Autorização de Pacote Único
PortGuard

O PortGuard oferece tecnologia robusta de autorização de pacote único para proteger sua rede contra acesso não autorizado, incluindo ameaças de varredura de portas.

Baixe agora, GUI multiplataforma

Baixar para Windows

fwknopc_2_6_11_x64-setup.exe

Baixar para Macos

fwknopc_2_6_11_x64.pkg

Baixar para Android

fwknopc_2_6_11_x64.apk

Servidor Fwknop para CentOS7

Nome do arquivo Última modificação MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Nota: Instalação rápida no CentOS 7

1. Por que desenvolvi o PortGuard?

Conheci o conceito de Autorização Única de Pacote (SPA) durante uma conversa informal com colegas de trabalho. Antes disso, eu não tinha conhecimento de port knocking ou SPA. Acontece que nossa empresa precisava de uma solução para port knocking e, depois de pesquisar e explorar materiais relevantes, descobri o fwknop. O conceito do fwknop era realmente impressionante — para serviços que precisam ser acessíveis apenas a um grupo seleto, o fwknop é uma excelente solução. Consideramos desenvolver nossa própria ferramenta, mas o fwknop era muito mais maduro. No entanto, o fwknop tem suas desvantagens: é complexo, com uma curva de aprendizado acentuada para instalação e uso, e não possui um aplicativo cliente dedicado. Isso levou à criação do PortGuard. O objetivo do PortGuard é oferecer suporte a protocolos tradicionais de port knocking, como o fwknop e, no futuro, o tnok, além de fornecer um cliente multiplataforma. Desenvolvido como uma extensão do fwknop e do tnok, o PortGuard visa tornar a tecnologia SPA mais amigável e acessível.

2. Plataformas suportadas pelo cliente PortGuard

Atualmente, o PortGuard suporta as seguintes plataformas:

  • iOS
  • Android
  • Windows
  • macOS

3. Casos de uso do PortGuard

A principal funcionalidade do PortGuard é aumentar a segurança da rede ocultando portas de serviço (fechadas por padrão) e é adequado para os seguintes cenários:

3.1 Proteger serviços de acesso remoto (por exemplo, SSH)

Cenário:Os administradores precisam acessar com segurança os serviços SSH de diferentes locais (por exemplo, casa, cafeteria, rede móvel) sem expor a porta SSH à rede pública.

Implementação: Use fwknop ou tnok, o cliente envia pacotes de dados SPA ou pacotes TOTP knock, e o servidor verifica e abre temporariamente a porta SSH (padrão 22) após a verificação.

Vantagens: Evite que o Nmap e outras ferramentas de varredura de portas descubram serviços, reduzindo o risco de exploração de vulnerabilidades de dia zero.

Exemplo: Membros da equipe remota usam o cliente fwknop para enviar pacotes de dados SPA em dispositivos Windows ou Android e acessar com segurança os servidores internos da empresa.

3.2 Proteção de serviços em ambientes de nuvem

Cenário:Serviços internos (por exemplo, bancos de dados, servidores web) na AWS, Azure e outras plataformas de nuvem precisam ser acessados por meio da rede pública, mas é preciso evitar que as portas sejam expostas diretamente.

Implementação: O PortGuard integra-se ao NAT para permitir que clientes externos acessem serviços internos no espaço de endereços RFC 1918 por meio do SPA.

Vantagens: Suporta topologias de rede complexas, adequadas para ambientes de nuvem híbrida e multilocatários.

Exemplo: Execute fwknopd em instâncias AWS EC2, abra dinamicamente a porta MySQL (3306) para acesso de usuários autorizados.

3.3 Defenda-se contra varredura de portas e força bruta

Cenário:Os servidores enfrentam varreduras de portas (por exemplo, Nmap) ou ataques de força bruta e precisam ocultar portas de serviço para reduzir a superfície de ataque.

Implementação: O PortGuard mantém a política de firewall padrão, abrindo portas somente após receber pacotes de dados SPA válidos.

Vantagens: Mesmo que haja vulnerabilidades não corrigidas, os invasores não conseguem descobrir portas de serviço.

