Auktorisering av enskilt paket
PortGuard

PortGuard erbjuder robust enstaka paketauktoriseringsteknik för att skydda ditt nätverk mot obehörig åtkomst, inklusive portskanningshot.

Ladda ner nu, Multi-Platform GUI

Ladda ner för Windows

fwknopc_2_6_11_x64-setup.exe

Ladda ner för Macos

fwknopc_2_6_11_x64.pkg

Ladda ner för Android

fwknopc_2_6_11_x64.apk

Fwknop-server för CentOS7

Filnamn Senast ändrad MD5
fwknop-server-2.6.11-1.el7.x86_64.rpm 2025-07-29 1a375f89c2aa16935ddce164ad16adad
libfko-3.0.0-1.x86_64.rpm 2025-07-29 7f720f1f444f1634bab7cadbbfec40b2
Obs: Snabbinstallation i CentOS 7

1. Varför utvecklade jag PortGuard?

Jag lärde mig först talas om konceptet Single Packet Authorization (SPA) under ett informellt samtal med kollegor på jobbet. Innan dess hade jag ingen kunskap om port knocking eller SPA. Det råkade vara så att vårt företag behövde en port-knocking-lösning, och efter att ha undersökt och utforskat relevant material upptäckte jag fwknop. Konceptet med fwknop var verkligen imponerande – för tjänster som bara behöver vara tillgängliga för ett fåtal utvalda är fwknop en utmärkt lösning. Vi övervägde att utveckla vårt eget verktyg, men fwknop var mycket mer moget. fwknop har dock sina nackdelar: det är komplext, med en brant inlärningskurva för installation och användning, och det saknar en dedikerad klientapplikation. Detta ledde till skapandet av PortGuard. Målet med PortGuard är att stödja vanliga port-knocking-protokoll som fwknop och, i framtiden, tnok, samtidigt som det tillhandahåller en plattformsoberoende klient. PortGuard är byggt som en förlängning av fwknop och tnok och syftar till att göra SPA-tekniken mer användarvänlig och tillgänglig.

2. Plattformar som stöds av PortGuard-klienten

För närvarande stöder PortGuard följande plattformar:

  • iOS
  • Android
  • Windows
  • macOS

3. Användningsfall för PortGuard

PortGuards kärnfunktion är att förbättra nätverkssäkerheten genom att dölja serviceportar (standard stängda), och den är lämplig för följande scenarier:

3.1 Skydda fjärråtkomsttjänster (t.ex. SSH)

Scenario:Administratörer behöver säker åtkomst till SSH-tjänster från olika platser (t.ex. hemmet, kaféet, mobilnätet) utan att exponera SSH-porten för det offentliga nätverket.

Genomförande: Använd fwknop eller tnok, klienten skickar SPA-datapaket eller TOTP-knockpaket, och servern verifierar och öppnar tillfälligt SSH-porten (standard 22) efter verifiering.

Fördelar: Förhindra att Nmap och andra portsökningsverktyg upptäcker tjänster, vilket minskar risken för att nolldagssårbarheter utnyttjas.

Exempel: Fjärrteammedlemmar använder fwknop-klienten för att skicka SPA-datapaket på Windows- eller Android-enheter och säkert få åtkomst till företagets interna servrar.

3.2 Tjänsteskydd i molnmiljöer

Scenario:Interna tjänster (t.ex. databaser, webbservrar) i AWS, Azure och andra molnplattformar måste nås via det publika nätverket, men portarna måste undvikas från att exponeras direkt.

Genomförande: PortGuard integreras med NAT för att ge externa klienter åtkomst till interna tjänster i RFC 1918-adressutrymmet via SPA.

Fördelar: Stöder komplexa nätverkstopologier, lämplig för hybridmoln och miljöer med flera hyresgäster.

Exempel: Kör fwknopd på AWS EC2-instanser, öppna dynamiskt MySQL-porten (3306) för behöriga användare att få åtkomst till.

3.3 Skydda dig mot portskanning och brute force

Scenario:Servrar utsätts för portskanning (t.ex. Nmap) eller brute force-attacker och behöver dölja serviceportar för att minska attackytan.

Genomförande: PortGuard upprätthåller standardpolicyn för brandvägg för nedstängning och öppnar endast portar efter att ha mottagit giltiga SPA-datapaket.

