Single Packet ခွင့်ပြုချက်
PortGuard
PortGuard သည် port scanning ခြိမ်းခြောက်မှုများအပါအဝင် သင့်ကွန်ရက်ကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ ကာကွယ်ရန် ခိုင်မာသော single packet ခွင့်ပြုချက်နည်းပညာကို ပေးပါသည်။
ယခုဒေါင်းလုဒ်လုပ်ပါ၊ Multi-Platform GUI
Multi-Platform GUI
Windows အတွက် ဒေါင်းလုဒ်လုပ်ပါ။
fwknopc_2_6_11_x64-setup.exe
Macos အတွက်ဒေါင်းလုဒ်လုပ်ပါ။
fwknopc_2_6_11_x64.pkg
Android အတွက် ဒေါင်းလုဒ်လုပ်ပါ။
fwknopc_2_6_11_x64.apk
CentOS7 အတွက် Fwknop ဆာဗာ
| ဖိုင်နာမည် | နောက်ဆုံးပြင်ဆင်ထားသည်။ | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. ငါ ဘာကြောင့် PortGuard ကို တီထွင်ခဲ့တာလဲ။
လုပ်ငန်းခွင်ရှိ လုပ်ဖော်ကိုင်ဖက်များနှင့် ပေါ့ပေါ့ပါးပါး စကားစမြည်ပြောနေစဉ် Single Packet Authorization (SPA) ၏ သဘောတရားကို ကျွန်ုပ် ပထမဆုံး သိရှိခဲ့ပါသည်။ အဲဒီမတိုင်ခင်က ကျွန်တော် port knocking ဒါမှမဟုတ် SPA နဲ့ ပတ်သက်ပြီး မသိခဲ့ပါဘူး။ ကျွန်ုပ်တို့၏ကုမ္ပဏီသည် port-knocking ဖြေရှင်းချက်လိုအပ်ပြီး သက်ဆိုင်ရာပစ္စည်းများကို ရှာဖွေလေ့လာပြီးနောက်တွင် fwknop ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ fwknop ၏ သဘောတရားသည် အမှန်တကယ် အထင်ကြီးစရာကောင်းသည်—ရွေးချယ်သူ အနည်းငယ်သာ ရရှိနိုင်သော ဝန်ဆောင်မှုများအတွက်၊ fwknop သည် အကောင်းဆုံးဖြေရှင်းချက်တစ်ခုဖြစ်သည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ကိရိယာကို တီထွင်ထုတ်လုပ်ရန် စဉ်းစားခဲ့ကြသော်လည်း fwknop သည် ပိုမိုရင့်ကျက်လာခဲ့သည်။ သို့သော်၊ fwknop တွင် ၎င်း၏အားနည်းချက်များ ရှိသည်- ၎င်းသည် ရှုပ်ထွေးနက်နဲသော သင်ယူမှုမျဉ်းနှင့်အတူ ရှုပ်ထွေးပြီး သီးသန့်အသုံးပြုသူ အပလီကေးရှင်းမရှိ၍ ၎င်းသည် PortGuard ၏ ဖန်တီးမှုကို ဖြစ်စေသည်။ PortGuard ၏ရည်မှန်းချက်မှာ fwknop ကဲ့သို့ပင်မရေစီးကြောင်း port-knocking protocol များကိုပံ့ပိုးရန်နှင့်၊ အနာဂတ်တွင်၊ tnok၊ cross-platform client ကိုပေးဆောင်နေစဉ်။ fwknop နှင့် tnok ၏ တိုးချဲ့မှုအဖြစ် တည်ဆောက်ထားသော PortGuard သည် SPA နည်းပညာကို အသုံးပြုသူနှင့် ပိုမိုအဆင်ပြေစေရန် ရည်ရွယ်ပါသည်။