Exemplo: Evita força bruta do SSH, o fwknop só abre portas após verificar o HMAC.

3.4 Suporte à proteção de múltiplos serviços

Cenário:As empresas precisam proteger vários serviços (por exemplo, SSH, RDP, VPN, banco de dados), mas não querem que todas as portas estejam abertas o tempo todo.

Implementação: O fwknop suporta a definição de múltiplos serviços e portas em access.conf, e o cliente pode especificar o protocolo e a porta de destino.

Vantagens: Configuração de regras flexível, suporte a estratégias personalizadas de tempo limite e porta aberta.

Exemplo: Configure o fwknop para proteger SSH (tcp/22) e OpenVPN (udp/1194).

3.5 Segurança de dispositivos IoT ou incorporados

Cenário:Dispositivos de IoT ou sistemas embarcados precisam de gerenciamento remoto, mas os recursos do dispositivo são limitados e vulneráveis a ataques.

Implementação: Execute fwknopd ou tnokd leves em dispositivos com recursos limitados e controle o acesso por meio de SPA ou TOTP.

Vantagens: Baixo consumo de recursos, adequado para dispositivos pequenos.

Exemplo: Proteja o serviço Web em execução no Raspberry Pi.

3.6 Integração de dispositivos de terceiros

Cenário:Precisa integrar com dispositivos que não suportam fwknop nativo (por exemplo, roteadores Cisco) e controlar regras de firewall.

Implementação: O recurso de ciclo de comando abrir/fechar (ciclo de comando abrir/fechar) do fwknop permite executar scripts personalizados para modificar dinamicamente a ACL de dispositivos de terceiros.

Vantagens: Extensível, suporta dispositivos de firewall não padrão.

Exemplo: Execute fwknopd em servidores Linux, atualize a ACL dos roteadores Cisco via SSH.

3.7 Detalhes técnicos

  • fwknop suporta definição de tempo limite (CMD_CYCLE_TIMER), porta aberta fechada automaticamente, reduzindo o tempo de exposição.
  • Pode ser combinado com VPN (por exemplo, WireGuard, OpenVPN) para construir uma rede privada segura.
  • Suporta análise de cabeçalho X-Forwarded-For, adequado para SPA em ambiente HTTP.

4. Quão seguro é o PortGuard?

A segurança do PortGuard depende principalmente do mecanismo de autorização de pacote único (SPA) do fwknop, combinado com criptografia, autenticação e integração de firewall, proporcionando proteção em várias camadas. A seguir, uma análise detalhada da segurança:

4.1 Criptografia e Autenticação

Criptografia: fwknop suporta criptografia simétrica Rijndael (AES) ou criptografia assimétrica GnuPG, e o conteúdo do pacote de dados SPA não pode ser analisado diretamente.

Autenticação: Use HMAC-SHA256 (padrão) ou versões superiores para autenticação de pacotes de dados, garantindo a integridade dos dados e a confiança na origem.

Segurança: Previne ataques do tipo man-in-the-middle (MITM) e de repetição, HMAC aplicado após a criptografia, resistindo a ataques de oráculo de preenchimento do modo CBC (por exemplo, ataques de Vaudenay).

Limitações: A criptografia simétrica requer chaves compartilhadas entre cliente e servidor, o gerenciamento inadequado de chaves pode levar a vazamentos; o modo GnuPG requer a manutenção de conjuntos de chaves,

4.2 Impedir a varredura de portas

Mecanismo: O PortGuard usa a política de firewall padrão, e a porta de serviço fica invisível quando não autorizada, então o Nmap e outras ferramentas não conseguem detectá-la.

Segurança: Reduz significativamente a superfície de ataque, mesmo se houver vulnerabilidades de dia zero, os invasores não conseguem localizar a porta de serviço.

Limitações: Se o pacote de dados de knock for detectado (o port knocking tradicional é mais suscetível a isso), os invasores podem tentar reproduzi-lo (o SPA resolveu esse problema por meio do HMAC).

4.3 Resistir à Força Bruta

Mecanismo: Os pacotes de dados do SPA precisam ser criptografados corretamente e autenticados pelo HMAC; a força bruta é quase impossível (pacotes de dados com falha no HMAC são descartados diretamente).

