fwknop通过源码编译的安装和使用测试(新)

已于 2023-07-06 01:04:13 修改
阅读量457 收藏
点赞数 2
文章标签: 网络安全
于 2023-07-05 18:47:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/STUPCAT/article/details/131561476
版权
本文详细介绍了在Ubuntu上从GitHub源码编译安装fwknop服务器的过程,包括必要的依赖安装、编译、卸载、配置秘钥和防火墙规则,以及客户端的敲门命令和服务器的监听状态检查。此外,还提到了Ubuntu22.04中iptables的替代方案nftables。
摘要由CSDN通过智能技术生成

1、安装fwknop server

此教程使用github原码进行编译安装,还可使用apt直接进行下载(不在本页)

从GitHub下载原码压缩包

https://github.com/mrash/fwknop

解压后进入文件路径

 首先保证安装以下软件

sudo apt-get install libtool

sudo apt-get install automake

sudo apt-get install libpcap-dev

sudo apt-get install texinfo

sudo apt-get install make

2、安装fwknop server

  1. 运行./autogen.sh

  2. 运行./configure

 

 成功后为此效果,如未显示,请检查前文依赖是否安装正确

3.编译安装

执行编译

sudo make

安装

sudo make install

 卸载

sudo make uninstall

安装后 使用 which fwknop 查看安装位置 

使用 ldconfig进行刷新

使用 sudo fwknop -V 查看版本

正确显示后即为安装成功

4.配置

1)客户端生成秘钥

 $ fwknop -A tcp/22 -a 192.168.163.1 -D 192.168.163.129 -p 62201 -P udp --key-gen --use-hmac --save-rc-stanza

-a后为客户端ip,-D后面为服务器ip,-p后为服务器监听SPA包的端口,-P后为发送的SPA包的协议,一般采用UDP包。

执行成功后输出如下信息:[+] Wrote Rijndael and HMAC keys to rc file: (省略)

路径一般为/root/下一个文件

查看该文件,内容如下:

[192.168.163.129]
SPA_SERVER_PROTO            udp
SPA_SERVER_PORT             62201
ALLOW_IP                    192.168.163.1
ACCESS                      tcp/22
SPA_SERVER                  192.168.163.129
KEY_BASE64                  gqkSa8ghIDlAfv3FDEAdyyMfC6Q+j9RI+BhodFdifok=
HMAC_KEY_BASE64             IPsM8dg8JLaYvRS3UVEoNiuQ9nBu7FB86tOmQyF7HF0+7cT33pxUHAX5zGcYidP5T03zJLR3ejjrJgR1PezLvA== 
USE_HMAC                    Y

2)服务端配置设置

编辑sudo vim /usr/local/etc/fwknop/access.conf文件,修改里面的内容如下:

OPEN_PORTS            tcp/22
FW_ACCESS_TIMEOUT     20
SOURCE              ANY
#KEY_BASE64          __CHANGEME__
#HMAC_KEY_BASE64     __CHANGEME__
KEY_BASE64              gqkSa8ghIDlAfv3FDEAdyyMfC6Q+j9RI+BhodFdifok=
HMAC_KEY_BASE64         IPsM8dg8JLaYvRS3UVEoNiuQ9nBu7FB86tOmQyF7HF0+7cT33pxUHAX5zGcYidP5T03zJLR3ejjrJgR1PezLvA==

注意键值的拼写

编辑文件sudo vim /usr/local/etc/fwknop/fwknopd.conf

添加内容如下:

PCAP_INTF                   ens33;

ens33是用ifconfig命令查出来的网卡名字:


[jelly@localhost ~]$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.163.129  netmask 255.255.255.0  broadcast 192.168.163.255
        inet6 fe80::37c8:6a00:e56c:9bf5  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:66:79:23  txqueuelen 1000  (Ethernet)
        RX packets 1336  bytes 112165 (109.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1197  bytes 208285 (203.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 19  base 0x2000

3)在服务端启动停止fwknop

[jelly@localhost ~]$ sudo fwknopd start //启动fwknop

[*] An instance of fwknopd is already running: (PID=4196).

[jelly@localhost ~]$


[jelly@localhost ~]$ sudo fwknopd -S //查看fwknop状态

Detected fwknopd is running (pid=4196).