Fördelar: Även om det finns ouppdaterade sårbarheter kan angripare inte upptäcka serviceportar.

Exempel: Förhindra SSH-bruteforce, fwknop öppnar bara portar efter att HMAC har verifierats.

3.4 Stöd för skydd av flera tjänster

Scenario:Företag behöver skydda flera tjänster (t.ex. SSH, RDP, VPN, databas) men vill inte att alla portar ska vara öppna hela tiden.

Genomförande: fwknop har stöd för att definiera flera tjänster och portar i access.conf, och klienten kan ange målprotokoll och port.

Fördelar: Flexibel regelkonfiguration, stöd för anpassade timeout- och portöppningsstrategier.

Exempel: Konfigurera fwknop för att skydda både SSH (tcp/22) och OpenVPN (udp/1194).

3.5 Säkerhet för inbyggda enheter eller IoT-enheter

Scenario:IoT-enheter eller inbyggda system behöver fjärrhantering, men enhetsresurserna är begränsade och sårbara för attacker.

Genomförande: Kör lättviktiga fwknopd eller tnokd på resursbegränsade enheter, kontrollera åtkomst via SPA eller TOTP.

Fördelar: Låg resursförbrukning, lämplig för små enheter.

Exempel: Skydda webbtjänsten som körs på Raspberry Pi.

3.6 Integrering av enheter från tredje part

Scenario:Behöver integrera med enheter som inte stöder nativ fwknop (t.ex. Cisco-routrar), kontrollera brandväggsregler.

Genomförande: Funktionen för kommandot öppna/stäng cykel (command open/close cycle) i fwknop tillåter körning av anpassade skript för att dynamiskt modifiera åtkomstkontrollistan (ACL) för tredjepartsenheter.

Fördelar: Utökningsbar, stöd för icke-standardiserade brandväggsenheter.

Exempel: Kör fwknopd på Linux-servrar, uppdatera åtkomstkontrollistan för Cisco-routrar via SSH.

3.7 Tekniska detaljer

  • fwknop stöder definition av timeout (CMD_CYCLE_TIMER), portöppning stängs automatiskt, vilket minskar exponeringstiden.
  • Kan kombineras med VPN (t.ex. WireGuard, OpenVPN) för att bygga ett säkert privat nätverk.
  • Stöder X-Forwarded-For headerparsing, lämplig för SPA i HTTP-miljö.

4. Hur säker är PortGuard?

PortGuards säkerhet är främst beroende av fwknops SPA-mekanism (single-packet authorization), i kombination med kryptering, autentisering och brandväggsintegration, vilket ger ett flerskiktat skydd. Följande är en detaljerad analys av säkerheten:

4.1 Kryptering och autentisering

Kryptering: fwknop stöder symmetrisk Rijndael (AES)-kryptering eller asymmetrisk GnuPG-kryptering, och innehållet i SPA-datapaketet kan inte tolkas direkt.

Autentisering: Använd HMAC-SHA256 (standard) eller senare versioner för autentisering av datapaket, vilket säkerställer dataintegritet och källförtroende.

Säkerhet: Förhindra MITM- och replay-attacker (man-in-the-middle), HMAC tillämpas efter kryptering, motstå CBC-läges utfyllnads-orakelattacker (t.ex. Vaudenay-attacker).

Begränsningar: Symmetrisk kryptering kräver delade nycklar från klient och server, felaktig nyckelhantering kan leda till läckage; GnuPG-läget kräver att nyckelringar underhålls.

4.2 Förhindra portskanning

Mekanism: PortGuard använder standardpolicyn för brandvägg för att släppa, och serviceporten är osynlig när den inte är auktoriserad, så Nmap och andra verktyg kan inte upptäcka den.

Säkerhet: Minskar attackytan avsevärt, även om det finns nolldagssårbarheter kan angripare inte hitta serviceporten.

Begränsningar: Om knock-datapaketet sniffas (traditionell portknocking är mer mottaglig för detta) kan angripare försöka spela upp (SPA har löst detta problem genom HMAC).

4.3 Motstå råstyrka

Mekanism: SPA-datapaket måste krypteras korrekt och HMAC-autentiseras, brute force är nästan omöjligt (datapaket med felaktig HMAC kasseras direkt).

