سنگل پیکٹ کی اجازت
PortGuard
PortGuard آپ کے نیٹ ورک کو غیر مجاز رسائی سے بچانے کے لیے مضبوط سنگل پیکٹ کی اجازت دینے والی ٹیکنالوجی پیش کرتا ہے، بشمول پورٹ اسکیننگ کے خطرات۔
ابھی ڈاؤن لوڈ کریں، ملٹی پلیٹ فارم GUI
ملٹی پلیٹ فارم GUI
ونڈوز کے لیے ڈاؤن لوڈ کریں۔
fwknopc_2_6_11_x64-setup.exe
Macos کے لیے ڈاؤن لوڈ کریں۔
fwknopc_2_6_11_x64.pkg
اینڈرائیڈ کے لیے ڈاؤن لوڈ کریں۔
fwknopc_2_6_11_x64.apk
CentOS7 کے لیے Fwknop سرور
| فائل کا نام | آخری بار ترمیم کی گئی۔ | MD5 |
|---|---|---|
| fwknop-server-2.6.11-1.el7.x86_64.rpm | 2025-07-29 |
1a375f89c2aa16935ddce164ad16adad
|
| libfko-3.0.0-1.x86_64.rpm | 2025-07-29 |
7f720f1f444f1634bab7cadbbfec40b2
|
1. میں نے پورٹ گارڈ کیوں تیار کیا؟
میں نے سب سے پہلے سنگل پیکٹ آتھرائزیشن (SPA) کے تصور کے بارے میں کام پر موجود ساتھیوں کے ساتھ آرام دہ گفتگو کے دوران سیکھا۔ اس سے پہلے مجھے پورٹ نوکنگ یا SPA کا کوئی علم نہیں تھا۔ ایسا ہوا کہ ہماری کمپنی کو پورٹ نوکنگ حل کی ضرورت تھی، اور متعلقہ مواد کی تحقیق اور کھوج کے بعد، میں نے fwknop دریافت کیا۔ fwknop کا تصور واقعی متاثر کن تھا — ایسی خدمات کے لیے جن تک صرف چند منتخب افراد تک رسائی کی ضرورت ہے، fwknop ایک بہترین حل ہے۔ ہم نے اپنا آلہ تیار کرنے پر غور کیا، لیکن fwknop اس سے کہیں زیادہ بالغ تھا۔ تاہم، fwknop کی اپنی خامیاں ہیں: یہ پیچیدہ ہے، جس میں انسٹالیشن اور استعمال کے لیے سیکھنے کا بہت بڑا منحنی خطوط ہے، اور اس میں ایک وقف شدہ کلائنٹ ایپلی کیشن کی کمی ہے۔ اس کی وجہ سے پورٹ گارڈ کی تخلیق ہوئی۔ پورٹ گارڈ کا مقصد ایک کراس پلیٹ فارم کلائنٹ فراہم کرتے ہوئے fwknop اور مستقبل میں tnok جیسے مین اسٹریم پورٹ نوکنگ پروٹوکول کی حمایت کرنا ہے۔ fwknop اور tnok کی توسیع کے طور پر بنایا گیا، PortGuard کا مقصد SPA ٹیکنالوجی کو مزید صارف دوست اور قابل رسائی بنانا ہے۔
2. پورٹ گارڈ کلائنٹ سپورٹڈ پلیٹ فارمز
فی الحال، PortGuard مندرجہ ذیل پلیٹ فارمز کی حمایت کرتا ہے:
- iOS
- Android
- Windows
- macOS
3. پورٹ گارڈ کے استعمال کے کیسز
PortGuard کی بنیادی فعالیت سروس پورٹس کو چھپا کر نیٹ ورک سیکیورٹی کو بڑھانا ہے (پہلے سے طے شدہ بند)، اور یہ درج ذیل منظرناموں کے لیے موزوں ہے:
3.1 دور دراز تک رسائی کی خدمات کی حفاظت کریں (جیسے SSH)
منظر نامہ: ایڈمنسٹریٹرز کو SSH پورٹ کو عوامی نیٹ ورک پر ظاہر کیے بغیر مختلف مقامات (جیسے گھر، کافی شاپ، موبائل نیٹ ورک) سے محفوظ طریقے سے SSH سروسز تک رسائی حاصل کرنے کی ضرورت ہے۔
نفاذ: fwknop یا tnok استعمال کریں، کلائنٹ SPA ڈیٹا پیکٹ یا TOTP knock پیکٹ بھیجتا ہے، اور سرور تصدیق کرتا ہے اور تصدیق کے بعد SSH پورٹ (ڈیفالٹ 22) کو عارضی طور پر کھول دیتا ہے۔
فوائد: Nmap اور دیگر پورٹ اسکیننگ ٹولز کو خدمات کی دریافت سے روکیں، صفر دن کے خطرات سے فائدہ اٹھانے کے خطرے کو کم کریں۔
