fwknop-server—安装1.0.0

最新此类，欢迎一起讨论fwknop

不想了解的可以往下看具体搭建：

导航：

• fwknop-server—安装1.0.0
• fwknop-client—安装1.0.1
• fwknop–配置1.0.2
  要搭建fwknop服务器首先我们要先了解SDP 、SPA是什么？我们一起来了解一下吧。

SDP

软件定义边界（SDP）实现

• 在一个解决方案中，您可以解决企业面临的最大威胁 - 凭据窃取，易受攻击的代码利用以及暴力破解大规模DDoS攻击。通过在您自己的Black Cloud中移动或包装它们，使您的关键应用程序完全不可见 - 在内部或公共或私有云，DMZ，数据中心中的服务器，甚至在应用程序服务器内。
  （SDP）已经过反复测试，并被证明可以阻止所有形式的网络攻击，包括DDoS，中间人，服务器查询（OWASP10）以及高级持续威胁（APT）。
  以上为官方说辞！ 不过随着计算机技术越来越多，越来越多的技术问题被攻破。与有荣焉。
  SDP结合并集成了
• SAML，PKI和相互TLS等标准组件的基于控制通道的架构将提供理想的方法。

1. 设备身份验证
2. 基于身份的访问
3. 动态配置连接，以隐藏黑客的关键应用程序
   参考官网：http://www.waverleylabs.com/services/software-defined-perimeter/

SDP–客户端

SDP客户端处理各种功能，从验证设备和用户身份到路由列入白名单的应用程序（本地）到授权的受保护应用程序（远程）。SDP客户端是实时配置的，以确保基于证书的相互TLS VPN仅连接到用户被授权的服务。SDP客户端成为组织的策略执行点，因为在用户设备和身份经过加密验证后实现访问控制。

SDP–控制器

SDP控制器充当SDP客户端和后端安全控制（如颁发证书颁发机构和身份提供商）之间的信任代理。一旦验证了SDP客户端的身份并确定了其授权的服务，SDP控制器就会实时配置SDP客户端和网关，以提供相互的TLS连接。

SDP–网关

SDP网关是来自客户端的相互TLS连接的终止点。它通常在拓扑上尽可能地靠近受保护的应用程序。在验证请求设备的身份并确定用户的授权之后，SDP网关提供有SDP客户端的IP地址和证书。

三个SDP架构组件协同工作，提供了许多独特的安全属性：

1）信息隐藏

没有DNS信息或受保护应用程序基础结构的可见端口 受SDP保护的资产被认为是“黑暗的”，因为无法对扫描进行端口扫描。

2）预认证

在授予连接之前验证（请求主机的）设备标识。设备标识是通过嵌入在TCP或TLS设置中的MFA令牌确定的。

3）预授权

用户只能访问适合其角色的应用程序服务器。身份系统利用SAML断言通知SDP控制器主机的权限。

4）应用层访问

用户仅被授予应用程序层（而非网络）的访问权限。此外，SDP通常将用户设备上的应用程序列入白名单 - 因此配置的连接是app-to-app。

5）可扩展性

SDP基于经过验证的基于标准的组件构建，例如相互TLS，SAML和X.509证书。基于标准的技术确保SDP可以与其他安全系统集成，例如数据加密或远程证明系统。

与预授权结合使用时，预身份验证会创建对未知主机较暗的网络，同时提供对授权用户的需要访问权限。SDP的一个关键方面是在用户和受保护应用程序之间的TCP连接发生之前进行预身份验证和预授权。此外，用户仅被授权访问授权应用程序，以消除受损设备的横向移动威胁。

SPA

SPA是SDP的基础核心！
保护基于IP的通信的新方法，称为单包授权（SPA）
单个数据包授权（SPA）的定义与端口敲门类似，不同之处在于SPA不是仅使用数据包标头，而是在单个数据包的有效负载部分内传送认证信息。由于使用了数据包有效负载，因此SPA提供了许多优于PK的增强功能，例如更强的密码学使用，防止重放攻击，最小的网络占用空间（就IDS的警报而言 - PK序列看起来像端口扫描），能力传输完整命令和复杂访问请求，以及更好的性能。
spa可以协同fwknop来理解。
白话理解：
1.隐藏我的电脑所有端口，0信任任何电脑（0信任外网电脑，局域网内的电脑——因为可能会被病毒入侵为根据地电脑来横向攻击）
2.所有需要与搭建了spa服务的电脑都必须要先发送一个spa包敲门，经过spa验证通过后打开相对应的连接，从而建立连接传送信息的方式。
3.未经敲门成功的所有来源包均不可入内，所有包都将被丢弃。

