Авторизація одного пакета
PortGuard
PortGuard пропонує надійну технологію авторизації одного пакета для захисту вашої мережі від несанкціонованого доступу, включаючи загрози сканування портів.
Завантажте зараз, мультиплатформенний графічний інтерфейс
Багатоплатформний графічний інтерфейс
Завантажити для Windows
fwknopc_2_6_11_x64-setup.exe
Завантажити для Macos
fwknopc_2_6_11_x64.pkg
Завантажити для Android
fwknopc_2_6_11_x64.apk
Сервер Fwknop для CentOS7
| Ім'я файлу | Остання зміна | МД5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. Чому я розробив PortGuard?
Вперше я дізнався про концепцію авторизації окремих пакетів (SPA) під час невимушеної розмови з колегами по роботі. До цього я нічого не знав про порт-декодування або SPA. Так сталося, що нашій компанії потрібне було рішення для порт-декодування, і після дослідження та вивчення відповідних матеріалів я виявив fwknop. Концепція fwknop була справді вражаючою — для сервісів, які мають бути доступними лише для обраних, fwknop — чудове рішення. Ми розглядали можливість розробки власного інструменту, але fwknop виявився набагато більш зрілим. Однак fwknop має свої недоліки: він складний, зі стрімкою кривою навчання для встановлення та використання, а також йому бракує спеціального клієнтського додатку. Це призвело до створення PortGuard. Метою PortGuard є підтримка основних протоколів порт-декодування, таких як fwknop і, в майбутньому, tnok, одночасно забезпечуючи кросплатформний клієнт. Створений як розширення fwknop і tnok, PortGuard прагне зробити технологію SPA більш зручною для користувача та доступною.
2. Платформи, що підтримуються клієнтом PortGuard
Наразі PortGuard підтримує такі платформи:
- iOS
- Android
- Windows
- macOS
3. Варіанти використання PortGuard
Основна функція PortGuard полягає в підвищенні безпеки мережі шляхом приховування службових портів (за замовчуванням закриті), і вона підходить для таких сценаріїв:
3.1 Захист служб віддаленого доступу (наприклад, SSH)
Сценарій:Адміністраторам потрібно безпечно отримувати доступ до SSH-сервісів з різних місць (наприклад, з дому, кав'ярні, мобільної мережі), не розкриваючи SSH-порт публічній мережі.
Впровадження: Використовуйте fwknop або tnok, клієнт надсилає пакети даних SPA або TOTP knock, а сервер перевіряє та тимчасово відкриває порт SSH (за замовчуванням 22) після перевірки.
Переваги: Запобігайте виявленню сервісів за допомогою Nmap та інших інструментів сканування портів, зменшуючи ризик використання вразливостей нульового дня.
Приклад: Віддалені члени команди використовують клієнт fwknop для надсилання пакетів даних SPA на пристроях Windows або Android, безпечного доступу до внутрішніх серверів компанії.
3.2 Захист послуг у хмарних середовищах
Сценарій:Доступ до внутрішніх сервісів (наприклад, баз даних, веб-серверів) в AWS, Azure та інших хмарних платформах необхідно здійснювати через загальнодоступну мережу, але необхідно уникати прямого доступу до портів.
Впровадження: PortGuard інтегрується з NAT, щоб дозволити зовнішнім клієнтам отримувати доступ до внутрішніх служб в адресному просторі RFC 1918 через SPA.
Переваги: Підтримує складні мережеві топології, що підходить для гібридної хмари та багатокористувацьких середовищ.
Приклад: Запустіть fwknopd на екземплярах AWS EC2, динамічно відкрийте порт MySQL (3306) для доступу авторизованих користувачів.
3.3 Захист від сканування портів та грубої сили
Сценарій:Сервери стикаються зі скануванням портів (наприклад, Nmap) або атаками методом повного перебору, і їм необхідно приховувати службові порти, щоб зменшити поверхню атаки.
Впровадження: PortGuard підтримує політику брандмауера «відкриття» за замовчуванням, відкриваючи порти лише після отримання дійсних пакетів даних SPA.
Переваги: Навіть якщо є невиправлені вразливості, зловмисники не можуть виявити службові порти.
Приклад: Запобігає перебору SSH, fwknop відкриває порти лише після перевірки HMAC.
