Autorisasjon for enkeltpakker
PortGuard

PortGuard tilbyr robust enkeltpakkeautorisasjonsteknologi for å beskytte nettverket ditt mot uautorisert tilgang, inkludert portskanningstrusler.

Last ned nå, Multi-Platform GUI

Last ned for Windows

fwknopc_2_6_11_x64-setup.exe

Last ned for Macos

fwknopc_2_6_11_x64.pkg

Last ned for Android

fwknopc_2_6_11_x64.apk

Fwknop-server for CentOS7

Filnavn Sist endret MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Merk: Rask installasjon i CentOS 7

1. Hvorfor utviklet jeg PortGuard?

Jeg lærte først om konseptet Single Packet Authorization (SPA) under en uformell samtale med kolleger på jobben. Før det hadde jeg ingen kunnskap om port knocking eller SPA. Det viste seg at bedriften vår trengte en port-knocking-løsning, og etter å ha undersøkt og utforsket relevant materiale, oppdaget jeg fwknop. Konseptet med fwknop var virkelig imponerende – for tjenester som bare trenger å være tilgjengelige for noen få utvalgte, er fwknop en utmerket løsning. Vi vurderte å utvikle vårt eget verktøy, men fwknop var mye mer modent. Imidlertid har fwknop sine ulemper: det er komplekst, med en bratt læringskurve for installasjon og bruk, og det mangler en dedikert klientapplikasjon. Dette førte til opprettelsen av PortGuard. Målet med PortGuard er å støtte vanlige port-knocking-protokoller som fwknop og, i fremtiden, tnok, samtidig som det tilbyr en plattformuavhengig klient. PortGuard er bygget som en utvidelse av fwknop og tnok, og har som mål å gjøre SPA-teknologi mer brukervennlig og tilgjengelig.

2. PortGuard-klientstøttede plattformer

For øyeblikket støtter PortGuard følgende plattformer:

  • iOS
  • Android
  • Windows
  • macOS

3. Brukstilfeller for PortGuard

PortGuards kjernefunksjonalitet er å forbedre nettverkssikkerheten ved å skjule tjenesteporter (standard lukket), og den er egnet for følgende scenarier:

3.1 Beskytt fjerntilgangstjenester (f.eks. SSH)

Scenario:Administratorer må ha sikker tilgang til SSH-tjenester fra forskjellige steder (f.eks. hjemme, kafé, mobilnettverk) uten å eksponere SSH-porten for det offentlige nettverket.

Implementering: Bruk fwknop eller tnok, klienten sender SPA-datapakker eller TOTP-knockpakker, og serveren verifiserer og åpner midlertidig SSH-porten (standard 22) etter verifisering.

Fordeler: Hindre Nmap og andre portskanningsverktøy i å oppdage tjenester, noe som reduserer risikoen for at nulldagssårbarheter utnyttes.

Eksempel: Eksterne teammedlemmer bruker fwknop-klienten til å sende SPA-datapakker på Windows- eller Android-enheter, og få sikker tilgang til selskapets interne servere.

3.2 Tjenestebeskyttelse i skymiljøer

Scenario:Interne tjenester (f.eks. databaser, webservere) i AWS, Azure og andre skyplattformer må nås via det offentlige nettverket, men portene må unngås fra å bli direkte eksponert.

Implementering: PortGuard integreres med NAT for å la eksterne klienter få tilgang til interne tjenester i RFC 1918-adresserommet gjennom SPA.

Fordeler: Støtter komplekse nettverkstopologier, egnet for hybridsky og miljøer med flere leietakere.

Eksempel: Kjør fwknopd på AWS EC2-instanser, åpne MySQL-porten (3306) dynamisk slik at autoriserte brukere kan få tilgang.

3.3 Forsvar mot portskanning og brute force

Scenario:Servere står overfor portskanning (f.eks. Nmap) eller brute-force-angrep, og må skjule tjenesteporter for å redusere angrepsflaten.

Implementering: PortGuard opprettholder standardpolicyen for brannmuroppringing, og åpner kun porter etter å ha mottatt gyldige SPA-datapakker.

Fordeler: Selv om det finnes uoppdaterte sårbarheter, kan ikke angripere oppdage tjenesteporter.

