Autorização de Pacote Único
PortGuard

O PortGuard oferece uma tecnologia robusta de autorização de pacote único para proteger a sua rede contra acesso não autorizado, incluindo ameaças de varrimento de portas.

Descarregue agora, GUI multiplataforma

Download para Windows

fwknopc_2_6_11_x64-setup.exe

Download para Macos

fwknopc_2_6_11_x64.pkg

Baixar para Android

fwknopc_2_6_11_x64.apk

Servidor Fwknop para CentOS7

Nome do ficheiro Última modificação MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Nota: Instalação rápida no CentOS 7

1.º Por que razão desenvolvi o PortGuard?

Conheci o conceito de Autorização Única de Pacote (SPA) durante uma conversa informal com colegas de trabalho. Antes disso, não tinha qualquer conhecimento de port knocking ou SPA. Acontece que a nossa empresa precisava de uma solução para o port knocking e, depois de pesquisar e explorar materiais relevantes, descobri o fwknop. O conceito do fwknop era realmente impressionante — para serviços que apenas precisam de ser acessíveis a um grupo restrito de pessoas, o fwknop é uma excelente solução. Considerámos desenvolver a nossa própria ferramenta, mas o fwknop era muito mais maduro. No entanto, o fwknop tem as suas desvantagens: é complexo, com uma curva de aprendizagem acentuada para instalação e utilização, e não tem uma aplicação cliente dedicada. Isto levou à criação do PortGuard. O objetivo do PortGuard é suportar os protocolos tradicionais de port knocking, como o fwknop e, no futuro, o tnok, bem como fornecer um cliente multiplataforma. Desenvolvido como uma extensão do fwknop e do tnok, o PortGuard pretende tornar a tecnologia SPA mais amigável e acessível.

2. Plataformas suportadas pelo cliente PortGuard

Atualmente, o PortGuard suporta as seguintes plataformas:

  • iOS
  • Android
  • Windows
  • macOS

3. Casos de uso do PortGuard

A principal funcionalidade do PortGuard é aumentar a segurança da rede através da ocultação de portas de serviço (fechadas por defeito) e é adequado para os seguintes cenários:

3.1 Proteger os serviços de acesso remoto (por exemplo, SSH)

Cenário:Os administradores necessitam de aceder em segurança aos serviços SSH a partir de diferentes locais (por exemplo, casa, cafetaria, rede móvel) sem expor a porta SSH à rede pública.

Implementação: Utilize fwknop ou tnok, o cliente envia pacotes de dados SPA ou pacotes TOTP knock, e o servidor verifica e abre temporariamente a porta SSH (padrão 22) após a verificação.

Vantagens: Evite que o Nmap e outras ferramentas de varrimento de portas descubram serviços, reduzindo o risco de exploração de vulnerabilidades de dia zero.

Exemplo: Os membros da equipa remota utilizam o cliente fwknop para enviar pacotes de dados SPA em dispositivos Windows ou Android e aceder em segurança aos servidores internos da empresa.

3.2 Proteção de serviços em ambientes de cloud

Cenário:Os serviços internos (por exemplo, bases de dados, servidores web) na AWS, Azure e outras plataformas de cloud precisam de ser acedidos através da rede pública, mas é necessário evitar que as portas sejam expostas diretamente.

Implementação: O PortGuard integra-se com o NAT para permitir que os clientes externos acedam aos serviços internos no espaço de endereços RFC 1918 através do SPA.

Vantagens: Suporta topologias de rede complexas, adequadas para ambientes de cloud híbrida e multi-inquilino.

Exemplo: Execute fwknopd em instâncias AWS EC2, abra dinamicamente a porta MySQL (3306) para acesso de utilizadores autorizados.

3.3 Defenda-se contra a varredura de portas e a força bruta

Cenário:Os servidores enfrentam varrimentos de portas (por exemplo, Nmap) ou ataques de força bruta e têm de ocultar as portas de serviço para reduzir a superfície de ataque.

Implementação: O PortGuard mantém a política de firewall padrão, abrindo portas apenas após receber pacotes de dados SPA válidos.

Vantagens: Mesmo que existam vulnerabilidades não corrigidas, os atacantes não conseguem descobrir portas de serviço.