Segurança: Comparado ao port knocking tradicional, o design de pacote único e o mecanismo de criptografia do SPA melhoram significativamente a capacidade de resistir à força bruta.

Limitações: Erros de configuração (por exemplo, chaves fracas ou HMAC desabilitado) podem reduzir a segurança.

✨ Características

Recursos de segurança robustos
🔓 Recursos de segurança robustos
Tecnologia de criptografia de última geração
A PortGuard usa tecnologia de criptografia avançada para garantir a segurança dos dados, fornecendo proteção robusta contra acesso não autorizado e garantindo a confidencialidade dos seus dados.
Confiabilidade do sistema
📈 Confiabilidade do sistema
Estabilidade incomparável
Rigorosamente testado, o PortGuard funciona de forma estável em vários ambientes, garantindo alta disponibilidade e confiabilidade para aplicações críticas.
Compatibilidade entre plataformas
💻 Compatibilidade entre plataformas
Suporte multiplataforma contínuo
Suporta Windows, macOS, Linux e muito mais, permitindo integração perfeita em diversos ambientes de TI e atendendo a uma ampla gama de usuários.
Flexibilidade de código aberto
🔓 Flexibilidade de código aberto
Fortaleça sua segurança com código aberto
O PortGuard é de código aberto e suporta implantação privada, dando aos usuários controle total sobre sua infraestrutura de segurança e a capacidade de personalizá-la de acordo com suas necessidades.

Pessoas ❤️ Fwknop

User Comment

John

Segurança de batidas na porta
O mecanismo de port knocking do PortGuard melhorou significativamente a segurança da nossa rede. Ao abrir portas dinamicamente apenas para clientes autenticados, eliminamos efetivamente o risco de varredura de portas e ataques de força bruta, tornando quase impossível para invasores detectarem nossos serviços usando ferramentas como scanners de portas.
User Comment

Michael

Proteção Nmap
Configurar o PortGuard foi surpreendentemente simples. A documentação é clara e os arquivos de configuração estão bem organizados. Consegui integrá-lo à nossa infraestrutura existente sem grandes problemas. Ele funciona perfeitamente com nosso firewall (iptables) e a curva de aprendizado foi mínima. Agora, estamos protegidos contra varreduras do Nmap e outras ferramentas de varredura de portas.
User Comment

James

Prevenção de varredura de porta
Um dos melhores recursos do PortGuard é a prevenção de varreduras de portas. Ao fechar todas as portas e abri-las apenas temporariamente após o recebimento de um pacote SPA válido, ele elimina o risco de varreduras de portas e ataques de força bruta. É um divisor de águas para proteger o SSH e outros serviços críticos contra varreduras de portas e outras ferramentas de varredura de portas.
User Comment

David

Acesso remoto seguro
O PortGuard tornou o acesso remoto aos nossos servidores muito mais seguro. Em vez de expor o SSH à internet, agora usamos o SPA para conceder acesso somente quando necessário. É perfeito para os membros da nossa equipe remota que precisam se conectar com segurança de diferentes locais, sem se preocupar com varreduras do Nmap ou outras ameaças de varredura de portas.
User Comment

Olivia

Segurança personalizável
A flexibilidade do PortGuard é impressionante. Podemos configurá-lo para funcionar com vários serviços, não apenas com SSH. A capacidade de definir regras e tempos limite personalizados para abertura de portas o torna adaptável aos nossos casos de uso específicos. É uma solução altamente personalizável que nos ajuda a ficar à frente de ameaças de varredura de portas como o Nmap.
User Comment

William

Segurança Confiável
O PortGuard mudou completamente a segurança da nossa rede. Com a integração do WireGuard VPN e do OpenVPN, conseguimos criar uma rede privada que garante a segurança dos nossos dados e a proteção contra olhares indiscretos. A confiabilidade dessa configuração nos dá total tranquilidade, pois sabemos que nossos dados estão protegidos contra acesso não autorizado.
Baixe agora

Telegram

Tutorial do PortGuard

Copyright 2025 PortGuard. All rights reserved.