fwknop

fwknop最初实施了一种称为单包授权（SPA）的授权方案，用于强大的服务隐藏。由于SPA后来成为SDP的基础

授权方法基于默认丢弃数据包过滤器（fwknop 在Linux上支持iptables和firewalld，在FreeBSD和Mac OS X上支持 ipfw，在OpenBSD上支持PF）和libpcap。

可以应用于从sshd和OpenVPN到POP和IMAP等邮件协议甚至HTTP的各种服务
通过使用fwknop客户端生成有效的SPA消息，从SPA数据包中加密的任何IP地址临时授予对隐藏服务的访问权。SPA数据包在通过HMAC进行身份验证时是“有效的”（fwknop支持各种HMAC操作的摘要算法，包括SHA-512，但默认使用SHA-256），由强密码加密（fwknop支持Rijndael进行对称加密）具有预期密钥的非对称加密和GnuPG，并且尚未通过SHA-256摘要验证重放。

环境：

centos7空白电脑--建议使用VMware自己搭建两个虚拟机自己玩

安装目标：

• server
• client

开始安装：

先安装server

第一步：我们需要一个小白的环境

1.centos7
2.git或者wget   git没有的可以参考我的这篇文章先搭建好之后再回来
地址：https://blog.csdn.net/majipeng19950610/article/details/80034929
注：如果不想使用最新，可以直接到第四步下面的--注：位置

第二步：找个地方下载一下源码

1.wget https://github.com/yourheroonly/fwknop.git    （tar -zvxf 解压包）
或者：git clone https://github.com/yourheroonly/fwknop.git

第三步：准备依赖

yum install openssl texinfo libtool libpcap-devel

第四步：准备环境

[root@192 soft] cd fwknop/
顺序执行以下：
[root@192 fwknop]./autogen.sh
[root@192 fwknop] libtoolize --force
[root@192 fwknop] aclocal
[root@192 fwknop] autoheader
[root@192 fwknop] automake --force-missing --add-missing
[root@192 fwknop] autoconf

注：以上如果安装后的问题不好解决可以使用下面这个版本（暂时使用2.6.8，以后看好了再更新微博）：

# wget http://www.cipherdyne.org/fwknop/download/fwknop-2.6.8.tar.gz
# tar -zvxf 
#cd 进解压的包里面
继续下面第五步

第五步：配置

[root@192 fwknop] ./configure --prefix=/usr --sysconfdir=/etc --disable-client

在这里你会报错configure: error: did not find json-c/json.h，没有错误的跳过
解决：找个其他目录下
1.# wget https://s3.amazonaws.com/json-c_releases/releases/json-c-0.13.1.tar.gz（你如果下载不下来，可以私信管我要）
2.# tar -zvxf json-c-0.13.1.tar.gz
3.# cd json-c-0.13.1.tar.gz
4.# ./configure --prefix=/usr --disable-static && make
5.# make install
检验：
[root@192 json-c-0.13.1]# whereis json-c
json-c: /usr/include/json-c
看到已经有了这个文件夹了然后我们重新进入到fwknop文件夹运行这一步的config命令
最后运行后显示：你就成初步构建功了
 fwknop-2.6.7 configuration.
    ==========================================================
        Client build:               no
        Server build:               yes
        GPG encryption support:     no

        Installation prefix:        /usr

    Server support:
        firewall type:              firewalld
        firewall program path:      /usr/bin/firewall-cmd

第六步：构建并安装

[root@192 fwknop]#  make
[root@192 fwknop]#  make install

到这里你已经安装成功了，检验一下吧。

[root@192 fwknop]# which fwknopd
/usr/sbin/fwknopd
[root@192 fwknop]# fwknopd -V
fwknopd server 2.6.7, compiled for firewall bin: /usr/bin/firewall-cmd

到这不是完成只是刚刚开始...

下一篇：fwknop-client—安装1.0.1

希望大家多多进行讨论，fwknop 的成型资料自我感觉有点少。希望大家来这里讨论丰富一下，让后面的人都受益。敝帚自珍只能越来越差！