Exemplo: Evita a força bruta do SSH, o fwknop só abre portas após a verificação do HMAC.

3.4 Suporte à proteção de múltiplos serviços

Cenário:As empresas precisam de proteger vários serviços (por exemplo, SSH, RDP, VPN, base de dados), mas não querem que todas as portas estejam sempre abertas.

Implementação: O fwknop suporta a definição de múltiplos serviços e portas no access.conf, sendo que o cliente pode especificar o protocolo e a porta de destino.

Vantagens: Configuração de regras flexível, suporte de estratégias personalizadas de tempo limite e porta aberta.

Exemplo: Configure o fwknop para proteger o SSH (tcp/22) e o OpenVPN (udp/1194).

3.5 Segurança de dispositivos IoT ou incorporados

Cenário:Os dispositivos IoT ou sistemas embebidos precisam de gestão remota, mas os recursos do dispositivo são limitados e vulneráveis a ataques.

Implementação: Execute fwknopd ou tnokd leve em dispositivos com recursos limitados e controle o acesso através de SPA ou TOTP.

Vantagens: Baixo consumo de recursos, adequado para dispositivos pequenos.

Exemplo: Proteja o serviço Web em execução no Raspberry Pi.

3.6 Integração de dispositivos de terceiros

Cenário:Necessita de integrar com dispositivos que não suportam fwknop nativo (por exemplo, routers Cisco) e controlar as regras de firewall.

Implementação: A funcionalidade de ciclo de comando abrir/fechar (comando abrir/fechar ciclo) do fwknop permite executar scripts personalizados para modificar dinamicamente a ACL de dispositivos de terceiros.

Vantagens: Extensível, suporta dispositivos de firewall não standard.

Exemplo: Execute o fwknopd em servidores Linux, atualize a ACL dos routers Cisco via SSH.

3.7 Detalhes técnicos

  • O fwknop suporta a definição de tempo limite (CMD_CYCLE_TIMER), porta aberta fechada automaticamente, reduzindo o tempo de exposição.
  • Pode ser combinado com VPN (por exemplo, WireGuard, OpenVPN) para construir uma rede privada segura.
  • Suporta a análise de cabeçalho X-Forwarded-For, adequado para SPA em ambiente HTTP.

4.º Quão seguro é o PortGuard?

A segurança do PortGuard depende principalmente do mecanismo de autorização de pacote único (SPA) do fwknop, combinado com a encriptação, autenticação e integração de firewall, proporcionando proteção em várias camadas. A seguir, uma análise detalhada da segurança:

4.1 Encriptação e Autenticação

Criptografia: O fwknop suporta a criptografia simétrica Rijndael (AES) ou a criptografia assimétrica GnuPG, e o conteúdo do pacote de dados SPA não pode ser analisado diretamente.

Autenticação: Utilize o HMAC-SHA256 (padrão) ou versões superiores para autenticação de pacotes de dados, garantindo a integridade dos dados e a confiança na origem.

Segurança: Previne ataques do tipo man-in-the-middle (MITM) e de repetição, HMAC aplicado após a encriptação, resistindo a ataques de oráculo de enchimento do modo CBC (por exemplo, ataques de Vaudenay).

Limitações: A encriptação simétrica requer chaves partilhadas entre cliente e servidor, a gestão inadequada de chaves pode levar a fugas; o modo GnuPG requer a manutenção de conjuntos de chaves,

4.2 Impedir a varredura de portas

Mecanismo: O PortGuard utiliza a política de firewall padrão, e a porta de serviço é invisível quando não é autorizada, pelo que o Nmap e outras ferramentas não a conseguem detetar.

Segurança: Reduz significativamente a superfície de ataque, mesmo que existam vulnerabilidades de dia zero, os atacantes não conseguem localizar a porta de serviço.

Limitações: Se o pacote de dados de knock for detetado (o port knocking tradicional é mais suscetível a isso), os atacantes podem tentar reproduzi-lo (o SPA resolveu este problema através do HMAC).

4.3 Resistir à Força Bruta

Mecanismo: Os pacotes de dados do SPA necessitam de ser corretamente encriptados e autenticados pelo HMAC; a força bruta é quase impossível (os pacotes de dados com falha no HMAC são diretamente descartados).

