Autorizácia jedného paketu
PortGuard
PortGuard ponúka robustnú technológiu autorizácie jednotlivých paketov na ochranu vašej siete pred neoprávneným prístupom, vrátane hrozieb skenovania portov.
Stiahnite si teraz, multiplatformové GUI
Multiplatformové GUI
Stiahnite si pre Windows
fwknopc_2_6_11_x64-setup.exe
Stiahnite si pre Macos
fwknopc_2_6_11_x64.pkg
Stiahnuť pre Android
fwknopc_2_6_11_x64.apk
Server Fwknop pre CentOS7
| Názov súboru | Naposledy upravené | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. Prečo som vyvinul PortGuard?
O koncepte autorizácie jednotlivých paketov (SPA) som sa prvýkrát dozvedel počas neformálneho rozhovoru s kolegami v práci. Predtým som nemal žiadne vedomosti o port knockingu ani o SPA. Náhodou naša spoločnosť potrebovala riešenie na port knocking a po preskúmaní relevantných materiálov som objavil fwknop. Koncept fwknop bol skutočne pôsobivý – pre služby, ktoré musia byť dostupné len vybraným, je fwknop vynikajúcim riešením. Zvažovali sme vývoj vlastného nástroja, ale fwknop bol oveľa vyspelejší. Fwknop má však svoje nevýhody: je zložitý, so strmou krivkou učenia sa pre inštaláciu a používanie a chýba mu špecializovaná klientska aplikácia. To viedlo k vytvoreniu PortGuardu. Cieľom PortGuardu je podporovať bežné protokoly na port knocking, ako je fwknop a v budúcnosti tnok, a zároveň poskytovať multiplatformového klienta. PortGuard, vytvorený ako rozšírenie fwknop a tnok, si kladie za cieľ urobiť technológiu SPA užívateľsky prívetivejšiu a dostupnejšiu.
2. Platformy podporované klientom PortGuard
PortGuard momentálne podporuje nasledujúce platformy:
- iOS
- Android
- Windows
- macOS
3. Prípady použitia PortGuardu
Hlavnou funkciou PortGuardu je zvýšenie bezpečnosti siete skrytím servisných portov (predvolene zatvorené) a je vhodný pre nasledujúce scenáre:
3.1 Ochrana služieb vzdialeného prístupu (napr. SSH)
Scenár:Administrátori potrebujú bezpečne pristupovať k SSH službám z rôznych miest (napr. z domu, z kaviarne, z mobilnej siete) bez toho, aby museli sprístupniť SSH port verejnej sieti.
Implementácia: Pri použití príkazu fwknop alebo tnok klient odošle dátové pakety SPA alebo TOTP knock a server po overení overí a dočasne otvorí port SSH (predvolene 22).
Výhody: Zabráňte Nmapu a iným nástrojom na skenovanie portov v objavovaní služieb, čím sa znižuje riziko zneužitia zraniteľností typu zero-day.
Príklad: Vzdialení členovia tímu používajú klienta fwknop na odosielanie dátových paketov SPA na zariadeniach so systémom Windows alebo Android a bezpečný prístup k interným serverom spoločnosti.
3.2 Ochrana služieb v cloudových prostrediach
Scenár:K interným službám (napr. databázam, webovým serverom) v AWS, Azure a iných cloudových platformách je potrebné pristupovať prostredníctvom verejnej siete, ale je potrebné zabrániť priamemu odhaleniu portov.
Implementácia: PortGuard sa integruje s NAT, aby umožnil externým klientom prístup k interným službám v adresnom priestore RFC 1918 prostredníctvom SPA.
Výhody: Podporuje komplexné sieťové topológie, vhodné pre hybridný cloud a prostredia s viacerými nájomníkmi.
Príklad: Spustite fwknopd na inštanciách AWS EC2 a dynamicky otvorte port MySQL (3306) pre prístup autorizovaných používateľov.
3.3 Ochrana pred skenovaním portov a hrubou silou
Scenár:Servery čelia skenovaniu portov (napr. Nmap) alebo útokom hrubou silou a musia skryť servisné porty, aby sa znížila plocha útoku.
Implementácia: PortGuard si zachováva predvolenú politiku firewallu na odpojenie portov a otvára porty iba po prijatí platných dátových paketov SPA.
Výhody: Aj keď existujú neopravené zraniteľnosti, útočníci nemôžu objaviť servisné porty.
Príklad: Zabráňte hrubej sile SSH, fwknop otvára porty iba po overení HMAC.
3.4 Podpora ochrany viacerých služieb
Scenár:Podniky potrebujú chrániť viacero služieb (napr. SSH, RDP, VPN, databázu), ale nechcú, aby boli všetky porty stále otvorené.
