Tek Paket Yetkilendirmesi
PortGuard
PortGuard, port tarama tehditleri de dahil olmak üzere ağınızı yetkisiz erişime karşı korumak için sağlam tek paket yetkilendirme teknolojisi sunar.
Şimdi İndirin, Çok Platformlu GUI
Çok Platformlu GUI
Windows için indirin
fwknopc_2_6_11_x64-setup.exe
Macos için indirin
fwknopc_2_6_11_x64.pkg
Android için indirin
fwknopc_2_6_11_x64.apk
CentOS7 için Fwknop Sunucusu
| Dosya adı | Son Değiştirilme Tarihi | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. PortGuard'ı Neden Geliştirdim?
Tek Paket Yetkilendirmesi (SPA) kavramını ilk olarak iş yerindeki meslektaşlarımla yaptığım sıradan bir sohbet sırasında öğrendim. Bundan önce port knocking veya SPA hakkında hiçbir bilgim yoktu. Tesadüfen şirketimizin bir port knocking çözümüne ihtiyacı vardı ve ilgili materyalleri araştırıp inceledikten sonra fwknop'u keşfettim. fwknop konsepti gerçekten etkileyiciydi; yalnızca belirli bir azınlık tarafından erişilebilir olması gereken hizmetler için fwknop mükemmel bir çözümdü. Kendi aracımızı geliştirmeyi düşündük, ancak fwknop çok daha gelişmişti. Ancak fwknop'un dezavantajları da var: karmaşık, kurulum ve kullanım için dik bir öğrenme eğrisi var ve özel bir istemci uygulamasından yoksun. Bu, PortGuard'ın yaratılmasına yol açtı. PortGuard'ın amacı, platformlar arası bir istemci sağlarken fwknop ve gelecekte tnok gibi yaygın port knocking protokollerini desteklemektir. Fwknop ve tnok'un bir uzantısı olarak geliştirilen PortGuard, SPA teknolojisini daha kullanıcı dostu ve erişilebilir hale getirmeyi amaçlıyor.
2. PortGuard İstemcisinin Desteklediği Platformlar
PortGuard şu anda aşağıdaki platformları destekliyor:
- iOS
- Android
- Windows
- macOS
3. PortGuard Kullanım Örnekleri
PortGuard'ın temel işlevi, servis portlarını gizleyerek (varsayılan olarak kapalıdır) ağ güvenliğini artırmaktır ve aşağıdaki senaryolar için uygundur:
3.1 Uzaktan Erişim Hizmetlerini (örneğin SSH) Koruyun
Senaryo: Yöneticilerin, SSH portunu genel ağa açmadan, farklı konumlardan (örneğin ev, kafe, mobil ağ) SSH servislerine güvenli bir şekilde erişmeleri gerekir.
Uygulama: Fwknop veya tnok kullanın, istemci SPA veri paketleri veya TOTP knock paketleri gönderir ve sunucu doğrulamayı yapar ve doğrulamadan sonra SSH portunu geçici olarak açar (varsayılan 22).
Avantajları: Nmap ve diğer port tarama araçlarının servisleri keşfetmesini önleyerek sıfırıncı gün güvenlik açıklarının istismar edilme riskini azaltın.
Örnek: Uzaktaki ekip üyeleri, SPA veri paketlerini Windows veya Android cihazlarına göndermek, şirketin dahili sunucularına güvenli bir şekilde erişmek için fwknop istemcisini kullanır.
3.2 Bulut Ortamlarında Hizmet Koruması
Senaryo: AWS, Azure ve diğer bulut platformlarındaki dahili hizmetlere (örneğin veritabanları, web sunucuları) genel ağ üzerinden erişilmesi gerekir, ancak bağlantı noktalarının doğrudan açığa çıkmasının önlenmesi gerekir.
Uygulama: PortGuard, harici istemcilerin SPA aracılığıyla RFC 1918 adres alanındaki dahili hizmetlere erişmesine olanak sağlamak için NAT ile entegre olur.
Avantajları: Karmaşık ağ topolojilerini destekler, hibrit bulut ve çok kiracılı ortamlar için uygundur.
Örnek: AWS EC2 örneklerinde fwknopd'yi çalıştırın, yetkili kullanıcıların erişebilmesi için MySQL portunu (3306) dinamik olarak açın.
3.3 Port Tarama ve Kaba Kuvvet Saldırılarına Karşı Savunma
Senaryo: Sunucular port tarama (örneğin Nmap) veya kaba kuvvet saldırılarıyla karşı karşıyadır ve saldırı yüzeyini azaltmak için servis portlarını gizlemeleri gerekir.
Uygulama: PortGuard, varsayılan bırakma güvenlik duvarı politikasını korur ve yalnızca geçerli SPA veri paketlerini aldıktan sonra bağlantı noktalarını açar.
Avantajları: Yamalanmamış güvenlik açıkları olsa bile saldırganlar servis portlarını keşfedemezler.
Örnek: SSH kaba kuvvetini önleyin, fwknop yalnızca HMAC'yi doğruladıktan sonra portları açar.
3.4 Çoklu Hizmet Korumasını Destekleyin
Senaryo: İşletmelerin birden fazla hizmeti (örneğin SSH, RDP, VPN, veritabanı) koruması gerekir ancak tüm portların her zaman açık olmasını istemezler.