2. PortGuard Client ပံ့ပိုးထားသော ပလပ်ဖောင်းများ
လက်ရှိတွင်၊ PortGuard သည် အောက်ပါပလပ်ဖောင်းများကို ပံ့ပိုးပေးသည်-
- iOS
- Android
- Windows
- macOS
3. PortGuard အသုံးပြုမှုကိစ္စများ
PortGuard ၏ အဓိကလုပ်ဆောင်နိုင်စွမ်းမှာ ဝန်ဆောင်မှုဆိပ်ကမ်းများ (ပုံသေပိတ်ထားသည်) ကို ဝှက်ထားခြင်းဖြင့် ကွန်ရက်လုံခြုံရေးကို မြှင့်တင်ရန်နှင့် ၎င်းသည် အောက်ပါအခြေအနေများအတွက် သင့်လျော်သည်-
3.1 အဝေးမှဝင်ရောက်ခြင်းဝန်ဆောင်မှုများကိုကာကွယ်ပါ (ဥပမာ SSH)
ဇာတ်လမ်း- စီမံခန့်ခွဲသူများသည် SSH ဆိပ်ကမ်းကို အများသူငှာကွန်ရက်သို့ မဖော်ပြဘဲ မတူညီသောနေရာများမှ SSH ဝန်ဆောင်မှုများကို လုံခြုံစွာဝင်ရောက်အသုံးပြုရန် လိုအပ်ပါသည်။
အကောင်အထည်ဖော်ခြင်း- fwknop သို့မဟုတ် tnok ကိုသုံးပါ၊ ကလိုင်းယင့်သည် SPA ဒေတာပက်ကတ်များ သို့မဟုတ် TOTP ခေါက်အိတ်များကို ပေးပို့ပြီး ဆာဗာသည် အတည်ပြုပြီးနောက် SSH ပို့တ် (မူလ 22) ကို အတည်ပြုပြီး ယာယီဖွင့်ပါသည်။
အားသာချက်များ Nmap နှင့် အခြားသော ဆိပ်ကမ်းစကင်ဖတ်စစ်ဆေးခြင်းကိရိယာများသည် ဝန်ဆောင်မှုများကို ရှာဖွေတွေ့ရှိခြင်းမှ တားဆီးကာ သုည-ရက်ပတ်လုံး အားနည်းချက်များကို အသုံးချခံရခြင်းအန္တရာယ်ကို လျှော့ချပါ။
ဥပမာ- အဝေးထိန်းအဖွဲ့သားများသည် Windows သို့မဟုတ် Android စက်များတွင် SPA ဒေတာပက်ကတ်များကို ပေးပို့ရန်၊ ကုမ္ပဏီအတွင်းပိုင်းဆာဗာများကို လုံခြုံစွာဝင်ရောက်ကြည့်ရှုရန် fwknop client ကိုအသုံးပြုသည်။
3.2 Cloud ပတ်ဝန်းကျင်တွင် ဝန်ဆောင်မှုကာကွယ်ရေး
ဇာတ်လမ်း- AWS၊ Azure နှင့် အခြားသော cloud ပလပ်ဖောင်းများရှိ အတွင်းပိုင်းဝန်ဆောင်မှုများ (ဥပမာ၊ ဒေတာဘေ့စ်များ၊ ဝဘ်ဆာဗာများ) ကို အများသူငှာ ကွန်ရက်မှတစ်ဆင့် ဝင်ရောက်ကြည့်ရှုရန် လိုအပ်သော်လည်း ဆိပ်ကမ်းများကို တိုက်ရိုက်ထိတွေ့ခြင်းမှ ရှောင်ရှားရန် လိုအပ်ပါသည်။
အကောင်အထည်ဖော်ခြင်း- PortGuard သည် SPA မှတစ်ဆင့် RFC 1918 လိပ်စာနေရာရှိ အတွင်းပိုင်းဝန်ဆောင်မှုများကို ပြင်ပဖောက်သည်များအား ဝင်ရောက်ကြည့်ရှုခွင့်ပြုရန် NAT နှင့် ပေါင်းစပ်ထားသည်။
အားသာချက်များ ပေါင်းစပ် cloud နှင့် multi-tenant ပတ်ဝန်းကျင်များအတွက် သင့်လျော်သော ရှုပ်ထွေးသော ကွန်ရက် topologies များကို ပံ့ပိုးပေးသည်။