Säkerhet: Jämfört med traditionell port knocking förbättrar SPAs design med ett enda paket och krypteringsmekanism avsevärt förmågan att motstå brute force.

Begränsningar: Konfigurationsfel (t.ex. svaga nycklar eller inaktiverad HMAC) kan minska säkerheten.

✨ Drag

Robusta säkerhetsfunktioner
🔓 Robusta säkerhetsfunktioner
Toppmodern krypteringsteknik
PortGuard använder avancerad krypteringsteknik för att säkerställa datasäkerhet, ger robust skydd mot obehörig åtkomst och säkerställer konfidentialitet för dina data.
Systemtillförlitlighet
📈 Systemtillförlitlighet
Oöverträffad stabilitet
Rigoröst testad, PortGuard körs stabilt i olika miljöer, vilket säkerställer hög tillgänglighet och tillförlitlighet för kritiska applikationer.
Cross-Platform-kompatibilitet
💻 Cross-Platform-kompatibilitet
Sömlöst stöd för flera plattformar
Stöder Windows, macOS, Linux och mer, vilket möjliggör sömlös integration i olika IT-miljöer och tillgodoser ett brett spektrum av användare.
Flexibilitet med öppen källkod
🔓 Flexibilitet med öppen källkod
Förstärk din säkerhet med öppen källkod
PortGuard är öppen källkod och stöder privat distribution, vilket ger användarna full kontroll över sin säkerhetsinfrastruktur och möjligheten att anpassa den efter deras behov.

Människor ❤️ Fwknop

User Comment

John

Port Knocking Security
PortGuard:s portknackningsmekanism har förbättrat vår nätverkssäkerhet avsevärt. Genom att dynamiskt öppna portar endast för autentiserade klienter har vi effektivt eliminerat risken för portskanning och brute-force-attacker, vilket gör det nästan omöjligt för angripare att upptäcka våra tjänster med hjälp av verktyg som portskannrar.
User Comment

Michael

Nmap-skydd
Att ställa in PortGuard var förvånansvärt enkelt. Dokumentationen är tydlig och konfigurationsfilerna är välorganiserade. Jag kunde integrera den i vår befintliga infrastruktur utan några större problem. Det fungerar sömlöst med vår brandvägg (iptables), och inlärningskurvan var minimal. Nu är vi skyddade från Nmap-skanningar och andra portskanningsverktyg.
User Comment

James

Port Scan Prevention
En av de bästa egenskaperna hos PortGuard är hur det förhindrar portskanning. Genom att stänga alla portar och bara öppna dem tillfälligt efter att ett giltigt SPA-paket har tagits emot, eliminerar det risken för portskanning och brute-force-attacker. Det är en spelväxlare för att säkra SSH och andra kritiska tjänster från portskannrar och andra portskanningsverktyg.
User Comment

David

Säker fjärråtkomst
PortGuard har gjort fjärråtkomst till våra servrar mycket säkrare. Istället för att exponera SSH för internet använder vi nu SPA för att bara ge åtkomst när det behövs. Det är perfekt för våra fjärranslutna teammedlemmar som behöver ansluta säkert från olika platser, utan att behöva oroa sig för Nmap-skanningar eller andra portskanningshot.
User Comment

Olivia

Anpassningsbar säkerhet
Flexibiliteten hos PortGuard är imponerande. Vi kan konfigurera den för att fungera med flera tjänster, inte bara SSH. Möjligheten att definiera anpassade regler och timeouts för portöppningar gör den anpassningsbar till våra specifika användningsfall. Det är en mycket anpassningsbar lösning som hjälper oss att ligga steget före mot portskanningshot som Nmap.
User Comment

William

Pålitlig säkerhet
PortGuard har varit en spelväxlare för vår nätverkssäkerhet. Med sin integration av WireGuard VPN och OpenVPN har vi kunnat skapa ett privat nätverk som säkerställer att vår data förblir säker och skyddad från nyfikna ögon. Tillförlitligheten hos denna installation ger oss fullständig sinnesfrid, med vetskapen om att vår data är säker från obehörig åtkomst.
Ladda ner nu

Telegram

PortGuard-handledning

Copyright 2025 PortGuard. All rights reserved.