[jelly@localhost ~]$

[jelly@localhost ~]$ sudo kill  4196

4)在服务端打开防火墙,屏蔽22端口

在此之前先测试ssh是否可用

sudo ps -e | grep ssh

 若无结果使用以下安装ssh

sudo apt-get install openssh-server

 再次检测ssh是否可用

sudo ps -e | grep ssh

如果有 sshd 则说明 ssh 服务已启动,如果没有启动,输入下边命令启动 ssh 服务

sudo service ssh start

接下来设置防火墙 

[jelly@localhost ~] $ sudo iptables -I INPUT 1 -i ens33 -p tcp --dport 22 -j DROP
[jelly@localhost ~] $ sudo iptables -I INPUT 1 -i ens33 -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

注意

  • ubuntu 22.04默认使用nftables作为防火墙,而非iptables。

解决 

sudo update-alternatives --set iptables /usr/sbin/iptables-legacy

 

5)在客户端使用敲门命令(是服务端ip)

 fwknop -n 192.168.163.129

6)检测监听状态 

sudo fwknopd --fw-list

出现如下信息则敲门成功

Chain FWKNOP_INPUT (1 references)

num? target? ? prot opt source? ? ? ? ? ? ? destination? ? ? ?

1? ? ACCEPT? ? tcp? --? 192.168.224.128? ? ? 0.0.0.0/0? ? ? ? ? ? tcp dpt:22 /* _exp_1605597903 */

客户端使用nmap命令扫描服务器,则结果为:

PORT STATE SERVICE

22/tcp open? ssh

SPA验证完成!

使用tcpdump对服务器接收到的数据包进行监听,发现在fwknop敲门行为前后,客户端通过udp协议向服务器的62201端口发送一个验证包,但是此项行为涉及的端口和协议都可以使用--server-port参数进行修改。

没找到如何修改--server-port默认参数,但每次敲门行为都可以指定端口,操作命令如下

fwknop -n 192.168.224.130:12345

端口号范围再10000-65535之间。同时可能要修改服务器的/etc/fwknop/fwknopd.conf中的PCAP_FILTER字段。

PCAP_FILTER udp port 62201;

本文参考fwknop SPA服务端源码编译_fwknop 源码解析_愤怒的小黄鸭的博客-CSDN博客fwknop的安装和使用测试_Jelly-小丑鱼的博客-CSDN博客