Eksempel: Forhindre SSH brute force, fwknop åpner bare porter etter at HMAC er bekreftet.

3.4 Støtte for beskyttelse av flere tjenester

Scenario:Bedrifter må beskytte flere tjenester (f.eks. SSH, RDP, VPN, database), men ønsker ikke at alle porter skal være åpne hele tiden.

Implementering: fwknop støtter definering av flere tjenester og porter i access.conf, og klienten kan spesifisere målprotokollen og porten.

Fordeler: Fleksibel regelkonfigurasjon, støtte for tilpassede timeout- og portåpningsstrategier.

Eksempel: Konfigurer fwknop til å beskytte både SSH (tcp/22) og OpenVPN (udp/1194).

3.5 Sikkerhet for innebygde enheter eller IoT-enheter

Scenario:IoT-enheter eller innebygde systemer trenger fjernadministrasjon, men enhetsressursene er begrensede og sårbare for angrep.

Implementering: Kjør lettvektsprogrammet fwknopd eller tnokd på ressursbegrensede enheter, kontroller tilgang via SPA eller TOTP.

Fordeler: Lavt ressursforbruk, egnet for små enheter.

Eksempel: Beskytt webtjenesten som kjører på Raspberry Pi.

3.6 Integrering av tredjepartsenheter

Scenario:Trenger å integrere med enheter som ikke støtter native fwknop (f.eks. Cisco-rutere), kontrollere brannmurregler.

Implementering: Funksjonen for å åpne/lukke kommandoen (kommando åpne/lukke syklus) i fwknop lar deg kjøre tilpassede skript for å dynamisk endre tilgangskontrollisten til tredjepartsenheter.

Fordeler: Utvidbar, støtter ikke-standard brannmurenheter.

Eksempel: Kjør fwknopd på Linux-servere, oppdater tilgangskontrollisten til Cisco-rutere via SSH.

3.7 Tekniske detaljer

  • fwknop støtter definering av timeout (CMD_CYCLE_TIMER), portåpning lukkes automatisk, noe som reduserer eksponeringstiden.
  • Kan kombineres med VPN (f.eks. WireGuard, OpenVPN) for å bygge et sikkert privat nettverk.
  • Støtter X-Forwarded-For header-parsing, egnet for SPA i HTTP-miljø.

4. Hvor sikker er PortGuard?

PortGuards sikkerhet er hovedsakelig avhengig av SPA-mekanismen (single-packet authorization) i fwknop, kombinert med kryptering, autentisering og brannmurintegrasjon, noe som gir flerlagsbeskyttelse. Følgende er en detaljert analyse av sikkerheten:

4.1 Kryptering og autentisering

Kryptering: fwknop støtter symmetrisk Rijndael (AES)-kryptering eller asymmetrisk GnuPG-kryptering, og innholdet i SPA-datapakken kan ikke analyseres direkte.

Autentisering: Bruk HMAC-SHA256 (standard) eller nyere versjoner for autentisering av datapakker, og sørg for dataintegritet og kildetillit.

Sikkerhet: Forhindre MITM- og replay-angrep (man-in-the-middle), HMAC brukes etter kryptering, motstå CBC-modus padding-oracle-angrep (f.eks. Vaudenay-angrep).

Begrensninger: Symmetrisk kryptering krever delte nøkler fra klient og server, feil nøkkelhåndtering kan føre til lekkasje; GnuPG-modus krever vedlikehold av nøkkelringer,

4.2 Forhindre portskanning

Mekanisme: PortGuard bruker standardpolicyen for å fjerne brannmuren, og tjenesteporten er usynlig når den ikke er autorisert, så Nmap og andre verktøy kan ikke oppdage den.

Sikkerhet: Reduserer angrepsflaten betydelig, selv om det finnes nulldagssårbarheter, kan ikke angripere finne tjenesteporten.

Begrensninger: Hvis knock-datapakken blir sniffet (tradisjonell port knocking er mer utsatt for dette), kan angripere forsøke å spille av på nytt (SPA har løst dette problemet gjennom HMAC).

4.3 Motstå rå makt

Mekanisme: SPA-datapakker må krypteres riktig og HMAC-autentiseres. Brute force er nesten umulig (datapakker med mislykket HMAC kastes direkte).