ဥပမာ- AWS EC2 instances များတွင် fwknopd ကို run ကာ ခွင့်ပြုချက်ရအသုံးပြုသူများ ဝင်ရောက်ကြည့်ရှုရန်အတွက် MySQL port (3306) ကို ဒိုင်းနမစ်ဖြင့်ဖွင့်ပါ။
3.3 Port Scanning နှင့် Brute Force ကိုခုခံကာကွယ်ပါ။
ဇာတ်လမ်း- ဆာဗာများသည် ဆိပ်ကမ်းစကင်န်ဖတ်ခြင်း (ဥပမာ၊ Nmap) သို့မဟုတ် ရိုင်းစိုင်းသော တိုက်ခိုက်မှုများကို ရင်ဆိုင်ရပြီး တိုက်ခိုက်မှုမျက်နှာပြင်ကို လျှော့ချရန် ဝန်ဆောင်မှုဆိပ်ကမ်းများကို ဝှက်ထားရန် လိုအပ်သည်။
အကောင်အထည်ဖော်ခြင်း- PortGuard သည် ခိုင်လုံသော SPA ဒေတာပက်ကေ့ဂျ်များကို လက်ခံရရှိပြီးနောက် ဆိပ်ကမ်းများကိုသာ ဖွင့်လှစ်သည့် default drop firewall မူဝါဒကို ထိန်းသိမ်းထားသည်။
အားသာချက်များ မပြင်ဆင်ရသေးသော အားနည်းချက်များရှိလျှင်ပင် တိုက်ခိုက်သူများသည် ဝန်ဆောင်မှုဆိပ်ကမ်းများကို ရှာဖွေတွေ့ရှိနိုင်မည်မဟုတ်ပေ။
ဥပမာ- SSH brute force ကိုတားဆီးပါ၊ fwknop သည် HMAC ကိုစစ်ဆေးပြီးနောက် port များကိုသာဖွင့်သည်။
3.4 ဝန်ဆောင်မှုများစွာကို ပံ့ပိုးပေးသည်။
ဇာတ်လမ်း- လုပ်ငန်းများသည် ဝန်ဆောင်မှုများစွာ (ဥပမာ၊ SSH၊ RDP၊ VPN၊ ဒေတာဘေ့စ်) ကို ကာကွယ်ရန် လိုအပ်သော်လည်း ဆိပ်ကမ်းအားလုံးကို တစ်ချိန်လုံး ဖွင့်မထားချင်ပါ။
အကောင်အထည်ဖော်ခြင်း- fwknop သည် access.conf တွင် ဝန်ဆောင်မှုများစွာနှင့် ဆိပ်ကမ်းများကို သတ်မှတ်ခြင်းကို ပံ့ပိုးပေးပြီး သုံးစွဲသူသည် ပစ်မှတ်ပရိုတိုကောနှင့် ဆိပ်ကမ်းကို သတ်မှတ်နိုင်သည်။
အားသာချက်များ လိုက်လျောညီထွေရှိသော စည်းမျဉ်းဖွဲ့စည်းမှုပုံစံ၊ စိတ်ကြိုက်အချိန်ကုန်ခြင်းနှင့် ဆိပ်ကမ်းဖွင့်နည်းဗျူဟာများကို ပံ့ပိုးပါ။
ဥပမာ- SSH (tcp/22) နှင့် OpenVPN (udp/1194) နှစ်ခုလုံးကို ကာကွယ်ရန် fwknop ကို စီစဉ်သတ်မှတ်ပါ။
3.5 Embedded သို့မဟုတ် IoT စက်ပစ္စည်းလုံခြုံရေး
ဇာတ်လမ်း- IoT စက်ပစ္စည်းများ သို့မဟုတ် မြှုပ်သွင်းထားသော စနစ်များသည် အဝေးထိန်းစနစ်ဖြင့် စီမံခန့်ခွဲရန် လိုအပ်သော်လည်း စက်ပစ္စည်းအရင်းအမြစ်များသည် အကန့်အသတ်ရှိပြီး တိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိသည်။
