wij een robuuste bescherming tegen ongeautoriseerde toegang en wordt de vertrouwelijkheid van uw gegevens gewaarborgd.
Systeembetrouwbaarheid
📈 Systeembetrouwbaarheid
Ongeëvenaarde stabiliteit
PortGuard is grondig getest en werkt stabiel in verschillende omgevingen. Hierdoor is een hoge beschikbaarheid en betrouwbaarheid voor kritieke toepassingen gegarandeerd.
Cross-platform compatibiliteit
💻 Cross-platform compatibiliteit
Naadloze multi-platformondersteuning
Ondersteunt Windows, macOS, Linux en meer, waardoor naadloze integratie in verschillende IT-omgevingen mogelijk is en tegemoetgekomen wordt aan een breed scala aan gebruikers.
Open Source Flexibiliteit
🔓 Open Source Flexibiliteit
Verbeter uw beveiliging met open source
PortGuard is open source en ondersteunt privé-implementatie, waardoor gebruikers volledige controle hebben over hun beveiligingsinfrastructuur en deze kunnen aanpassen aan hun behoeften.

Mensen ❤️ Fwknop

User Comment

John

Beveiliging van havenkloppers
Het port knocking-mechanisme van PortGuard heeft onze netwerkbeveiliging aanzienlijk verbeterd. Door poorten dynamisch alleen te openen voor geauthenticeerde clients, hebben we het risico van poortscans en brute-force-aanvallen effectief geëlimineerd, waardoor het voor aanvallers vrijwel onmogelijk is om onze services te detecteren met tools zoals poortscanners.
User Comment

Michael

Nmap-beveiliging
Het installeren van PortGuard was verrassend eenvoudig. De documentatie is duidelijk en de configuratiebestanden zijn overzichtelijk. Ik kon het zonder grote problemen integreren in onze bestaande infrastructuur. Het werkt naadloos met onze firewall (iptables) en de leercurve was minimaal. Nu zijn we beschermd tegen Nmap-scans en andere tools voor poortscanning.
User Comment

James

Preventie van poortscans
Een van de beste eigenschappen van PortGuard is dat het poortscans voorkomt. Door alle poorten te sluiten en ze alleen tijdelijk te openen nadat een geldig SPA-pakket is ontvangen, elimineert het het risico op poortscans en brute-force-aanvallen. Het is een gamechanger voor het beveiligen van SSH en andere kritieke services tegen poortscanners en andere tools voor poortscanning.
User Comment

David

Veilige toegang op afstand
PortGuard heeft de toegang op afstand tot onze servers veel veiliger gemaakt. In plaats van SSH bloot te stellen aan het internet, gebruiken we nu SPA om alleen toegang te verlenen wanneer dat nodig is. Het is perfect voor onze externe teamleden die veilig verbinding moeten maken vanaf verschillende locaties, zonder zich zorgen te hoeven maken over Nmap-scans of andere bedreigingen voor poortscans.
User Comment

Olivia

Aanpasbare beveiliging
De flexibiliteit van PortGuard is indrukwekkend. We kunnen het configureren om met meerdere services te werken, niet alleen met SSH. De mogelijkheid om aangepaste regels en time-outs voor poortopeningen te definiëren, maakt het aanpasbaar aan onze specifieke use cases. Het is een zeer aanpasbare oplossing die ons helpt om bedreigingen met poortscans zoals Nmap voor te blijven.
User Comment

William

Betrouwbare beveiliging
PortGuard heeft onze netwerkbeveiliging radicaal veranderd. Dankzij de integratie van WireGuard VPN en OpenVPN hebben we een privénetwerk kunnen creëren dat ervoor zorgt dat onze gegevens veilig en beschermd blijven tegen nieuwsgierige blikken. De betrouwbaarheid van deze configuratie geeft ons volledige gemoedsrust, wetende dat onze gegevens veilig zijn tegen ongeautoriseerde toegang.
Nu downloaden

Telegram

PortGuard-zelfstudie

Copyright 2025 PortGuard. All rights reserved.