3.4 Підтримка захисту кількох сервісів
Сценарій:Підприємствам потрібно захищати кілька сервісів (наприклад, SSH, RDP, VPN, базу даних), але вони не хочуть, щоб усі порти були відкриті постійно.
Впровадження: fwknop підтримує визначення кількох служб та портів у access.conf, а клієнт може вказати цільовий протокол та порт.
Переваги: Гнучке налаштування правил, підтримка налаштованого тайм-ауту та стратегій відкриття портів.
Приклад: Налаштуйте fwknop для захисту як SSH (tcp/22), так і OpenVPN (udp/1194).
3.5 Безпека вбудованих або IoT-пристроїв
Сценарій:Пристрої Інтернету речей або вбудовані системи потребують віддаленого керування, але ресурси пристроїв обмежені та вразливі до атак.
Впровадження: Запускайте легкі fwknopd або tnokd на пристроях з обмеженими ресурсами, контролюйте доступ через SPA або TOTP.
Переваги: Низьке споживання ресурсів, підходить для невеликих пристроїв.
Приклад: Захистіть веб-сервіс, що працює на Raspberry Pi.
3.6 Інтеграція пристроїв сторонніх розробників
Сценарій:Потрібна інтеграція з пристроями, які не підтримують вбудовану функцію fwknop (наприклад, маршрутизатори Cisco), контроль правил брандмауера.
Впровадження: Функція циклу відкриття/закриття команди (command open/close cycle) програми fwknop дозволяє виконувати користувацькі скрипти для динамічної зміни ACL пристроїв сторонніх виробників.
Переваги: Розширюваний, підтримує нестандартні пристрої брандмауера.
Приклад: Запустіть fwknopd на серверах Linux, оновіть ACL маршрутизаторів Cisco через SSH.
3.7 Технічні деталі
- fwknop підтримує визначення тайм-ауту (CMD_CYCLE_TIMER), порт автоматично закривається, зменшуючи час експозиції.
- Можна поєднувати з VPN (наприклад, WireGuard, OpenVPN) для створення безпечної приватної мережі.
- Підтримує розбір заголовків X-Forwarded-For, що підходить для SPA в середовищі HTTP.
4. Наскільки безпечний PortGuard?
Безпека PortGuard в першу чергу залежить від механізму авторизації окремих пакетів (SPA) fwknop, що поєднується з шифруванням, автентифікацією та інтеграцією брандмауера, що забезпечує багаторівневий захист. Нижче наведено детальний аналіз безпеки:
4.1 Шифрування та автентифікація
Шифрування: fwknop підтримує симетричне шифрування Rijndael (AES) або асиметричне шифрування GnuPG, а вміст пакета даних SPA неможливо безпосередньо проаналізувати.
Автентифікація: Використовуйте HMAC-SHA256 (за замовчуванням) або новіші версії для автентифікації пакетів даних, забезпечуючи цілісність даних та довіру до джерела.
Безпека: Запобігання атакам типу «людина посередині» (MITM) та повторному відтворенню, застосування HMAC після шифрування, захист від атак оракула з додаванням CBC (наприклад, атаки Водене).
Обмеження: Симетричне шифрування вимагає спільних ключів клієнта та сервера, неправильне керування ключами може призвести до витоку; режим GnuPG вимагає підтримки кільця ключів,
4.2 Запобігання скануванню портів
Механізм: PortGuard використовує політику брандмауера «відкидання» за замовчуванням, а службовий порт невидимий, коли він не авторизований, тому Nmap та інші інструменти не можуть його виявити.
Безпека: Значно зменшує поверхню атаки, навіть за наявності вразливостей нульового дня зловмисники не можуть знайти сервісний порт.
Обмеження: Якщо пакет даних knock перехоплюється (традиційний port knocking більш схильний до цього), зловмисники можуть спробувати його повторити (SPA вирішив цю проблему за допомогою HMAC).
4.3 Опір грубій силі
Механізм: Пакети даних SPA повинні бути правильно зашифровані та автентифіковані за допомогою HMAC, перебір майже неможливий (пакети даних з невдалим HMAC відкидаються безпосередньо).
Безпека: Порівняно з традиційним перехопленням портів, однопакетна конструкція та механізм шифрування SPA значно покращують здатність протистояти грубій силі.
Обмеження: Помилки конфігурації (наприклад, слабкі ключі або вимкнений HMAC) можуть знизити безпеку.
✨ особливості
Люди ❤️ Fwknop
John
Michael
James
David
Olivia
William