مثال: ریموٹ ٹیم کے اراکین fwknop کلائنٹ کو ونڈوز یا اینڈرائیڈ ڈیوائسز پر SPA ڈیٹا پیکٹ بھیجنے کے لیے استعمال کرتے ہیں، کمپنی کے اندرونی سرورز تک محفوظ طریقے سے رسائی حاصل کرتے ہیں۔
3.2 کلاؤڈ ماحولیات میں سروس پروٹیکشن
منظر نامہ: AWS، Azure، اور دیگر کلاؤڈ پلیٹ فارمز میں داخلی خدمات (مثلاً، ڈیٹا بیس، ویب سرورز) کو عوامی نیٹ ورک کے ذریعے رسائی حاصل کرنے کی ضرورت ہے، لیکن بندرگاہوں کو براہ راست بے نقاب ہونے سے گریز کرنے کی ضرورت ہے۔
نفاذ: PortGuard بیرونی کلائنٹس کو SPA کے ذریعے RFC 1918 ایڈریس اسپیس میں داخلی خدمات تک رسائی کی اجازت دینے کے لیے NAT کے ساتھ ضم ہوتا ہے۔
فوائد: پیچیدہ نیٹ ورک ٹوپولاجیز کو سپورٹ کرتا ہے، جو ہائبرڈ کلاؤڈ اور کثیر کرایہ دار ماحول کے لیے موزوں ہے۔
مثال: AWS EC2 مثالوں پر fwknopd چلائیں، مجاز صارفین تک رسائی کے لیے متحرک طور پر MySQL پورٹ (3306) کھولیں۔
3.3 پورٹ سکیننگ اور بروٹ فورس کے خلاف دفاع
منظر نامہ: سرورز کو پورٹ اسکیننگ (جیسے، Nmap) یا بروٹ فورس حملوں کا سامنا کرنا پڑتا ہے، اور حملے کی سطح کو کم کرنے کے لیے سروس پورٹس کو چھپانے کی ضرورت ہوتی ہے۔
نفاذ: PortGuard ڈیفالٹ ڈراپ فائر وال پالیسی کو برقرار رکھتا ہے، صرف درست SPA ڈیٹا پیکٹ حاصل کرنے کے بعد بندرگاہوں کو کھولتا ہے۔
فوائد: یہاں تک کہ اگر غیر پیچیدگیاں ہیں، حملہ آور سروس پورٹس کو دریافت نہیں کرسکتے ہیں۔
مثال: SSH بروٹ فورس کو روکیں، fwknop صرف HMAC کی تصدیق کے بعد بندرگاہوں کو کھولتا ہے۔
3.4 متعدد سروس پروٹیکشن کی حمایت کریں۔
منظر نامہ: انٹرپرائزز کو متعدد خدمات کی حفاظت کرنے کی ضرورت ہے (مثال کے طور پر، SSH، RDP، VPN، ڈیٹا بیس) لیکن وہ نہیں چاہتے کہ تمام بندرگاہیں ہر وقت کھلی رہیں۔
نفاذ: fwknop access.conf میں متعدد خدمات اور بندرگاہوں کی وضاحت کی حمایت کرتا ہے، اور کلائنٹ ٹارگٹ پروٹوکول اور پورٹ کی وضاحت کر سکتا ہے۔
فوائد: لچکدار قاعدہ ترتیب، حسب ضرورت ٹائم آؤٹ اور پورٹ اوپن حکمت عملیوں کی حمایت۔
مثال: SSH (tcp/22) اور OpenVPN (udp/1194) دونوں کی حفاظت کے لیے fwknop کو ترتیب دیں۔
3.5 ایمبیڈڈ یا آئی او ٹی ڈیوائس سیکیورٹی
منظر نامہ: IoT ڈیوائسز یا ایمبیڈڈ سسٹمز کو ریموٹ مینجمنٹ کی ضرورت ہوتی ہے، لیکن ڈیوائس کے وسائل محدود اور حملوں کا شکار ہوتے ہیں۔
نفاذ: وسائل سے محدود آلات پر ہلکے وزن والے fwknopd یا tnokd چلائیں، SPA یا TOTP کے ذریعے رسائی کو کنٹرول کریں۔
فوائد: کم وسائل کی کھپت، چھوٹے آلات کے لیے موزوں۔
مثال: Raspberry Pi پر چلنے والی ویب سروس کی حفاظت کریں۔
3.6 تھرڈ پارٹی ڈیوائس انٹیگریشن
منظر نامہ: ایسے آلات کے ساتھ ضم کرنے کی ضرورت ہے جو مقامی fwknop کو سپورٹ نہیں کرتے ہیں (مثال کے طور پر، Cisco راؤٹرز)، فائر وال کے قوانین کو کنٹرول کرتے ہیں۔
نفاذ: fwknop کی کمانڈ اوپن/کلوز سائیکل (کمانڈ اوپن/کلوز سائیکل) خصوصیت اپنی مرضی کے مطابق اسکرپٹس پر عمل درآمد کو تھرڈ پارٹی ڈیوائسز کے ACL کو متحرک طور پر تبدیل کرنے کی اجازت دیتی ہے۔