Implementácia: fwknop podporuje definovanie viacerých služieb a portov v súbore access.conf a klient môže určiť cieľový protokol a port.
Výhody: Flexibilná konfigurácia pravidiel, podpora vlastného časového limitu a stratégií otvárania portov.
Príklad: Nakonfigurujte fwknop na ochranu SSH (tcp/22) aj OpenVPN (udp/1194).
3.5 Zabezpečenie vstavaných zariadení alebo zariadení IoT
Scenár:Zariadenia internetu vecí alebo vstavané systémy potrebujú vzdialenú správu, ale zdroje zariadení sú obmedzené a zraniteľné voči útokom.
Implementácia: Spúšťajte odľahčený fwknopd alebo tnokd na zariadeniach s obmedzenými zdrojmi a riadite prístup cez SPA alebo TOTP.
Výhody: Nízka spotreba zdrojov, vhodná pre malé zariadenia.
Príklad: Chráňte webovú službu bežiacu na Raspberry Pi.
3.6 Integrácia zariadení tretích strán
Scenár:Potreba integrácie so zariadeniami, ktoré nepodporujú natívny fwknop (napr. smerovače Cisco), kontrola pravidiel firewallu.
Implementácia: Funkcia cyklu otvárania/zatvárania príkazov (command open/close cycle) nástroja fwknop umožňuje spúšťanie vlastných skriptov na dynamickú úpravu ACL zariadení tretích strán.
Výhody: Rozšíriteľné, podpora neštandardných firewallových zariadení.
Príklad: Spustite fwknopd na Linuxových serveroch a aktualizujte ACL smerovačov Cisco cez SSH.
3.7 Technické detaily
- fwknop podporuje definovanie časového limitu (CMD_CYCLE_TIMER), otvorenie portu sa automaticky zatvorí, čím sa skráti čas expozície.
- Možno kombinovať s VPN (napr. WireGuard, OpenVPN) na vybudovanie bezpečnej súkromnej siete.
- Podporuje parsovanie hlavičiek X-Forwarded-For, vhodné pre SPA v prostredí HTTP.
4. Aký bezpečný je PortGuard?
Bezpečnosť PortGuardu je primárne závislá od mechanizmu autorizácie jednotlivých paketov (SPA) služby fwknop v kombinácii so šifrovaním, autentifikáciou a integráciou firewallu, čím sa poskytuje viacvrstvová ochrana. Nasleduje podrobná analýza zabezpečenia:
4.1 Šifrovanie a overovanie
Šifrovanie: fwknop podporuje symetrické šifrovanie Rijndael (AES) alebo asymetrické šifrovanie GnuPG a obsah dátových paketov SPA nie je možné priamo analyzovať.
Autentifikácia: Na autentifikáciu dátových paketov použite HMAC-SHA256 (predvolené) alebo novšie verzie, čím zabezpečíte integritu údajov a dôveryhodnosť zdroja.
Zabezpečenie: Zabráňte útokom typu „man-in-the-middle“ (MITM) a útokom typu replay, HMAC aplikovaný po šifrovaní, odolajte útokom typu oracle s dopĺňaním CBC módu (napr. Vaudenay útoky).
Obmedzenia: Symetrické šifrovanie vyžaduje zdieľané kľúče klienta a servera, nesprávna správa kľúčov môže viesť k úniku; režim GnuPG vyžaduje údržbu krúžkov kľúčov,
4.2 Zabránenie skenovaniu portov
Mechanizmus: PortGuard používa predvolenú politiku firewallu na odstraňovanie portov a servisný port je neviditeľný, ak nie je autorizovaný, takže ho Nmap a iné nástroje nedokážu zistiť.
Zabezpečenie: Výrazne znižuje povrch útoku, aj keď existujú zraniteľnosti typu zero-day, útočníci nedokážu lokalizovať servisný port.
Obmedzenia: Ak je paket s dátami knock overený (tradičné knockovanie portov je na to náchylnejšie), útočníci sa môžu pokúsiť o jeho prehratie (SPA tento problém vyriešil pomocou HMAC).
4.3 Odolajte hrubej sile
Mechanizmus: Dátové pakety SPA musia byť správne zašifrované a overené pomocou HMAC, hrubá sila je takmer nemožná (dátové pakety s neúspešným HMAC sú priamo zahodené).
Zabezpečenie: V porovnaní s tradičným port knockingom, dizajn jednotlivých paketov a šifrovací mechanizmus SPA výrazne zlepšujú schopnosť odolávať hrubej sile.
Obmedzenia: Chyby konfigurácie (napr. slabé kľúče alebo vypnutý HMAC) môžu znížiť bezpečnosť.
✨ Vlastnosti
Ľudia ❤️ Fwknop
John
Michael
James
David
Olivia
William