အကောင်အထည်ဖော်ခြင်း- ပေါ့ပါးသော fwknopd သို့မဟုတ် tnokd ကို အရင်းအမြစ်-ကန့်သတ်ထားသော စက်များတွင် လုပ်ဆောင်ပါ၊ SPA သို့မဟုတ် TOTP မှတဆင့် ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်ပါ။
အားသာချက်များ အရင်းအမြစ်သုံးစွဲမှုနည်းသော၊ အသေးစားစက်ပစ္စည်းများအတွက် သင့်လျော်သည်။
ဥပမာ- Raspberry Pi တွင် လုပ်ဆောင်နေသော ဝဘ်ဝန်ဆောင်မှုကို ကာကွယ်ပါ။
3.6 Third-Party Device ပေါင်းစည်းခြင်း။
ဇာတ်လမ်း- မူရင်း fwknop (ဥပမာ၊ Cisco routers)၊ firewall စည်းမျဉ်းများကို ထိန်းချုပ်သည့် စက်များနှင့် ပေါင်းစည်းရန် လိုအပ်သည်။
အကောင်အထည်ဖော်ခြင်း- fwknop ၏ command open/close cycle (command open/close cycle) အင်္ဂါရပ်သည် ပြင်ပကုမ္ပဏီစက်ပစ္စည်းများ၏ ACL ကို dynamically မွမ်းမံရန် စိတ်ကြိုက် script များကို executing လုပ်ခွင့်ပြုသည်။
အားသာချက်များ တိုးချဲ့နိုင်သော၊ ပုံမှန်မဟုတ်သော firewall ကိရိယာများကို ပံ့ပိုးပါ။
ဥပမာ- Linux ဆာဗာများတွင် fwknopd ကိုဖွင့်ပြီး SSH မှတစ်ဆင့် Cisco router များ၏ ACL ကို အပ်ဒိတ်လုပ်ပါ။
3.7 နည်းပညာဆိုင်ရာအသေးစိတ်
- fwknop သည် အချိန်ကုန်ကြောင်းသတ်မှတ်ခြင်း (CMD_CYCLE_TIMER)၊ ဆိပ်ကမ်းအဖွင့်အလိုလိုပိတ်ပြီး ထိတွေ့ချိန်ကို လျှော့ချပေးသည်။
- လုံခြုံသောသီးသန့်ကွန်ရက်တစ်ခုတည်ဆောက်ရန် VPN (ဥပမာ၊ WireGuard၊ OpenVPN) နှင့် ပေါင်းစပ်နိုင်သည်။
- HTTP ပတ်ဝန်းကျင်ရှိ SPA အတွက် သင့်လျော်သော X-Forwarded-For header ခွဲခြမ်းစိတ်ဖြာမှုကို ပံ့ပိုးပေးသည်။
4. PortGuard သည် မည်မျှ လုံခြုံသနည်း။
PortGuard ၏လုံခြုံရေးသည် fwknop ၏ single-packet ခွင့်ပြုချက် (SPA) ယန္တရားပေါ်တွင် အဓိကမူတည်ပြီး၊ ကုဒ်ဝှက်ခြင်း၊ စစ်မှန်ကြောင်းသက်သေပြခြင်းနှင့် firewall ပေါင်းစည်းခြင်းတို့ဖြင့် အလွှာပေါင်းစုံကာကွယ်မှုပေးသည်။ အောက်ပါတို့သည် လုံခြုံရေးဆိုင်ရာ အသေးစိတ်ခွဲခြမ်းစိတ်ဖြာချက်ဖြစ်သည်-
4.1 ကုဒ်ဝှက်ခြင်းနှင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း။
ကုဒ်ဝှက်ခြင်း- fwknop သည် Rijndael (AES) symmetric encryption သို့မဟုတ် GnuPG asymmetric encryption ကို ပံ့ပိုးပေးပြီး SPA data packet အကြောင်းအရာကို တိုက်ရိုက်ခွဲခြမ်းစိတ်ဖြာ၍မရပါ။