فوائد: قابل توسیع، غیر معیاری فائر وال آلات کی حمایت کرتے ہیں۔
مثال: لینکس سرورز پر fwknopd چلائیں، سسکو روٹرز کے ACL کو SSH کے ذریعے اپ ڈیٹ کریں۔
3.7 تکنیکی تفصیلات
- fwknop ڈیفائننگ ٹائم آؤٹ (CMD_CYCLE_TIMER) کو سپورٹ کرتا ہے، پورٹ خود بخود بند ہو جاتا ہے، نمائش کے وقت کو کم کرتا ہے۔
- ایک محفوظ نجی نیٹ ورک بنانے کے لیے VPN (جیسے، WireGuard، OpenVPN) کے ساتھ ملایا جا سکتا ہے۔
- X-Forwarded-For ہیڈر پارسنگ کو سپورٹ کرتا ہے، HTTP ماحول میں SPA کے لیے موزوں ہے۔
4. پورٹ گارڈ کتنا محفوظ ہے؟
پورٹ گارڈ کی سیکیورٹی بنیادی طور پر fwknop کے سنگل پیکٹ کی اجازت (SPA) میکانزم پر منحصر ہے، جو انکرپشن، تصدیق، اور فائر وال انٹیگریشن کے ساتھ مل کر ملٹی لیئرڈ تحفظ فراہم کرتا ہے۔ سیکورٹی کا تفصیلی تجزیہ درج ذیل ہے:
4.1 خفیہ کاری اور تصدیق
خفیہ کاری: fwknop Rijndael (AES) symmetric encryption یا GnuPG غیر متناسب خفیہ کاری کی حمایت کرتا ہے، اور SPA ڈیٹا پیکٹ کے مواد کو براہ راست پارس نہیں کیا جا سکتا۔
تصدیق: ڈیٹا پیکٹ کی تصدیق کے لیے HMAC-SHA256 (پہلے سے طے شدہ) یا اس سے زیادہ ورژن استعمال کریں، ڈیٹا کی سالمیت اور ماخذ کے اعتماد کو یقینی بنائیں۔
سیکورٹی: مین-ان-دی-مڈل (MITM) اور ری پلے حملوں کو روکیں، HMAC کو خفیہ کاری کے بعد لاگو کیا گیا، CBC موڈ پیڈنگ اوریکل حملوں (مثلاً، Vaudenay حملے) کے خلاف مزاحمت کرنا۔
حدود: ہم آہنگی خفیہ کاری کے لیے کلائنٹ اور سرور کی مشترکہ کلیدوں کی ضرورت ہوتی ہے، کلید کا غلط انتظام رساو کا باعث بن سکتا ہے۔ GnuPG موڈ کو کلیدی حلقوں کو برقرار رکھنے کی ضرورت ہے،
4.2 پورٹ اسکیننگ کو روکیں۔
میکانزم: PortGuard پہلے سے طے شدہ ڈراپ فائر وال پالیسی کا استعمال کرتا ہے، اور سروس پورٹ غیر مرئی ہونے کی صورت میں مجاز نہیں ہے، لہذا Nmap اور دیگر ٹولز اس کا پتہ نہیں لگا سکتے۔
سیکورٹی: حملے کی سطح کو نمایاں طور پر کم کر دیتا ہے، یہاں تک کہ اگر صفر دن کی کمزوریاں ہوں، حملہ آور سروس پورٹ کا پتہ نہیں لگا سکتے۔
حدود: اگر دستک ڈیٹا پیکٹ کو سونگھ جاتا ہے (روایتی پورٹ نوکنگ اس کے لیے زیادہ حساس ہے)، حملہ آور دوبارہ چلانے کی کوشش کر سکتے ہیں (SPA نے HMAC کے ذریعے اس مسئلے کو حل کیا ہے)۔
4.3 بروٹ فورس کا مقابلہ کریں۔
میکانزم: SPA ڈیٹا پیکٹ کو صحیح طریقے سے انکرپٹ اور HMAC کی توثیق کرنے کی ضرورت ہے، بروٹ فورس تقریباً ناممکن ہے (ناکام HMAC والے ڈیٹا پیکٹ کو براہ راست رد کر دیا جاتا ہے)۔
سیکورٹی: روایتی پورٹ نوکنگ کے مقابلے میں، SPA کا سنگل پیکٹ ڈیزائن اور انکرپشن میکانزم بریوٹ فورس کے خلاف مزاحمت کرنے کی صلاحیت کو نمایاں طور پر بہتر بناتا ہے۔
حدود: کنفیگریشن کی خرابیاں (مثال کے طور پر، کمزور چابیاں یا غیر فعال HMAC) سیکیورٹی کو کم کر سکتی ہیں۔
✨ خصوصیات
لوگ ❤️ Fwknop
John
Michael
James
David
Olivia
William