Segurança: Comparado com o port knocking tradicional, o design de pacote único e o mecanismo de encriptação do SPA melhoram significativamente a capacidade de resistir à força bruta.

Limitações: Erros de configuração (por exemplo, chaves fracas ou HMAC desativado) podem reduzir a segurança.

✨ Funcionalidades

Recursos de segurança robustos
🔓 Recursos de segurança robustos
Tecnologia de encriptação de última geração
A PortGuard utiliza tecnologia de encriptação avançada para garantir a segurança dos dados, proporcionando uma proteção robusta contra o acesso não autorizado e garantindo a confidencialidade dos seus dados.
Fiabilidade do sistema
📈 Fiabilidade do sistema
Estabilidade incomparável
Rigorosamente testado, o PortGuard funciona de forma estável em vários ambientes, garantindo uma elevada disponibilidade e fiabilidade para aplicações críticas.
Compatibilidade entre plataformas
💻 Compatibilidade entre plataformas
Suporte multiplataforma contínuo
Suporta Windows, macOS, Linux e muito mais, permitindo uma integração perfeita em diversos ambientes de TI e servindo uma vasta gama de utilizadores.
Flexibilidade de código aberto
🔓 Flexibilidade de código aberto
Reforce a sua segurança com código aberto
O PortGuard é de código aberto e suporta a implementação privada, dando aos utilizadores o controlo total sobre a sua infraestrutura de segurança e a capacidade de a personalizar de acordo com as suas necessidades.

Pessoas ❤️ Fwknop

User Comment

John

Segurança de batidas à porta
O mecanismo de port knocking do PortGuard melhorou significativamente a segurança da nossa rede. Ao abrir portas dinamicamente apenas para clientes autenticados, eliminamos efetivamente o risco de varrimento de portas e ataques de força bruta, tornando quase impossível para os atacantes detetar os nossos serviços utilizando ferramentas como scanners de portas.
User Comment

Michael

Proteção Nmap
Configurar o PortGuard foi surpreendentemente simples. A documentação é clara e os ficheiros de configuração estão bem organizados. Consegui integrá-lo na nossa infraestrutura existente sem problemas de maior. Funciona perfeitamente com a nossa firewall (iptables) e a curva de aprendizagem foi mínima. Agora, estamos protegidos de scans do Nmap e de outras ferramentas de scan de portas.
User Comment

James

Prevenção de varrimento de porta
Uma das melhores características do PortGuard é a forma como impede a varredura de portas. Ao fechar todas as portas e abri-las apenas temporariamente após a receção de um pacote SPA válido, elimina o risco de varrimento de portas e ataques de força bruta. É uma mudança radical na proteção de SSH e outros serviços críticos de scanners de portas e outras ferramentas de varrimento de portas.
User Comment

David

Acesso remoto seguro
O PortGuard tornou o acesso remoto aos nossos servidores muito mais seguro. Em vez de expor o SSH à Internet, agora utilizamos o SPA para conceder acesso apenas quando necessário. É perfeito para os membros da nossa equipa remota que precisam de se ligar em segurança a partir de diferentes locais, sem se preocuparem com scans do Nmap ou outras ameaças de scan de portas.
User Comment

Olivia

Segurança personalizável
A flexibilidade do PortGuard é impressionante. Podemos configurá-lo para funcionar com vários serviços, não apenas com SSH. A capacidade de definir regras personalizadas e tempos limite para aberturas de portas torna-o adaptável aos nossos casos de utilização específicos. É uma solução altamente personalizável que nos ajuda a estar à frente das ameaças de varrimento de portas, como o Nmap.
User Comment

William

Segurança Confiável
O PortGuard mudou o jogo para a segurança da nossa rede. Com a integração do WireGuard VPN e do OpenVPN, conseguimos criar uma rede privada que garante que os nossos dados se mantêm seguros e protegidos de olhares indiscretos. A fiabilidade desta configuração dá-nos total tranquilidade, sabendo que os nossos dados estão protegidos contra acesso não autorizado.
Baixe agora

Telegram

Tutorial PortGuard

Copyright 2025 PortGuard. All rights reserved.