အထောက်အထားပြခြင်း- ဒေတာခိုင်လုံမှုနှင့် အရင်းအမြစ်ယုံကြည်မှုကို သေချာစေရန် HMAC-SHA256 (မူလ) သို့မဟုတ် ပိုမိုမြင့်မားသောဗားရှင်းများကို အသုံးပြုပါ။
လုံခြုံရေး- အလယ်အလတ်တန်းစား (MITM) နှင့် ပြန်လည်ပြသသည့် တိုက်ခိုက်မှုများကို တားဆီးပါ၊ HMAC သည် ကုဒ်ဝှက်ခြင်းပြီးနောက်၊ CBC မုဒ် padding oracle တိုက်ခိုက်မှုများကို ခုခံခြင်း (ဥပမာ၊ Vaudenay တိုက်ခိုက်မှု) ကို တွန်းလှန်ပါသည်။
ကန့်သတ်ချက်များ- Symmetric encryption သည် client နှင့် server shared keys လိုအပ်သည်၊ မသင့်လျော်သောသော့စီမံခန့်ခွဲမှုသည် ယိုစိမ့်မှုဆီသို့ ဦးတည်သွားနိုင်သည်။ GnuPG မုဒ်သည် သော့ကွင်းများကို ထိန်းသိမ်းရန် လိုအပ်သည်၊
4.2 ဆိပ်ကမ်းစကင်န်ဖတ်ခြင်းကို တားဆီးပါ။
ယန္တရား- PortGuard သည် default drop firewall မူဝါဒကို အသုံးပြုပြီး ခွင့်ပြုချက်မရသောအခါ ဝန်ဆောင်မှုဆိပ်ကမ်းကို မမြင်နိုင်သောကြောင့် Nmap နှင့် အခြားကိရိယာများက ၎င်းကို မတွေ့နိုင်ပါ။
လုံခြုံရေး- Zero-day Vulnerabilities များရှိနေသော်လည်း တိုက်ခိုက်သူများသည် ဝန်ဆောင်မှုဆိပ်ကမ်းကို ရှာဖွေ၍မရပါ။
ကန့်သတ်ချက်များ- ခေါက်ဒေတာပက်ကေ့ကို အနံ့ခံလိုက်လျှင် (ရိုးရာ port ခေါက်ခြင်းသည် ပို၍ ခံစားရနိုင်သည်)၊ တိုက်ခိုက်သူများသည် ပြန်လည်ကစားရန် ကြိုးပမ်းနိုင်သည် (SPA သည် ဤပြဿနာကို HMAC မှတဆင့် ဖြေရှင်းပေးသည်)။
4.3 Brute Force ကိုတွန်းလှန်ပါ။
ယန္တရား- SPA ဒေတာပက်ကေ့ဂျ်များကို မှန်ကန်စွာ ကုဒ်ဝှက်ထားရန် လိုအပ်ပြီး HMAC စစ်မှန်ကြောင်း သက်သေပြထားသောကြောင့် brute force သည် မဖြစ်နိုင်လုနီးပါးဖြစ်သည် (မအောင်မြင်သော HMAC ဒေတာပက်ကေ့ခ်ျများကို တိုက်ရိုက် စွန့်ပစ်ထားသည်)။
လုံခြုံရေး- သမားရိုးကျ ဆိပ်ကမ်းခေါက်ခြင်းနှင့် နှိုင်းယှဉ်ပါက SPA ၏ single-packet ဒီဇိုင်းနှင့် ကုဒ်ဝှက်ခြင်း ယန္တရားသည် brute force ကို ခုခံနိုင်စွမ်းကို သိသိသာသာ တိုးတက်စေသည်။
ကန့်သတ်ချက်များ- စီစဉ်သတ်မှတ်မှုအမှားများ (ဥပမာ၊ အားနည်းသောသော့များ သို့မဟုတ် HMAC ပိတ်ထားသည်) သည် လုံခြုံရေးကို လျှော့ချနိုင်သည်။
✨ အင်္ဂါရပ်များ
လူတွေ ❤️ Fwknop
John
Michael
James
David
Olivia
William