Sikkerhet: Sammenlignet med tradisjonell port knocking, forbedrer SPAs enkeltpakkedesign og krypteringsmekanisme evnen til å motstå brute force betydelig.

Begrensninger: Konfigurasjonsfeil (f.eks. svake nøkler eller deaktivert HMAC) kan redusere sikkerheten.

✨ Funksjoner

Robuste sikkerhetsfunksjoner
🔓 Robuste sikkerhetsfunksjoner
Toppmoderne krypteringsteknologi
PortGuard bruker avansert krypteringsteknologi for å sikre datasikkerhet, gir robust beskyttelse mot uautorisert tilgang og sikrer konfidensialiteten til dataene dine.
Systempålitelighet
📈 Systempålitelighet
Uovertruffen stabilitet
PortGuard er grundig testet og kjører stabilt i ulike miljøer, og sikrer høy tilgjengelighet og pålitelighet for kritiske applikasjoner.
Kompatibilitet på tvers av plattformer
💻 Kompatibilitet på tvers av plattformer
Sømløs støtte for flere plattformer
Støtter Windows, macOS, Linux og mer, noe som tillater sømløs integrering i forskjellige IT-miljøer og serverer et bredt spekter av brukere.
Fleksibilitet med åpen kildekode
🔓 Fleksibilitet med åpen kildekode
Styrk sikkerheten din med åpen kildekode
PortGuard er åpen kildekode og støtter privat distribusjon, noe som gir brukere full kontroll over sikkerhetsinfrastrukturen deres og muligheten til å tilpasse den til deres behov.

Folk ❤️ Fwknop

User Comment

John

Port Knocking Security
PortGuards portbankemekanisme har forbedret nettverkssikkerheten vår betydelig. Ved å dynamisk åpne porter kun for autentiserte klienter, har vi effektivt eliminert risikoen for portskanning og brute-force-angrep, noe som gjør det nesten umulig for angripere å oppdage tjenestene våre ved å bruke verktøy som portskannere.
User Comment

Michael

Nmap beskyttelse
Å sette opp PortGuard var overraskende enkelt. Dokumentasjonen er oversiktlig, og konfigurasjonsfilene er godt organisert. Jeg var i stand til å integrere den i vår eksisterende infrastruktur uten store problemer. Det fungerer sømløst med brannmuren vår (iptables), og læringskurven var minimal. Nå er vi beskyttet mot Nmap-skanninger og andre portskanneverktøy.
User Comment

James

Forebygging av portskanning
En av de beste funksjonene til PortGuard er hvordan den forhindrer portskanning. Ved å stenge alle porter og bare åpne dem midlertidig etter at en gyldig SPA-pakke er mottatt, eliminerer det risikoen for portskanning og brute-force-angrep. Det er en spillveksler for å sikre SSH og andre kritiske tjenester fra portskannere og andre portskanneverktøy.
User Comment

David

Sikker fjerntilgang
PortGuard har gjort ekstern tilgang til serverne våre mye sikrere. I stedet for å eksponere SSH for internett, bruker vi nå SPA for å gi tilgang kun når det er nødvendig. Den er perfekt for våre eksterne teammedlemmer som trenger å koble til sikkert fra forskjellige steder, uten å bekymre deg for Nmap-skanninger eller andre portskanningstrusler.
User Comment

Olivia

Tilpassbar sikkerhet
Fleksibiliteten til PortGuard er imponerende. Vi kan konfigurere den til å fungere med flere tjenester, ikke bare SSH. Muligheten til å definere egendefinerte regler og tidsavbrudd for portåpninger gjør den tilpasset våre spesifikke brukstilfeller. Det er en svært tilpassbar løsning som hjelper oss å ligge i forkant av portskanningstrusler som Nmap.
User Comment

William

Pålitelig sikkerhet
PortGuard har vært en game-changer for nettverkssikkerheten vår. Med integrasjonen av WireGuard VPN og OpenVPN har vi vært i stand til å lage et privat nettverk som sikrer at dataene våre forblir sikre og beskyttet mot nysgjerrige øyne. Påliteligheten til dette oppsettet gir oss fullstendig trygghet, vel vitende om at dataene våre er sikret mot uautorisert tilgang.
Last ned nå

Telegram

PortGuard-opplæring

Copyright 2025 PortGuard. All rights reserved.