Uygulama: fwknop, access.conf dosyasında birden fazla servis ve port tanımlamayı destekler ve istemci hedef protokolü ve portu belirleyebilir.
Avantajları: Esnek kural yapılandırması, özel zaman aşımı ve port açma stratejilerini destekler.
Örnek: Fwknop'u hem SSH (tcp/22) hem de OpenVPN'i (udp/1194) koruyacak şekilde yapılandırın.
3.5 Gömülü veya IoT Cihaz Güvenliği
Senaryo: Nesnelerin İnterneti (IoT) cihazları veya gömülü sistemler uzaktan yönetime ihtiyaç duyar, ancak cihaz kaynakları sınırlıdır ve saldırılara karşı savunmasızdır.
Uygulama: Kaynak kısıtlı cihazlarda hafif fwknopd veya tnokd çalıştırın, erişimi SPA veya TOTP aracılığıyla kontrol edin.
Avantajları: Düşük kaynak tüketimi, küçük cihazlar için uygundur.
Örnek: Raspberry Pi üzerinde çalışan Web servisini koruyun.
3.6 Üçüncü Taraf Cihaz Entegrasyonu
Senaryo: Yerel fwknop'u desteklemeyen cihazlarla (örneğin Cisco yönlendiricileri) entegrasyon yapılması, güvenlik duvarı kurallarının kontrol edilmesi gerekir.
Uygulama: Fwknop'un komut açma/kapatma döngüsü (command open/close cycle) özelliği, üçüncü taraf aygıtların ACL'sini dinamik olarak değiştirmek için özel betiklerin çalıştırılmasına olanak tanır.
Avantajları: Genişletilebilir, standart dışı güvenlik duvarı aygıtlarını destekler.
Örnek: Linux sunucularda fwknopd'yi çalıştırın, Cisco yönlendiricilerinin ACL'sini SSH aracılığıyla güncelleyin.
3.7 Teknik Detaylar
- fwknop, zaman aşımını (CMD_CYCLE_TIMER) tanımlamayı, port açılışının otomatik olarak kapanmasını destekler, bu da pozlama süresini azaltır.
- Güvenli bir özel ağ oluşturmak için VPN (örneğin WireGuard, OpenVPN) ile birleştirilebilir.
- HTTP ortamında SPA için uygun olan X-Forwarded-For başlık ayrıştırmasını destekler.
4. PortGuard Ne Kadar Güvenli?
PortGuard'ın güvenliği, fwknop'un tek paket yetkilendirme (SPA) mekanizmasına, şifreleme, kimlik doğrulama ve güvenlik duvarı entegrasyonuyla birleşerek çok katmanlı koruma sağlamasına dayanmaktadır. Aşağıda güvenliğin ayrıntılı bir analizi yer almaktadır:
4.1 Şifreleme ve Kimlik Doğrulama
Şifreleme: fwknop, Rijndael (AES) simetrik şifrelemeyi veya GnuPG asimetrik şifrelemeyi destekler ve SPA veri paketi içeriği doğrudan ayrıştırılamaz.
Kimlik doğrulama: Veri paketi kimlik doğrulaması için HMAC-SHA256 (varsayılan) veya daha yüksek sürümleri kullanın; böylece veri bütünlüğü ve kaynak güveni sağlanmış olur.
Güvenlik: Ortadaki adam (MITM) ve tekrar saldırılarını önleyin, şifreleme sonrasında HMAC uygulayın, CBC modu dolgulu oracle saldırılarına (örneğin Vaudenay saldırıları) karşı koyun.
Sınırlamalar: Simetrik şifreleme, istemci ve sunucu tarafından paylaşılan anahtarlar gerektirir; uygunsuz anahtar yönetimi sızıntıya yol açabilir; GnuPG modu, anahtarlıkların korunmasını gerektirir.
4.2 Port Taramasını Önleme
Mekanizma: PortGuard varsayılan drop firewall politikasını kullanır ve servis portu yetkilendirilmediğinde görünmez olur, bu nedenle Nmap ve diğer araçlar bunu algılayamaz.
Güvenlik: Saldırı yüzeyini önemli ölçüde azaltır, sıfırıncı gün açıkları olsa bile saldırganlar servis portunu bulamaz.
Sınırlamalar: Eğer knock veri paketi dinlenirse (geleneksel port knocking buna daha yatkındır), saldırganlar tekrar oynatmayı deneyebilir (SPA bu sorunu HMAC aracılığıyla çözmüştür).
4.3 Kaba Kuvvete Karşı Direnç
Mekanizma: SPA veri paketlerinin doğru şekilde şifrelenmesi ve HMAC ile kimlik doğrulamasının yapılması gerekir; kaba kuvvet saldırısı neredeyse imkansızdır (HMAC'si başarısız olan veri paketleri doğrudan atılır).
Güvenlik: Geleneksel port knocking ile karşılaştırıldığında, SPA'nın tek paket tasarımı ve şifreleme mekanizması kaba kuvvet saldırılarına karşı koyma yeteneğini önemli ölçüde artırır.
Sınırlamalar: Yapılandırma hataları (örneğin zayıf anahtarlar veya devre dışı bırakılmış HMAC) güvenliği azaltabilir.
✨ Özellikler
İnsanlar ❤️ Fwknop
John
Michael
James
David
Olivia
William