STUPCAT
关注
fwknop客户端Windows
12-23
fwknop客户端Windows 详见:http://blog.csdn.net/suntongo/article/details/53806943
fwknop服务端编译使用
anzhuangguai的专栏
10-01 755
选择pgp而不是rijndael算法,主要是后者是对称算法,而pgp的是非对称算法。总体上感觉非对称算法的通用性会好些。关于非编译使用的场景可以参考上面的引文。这篇文档基于fwknop+pgp做了很好的说明。gpgme是gpg make easy,相当于gpg的控制程序。安装gpgme的开发包。
fwknop 安装使用教程
最新发布
gitblog_01019的博客
08-13 467
fwknop 安装使用教程 fwknopSingle Packet Authorization > Port Knocking项目地址:https://gitcode.com/gh_mirrors/fw/fwknop 1. 项目目录结构及介绍 在克隆的 fwknop.git 仓库中,你将看到以下主要目录结构: . ├── COPYING # 许可文件 ├── docs ...
fwknop SPA服务端源码编译
weixin_41111116的博客
07-18 1578
fwknop 源码编译
fwknop客户端&服务端 - 交叉编译、静态编译
土肆的笔记本
05-06 595
fwknop交叉编译、静态编译 交叉编译的话,在configure的时候,通过–-host xxx参数指定目标主机的架构 静态编译的话,在configure的时候,通过CFLAGS=-static指定静态编译
fwknop入门文档
会飞的码农
09-23 2802
fwknop 文章目录 系列文章目录 前言 一、fwknop是什么? 二、用例 1.用例简介 2.用户界 三、详细教程 四、特性 五、使用许可 六、当前状态 总结 前言 随着网络信息安全越来越被人们所重视,无论是企业还是个人隐私数据关系到切身利益,fwknop提供了端口权限控制的安全技术,本文主要介绍了fwknop的基础特性。 一、fwknop是什么? fwknop实现了基于单包认证(SPA)的强服务隐藏授权协议,SPA只需要一个加密的单包,无需...
fwknop教程
会飞的码农
09-29 5423
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为单包认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的单包、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
fwknop:单个数据包授权>端口敲门
04-28
fwknop-单包授权 介绍 fwknop实现了一种称为单数据包授权(SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的单个数据包,以传达对默认情况下丢弃过滤状态下隐藏在防火墙后面的服务的所需访问权限。 SPA的主要应用是使用防火墙来丢弃所有尝试连接到服务(例如SSH)的尝试,从而使利用漏洞(0天和未修补的代码)更加困难。 因为没有开放端口,所以SPA隐藏的任何服务自然都无法使用Nmap进行扫描。 fwknop项目支持四种不同的防火墙:Linux,OpenBSD,FreeBSD和Mac OS X上的iptables,firewalld,PF和ipfw。还支持自定义脚本,因此可以使fwknop支持其他基础结构,例如ipset或nftables。 。 SPA本质上是下一代Port Knocking(PK),但解决了PK表现出的许多局限性,
fwknop服务端代码理解
anzhuangguai的专栏
09-30 824
开放接口,用于解密。此时输入ctx包括待解密报文,待解密报文长度,输入key包括密钥长度,密钥。解码,此时输入ctx包括待解密报文,待解密报文长度,输入key包括密钥长度,密钥。这里有遍历公钥列表(acc),用每个公钥去解密(此处机会)粗略确保不是重放报文。(此处可以将机会用上)内部函数,rijndael算法解密。基于base64的解密。
零信任SPA工作流程
weixin_41111116的博客
08-21 1401
fwknop 工作流程
fwknop-client
05-06
在大多数Linux发行版中,可以通过包管理器安装fwknop-client,例如在Debian/Ubuntu系统上使用`apt-get install fwknop-client`,在Red Hat/CentOS系统上使用`yum install fwknop-client`。安装完成后,需要配置...
fwknop ubuntu dockerfile.rar
03-04
包括fwknop服务器和客服端的dockerfile,以及docker-compose文件。可以演示ssh的登录的单包认证
fwknop安卓客户端
01-04
fwknop安卓客户端
零信任安全学习笔记
xiao_a_tong的博客
11-07 4944
Zero Trust 为了应对逐渐复杂的网络环境,一种网络安全技术构架–零信任逐步走入公众视野。 一、零信任技术介绍 (一)零信任核心原则: ①网络无时无刻不处于危险的环境中。 ②网络中自始至终存在外部或内部威胁。 ③网络位置不足以决定网络的可信程度。 ④所有设备、用户和网络流量都应当经过授权和认证。 ⑤安全策略必须是动态的,并基于尽可能多的数据源计算而来。 简言之,核心思想就是默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。 基于零信任安
fwknop安装使用测试
小丑鱼的专栏
02-09 1765
fwknop是SAP单包授权的开源软件,可以实现端口隐藏,配合一次性敲门,密码正确,实现短暂开放,然后进行服务访问,可以有效防止DOS攻击,隐藏端口,保证服务端的相对安全。
fwknop 如何防重放攻击
xiaod_szu的专栏
02-13 1468
fwknop是 FireWall KNock OPerator 的简写,实现了一种叫单包授权(Single Packet Authorization (SPA))的方案。本文将通过解析 fwknop 源码,来讲解fwknop 是怎么做到防重放攻击的。
fwknop 客户端使用总结
weixin_41111116的博客
07-24 1197
fwknop 客户端使用总结
fwknop特性
会飞的码农
10-09 809
Fwknop特性 1.基于linux系统上的iptables和firewalld防火墙以及*BSD、Mac OS X系统上的ipfw防火墙及OpenBSD系统上的PF防火墙,实现了单包认证机制。 2.fwknop客户端可以运行在Linux、Mac OS X、*BSD以及Windows(前提是安装了Cygwin)。还有单独为Windows设计的图形界面Widowns UI,源码可以从这里下载。除此之外,客户端还支持iPhone手机和安卓手机。 3.同时支持Rijndael和GnuPG两种方式给SPA数据
零信任技术之fwknop单包认证敲门
jnszstmei的博客
07-21 956
需要有两台Linux虚拟机,我这里其中一台为Ubuntu,一台为kali,我们以kali作为服务器,以Ubuntu作为客户机,要让Ubuntu想办法敲开Linux的22号端口。通过在服务器和客户机上分别部署feknop敲门服务端和敲门客户端并进行配置,可以只让授权的客户端所在的机器敲开服务器的受保护的22号端口。其中xxx替换为我们的Ubuntu的ip,yyy替换为服务器的ip,我们首先用。这会在我们的家目录下生成一个.fwknoprc文件,我们进入下面的目录,并在。查看一下我们的服务端和客户端的ip。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值