Linux Ubuntu系统fwknop单包授权认证(SPA)流程

最新推荐文章于 2022-09-30 17:45:32 发布
最新推荐文章于 2022-09-30 17:45:32 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 零信任 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_27690807/article/details/110871750
版权

最近在做零信任相关软件的验证,单包授权认证流程中最核心最基础的软件就是iptables,所以研究一下iptables和基于iptables的软件fwknop。(由于此文主要留给自己看,暂时省略fwknop的安装流程,不过参考文章中都有。)

在两台liunx虚拟机中分别安装好fwknop-server和fwknop-client以后,先对两台机子进行初始化设置。
server服务器ip地址为:192.168.224.130
client客户端ip地址为:192.168.224.128
涉及到的命令基本都需要root权限,可以先sudo -i暂时进入root权限,不需要时logout退出。

在客户端中执行如下命令,建立针对22端口的敲门机制:

[root@localhost ~]# sudo fwknop -A tcp/22 -a 192.168.224.128 -D 192.168.224.130  --key-gen --use-hmac --save-rc-stanza

然后执行如下命令,获取获取KEY_BASE64以及HMAC_KEY_BASE64的信息。

[root@localhost ~]# sudo grep KEY /root/.fwknoprc

获得如下信息:

KEY_BASE64                  cYhgo4jZUCMCGQBPHWRBL0R9Aeq8Mj8CXojMNdW1oyA=
HMAC_KEY_BASE64             UqByGDKSjzm0ZRnABLztW2k8EPAjGUnVgszfRo6XkRyvDYHMUCs81MddWwqlxT8btlkkFXq4XwenQkDjeROctA==

将这些信息复制到服务器中,以便服务器确认客户端“敲门”行为的合法性。

在服务器端执行如下命令:

sudo vim /etc/fwknop/access.conf

进入配置文件后,输入i,插入

SOURCE              ANY
DESTINATION         ANY
REQUIRE_SOURCE_ADDRESS Y
OPEN_PORTS          tcp/22,tcp/80,udp/1194,tcp/4432
KEY_BASE64                  cYhgo4jZUCMCGQBPHWRBL0R9Aeq8Mj8CXojMNdW1oyA=
HMAC_KEY_BASE64             UqByGDKSjzm0ZRnABLztW2k8EPAjGUnVgszfRo6XkRyvDYHMUCs81MddWwqlxT8btlkkFXq4XwenQkDjeROctA==

点击Esc,退出插入模式,输入:wq,退出并保存配置文件。

继续执行命令:

[root@localhost ~]# sudo vim /etc/fwknopd/fwknopd.conf

使用 ip a命令查询目前使用的网卡名称,如:ens32。进入服务器配置文件,将其中关键字PCAP_INTF 定义为服务器当前使用的网卡,如:

PCAP_INTF ens32

使用iptables进行端口22的控制

[root@localhost ~]# sudo iptables -I INPUT 1 -i ens32 -p tcp --dport 22 -j DROP
[root@localhost ~]# sudo iptables -I INPUT 1 -i ens32  -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

配置完成后,打开fwknopd

[root@localhost ~]# fwknopd

查看iptables结果

[root@localhost ~]#  fwknopd --fw-list

配置结束
接着进行SPA测试,客户端中使用如下命令进行端口敲门:

[root@localhost ~]# fwknop -n 192.168.224.130

服务器中使用如下命令查看敲门结果:

[root@localhost ~]# fwknopd --fw-list

出现如下信息则敲门成功

Chain FWKNOP_INPUT (1 references)
num  target    prot opt source              destination       
1    ACCEPT    tcp  --  192.168.224.128      0.0.0.0/0            tcp dpt:22 /* _exp_1605597903 */

客户端使用nmap命令扫描服务器,则结果为:

PORT STATE SERVICE
22/tcp open  ssh

SPA验证完成!

使用tcpdump对服务器接收到的数据包进行监听,发现在fwknop敲门行为前后,客户端通过udp协议向服务器的62201端口发送一个验证包,但是此项行为涉及的端口和协议都可以使用–server-port参数进行修改。

没找到如何修改–server-port默认参数,但每次敲门行为都可以指定端口,操作命令如下

fwknop -n 192.168.224.130:12345

端口号范围再10000-65535之间。同时可能要修改服务器的/etc/fwknop/fwknopd.conf中的PCAP_FILTER字段。

PCAP_FILTER udp port 62201;

本文主要参考文章:

1、https://blog.csdn.net/he_tao225/article/details/106425229

Mingcat_2020
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SPA认证和会话管理最佳实践
CHCH998的博客
08-15 1147
When building SPA style applications using frameworks like Angular, Ember, React, etc. what do peop
fwknop:单个数据包授权>端口敲门
04-28
fwknop-单包授权 介绍 fwknop实现了一种称为单数据包授权SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的单个数据包,以传达对默认情况下丢弃过滤状态下隐藏在防火墙后面的服务的所需访问权限。 SPA的主要应用是使用防火墙来丢弃所有尝试连接到服务(例如SSH)的尝试,从而使利用漏洞(0天和未修补的代码)更加困难。 因为没有开放端口,所以SPA隐藏的任何服务自然都无法使用Nmap进行扫描。 fwknop项目支持四种不同的防火墙:Linux,OpenBSD,FreeBSD和Mac OS X上的iptables,firewalld,PF和ipfw。还支持自定义脚本,因此可以使fwknop支持其他基础结构,例如ipset或nftables。 。 SPA本质上是下一代Port Knocking(PK),但解决了PK表现出的许多局限性,
授权服务器文件包,单包授权认证SPAfwknop之安装和演示
weixin_39664010的博客
08-06 1140
单包授权认证(SPA)fwknop之安装和演示单包授权认证(SPA)简介环境介绍操作系统准备安装部署fwknop设置fwknop测试fwknopSPA效果参考单包授权认证(SPA)简介单包授权(SPA)是SDP(软件定义边界)的核心功能。主要作用是通过默认关闭服务端口,使服务实现网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息给服务器,服务器认证该报文后,...
实现SPA实现单包授权技术的方案Fwknop,敲门,防火墙
sun007700的专栏
04-20 1199
目前,开源社区中发布了一个实现SPA实现单包授权技术的方案Fwknop。 基于零信任的软件定义边界网络隐身技术研究|数据包|零信任安全|网关|客户端
Linux 服务器部署 vue(SPA) 与 nuxt(SSR)项目
qq_39025670的博客
12-08 2117
1.安装 node 下载 node 包,选择 Linux Binaries (x64) 版本:https://nodejs.org/en/download/ 解压 tar -xvf node-v14.15.0-linux-x64.tar.xz 配置环境变量 vim /etc/profile 往 .bash_profile 新增环境变量(在末尾) export NODEJS_HOME=/usr/local/node/node-v14.15.0-linux-x64 export PATH=
SPA
mongkey_king的博客
04-02 5787
什么是单页面应用?单页Web应用(single page web application,SPA),就是只有一张Web页面的应用,是加载单个HTML 页面并在用户与应用程序交互时动态更新该页面的Web应用程序,是指在浏览器中运行的应用,它们在使用期间不会重新加载页面。像所有的应用一样,它旨在帮助用户完成任务,比如“编写文档”或者“管理Web服务器”。可以认为单页应用是一种从Web服务器加载的富客户...
fwknop ubuntu dockerfile.rar
03-04
包括fwknop服务器和客服端的dockerfile,以及docker-compose文件。可以演示ssh的登录的单包认证
fwknop-client
05-06
在大多数Linux发行版中,可以通过包管理器安装fwknop-client,例如在Debian/Ubuntu系统上使用`apt-get install fwknop-client`,在Red Hat/CentOS系统上使用`yum install fwknop-client`。安装完成后,需要配置...
fwknop客户端Windows
12-23
fwknop客户端Windows 详见:http://blog.csdn.net/suntongo/article/details/53806943
Linux Firewalls Attack Detection and Response
02-14
Linux Firewalls Attack Detection and Response,这是英文原版,内容清晰,适合英语基础较好的阅读。书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、 fwsnort、fwknop 3个开源软件最大限度地发挥...
fwknop安卓客户端
01-04
fwknop安卓客户端
零信任SPA工作流程
weixin_41111116的博客
08-21 1326
fwknop 工作流程
fwknop教程
会飞的码农
09-29 5272
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为单包认证SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的单包、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
零信任安全学习笔记
xiao_a_tong的博客
11-07 4764
Zero Trust 为了应对逐渐复杂的网络环境,一种新的网络安全技术构架–零信任逐步走入公众视野。 一、零信任技术介绍 (一)零信任核心原则: ①网络无时无刻不处于危险的环境中。 ②网络中自始至终存在外部或内部威胁。 ③网络位置不足以决定网络的可信程度。 ④所有设备、用户和网络流量都应当经过授权认证。 ⑤安全策略必须是动态的,并基于尽可能多的数据源计算而来。 简言之,核心思想就是默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。 基于零信任安
单包授权(spa)简介
大草的博客
06-17 6670
单包授权(spa)简介:概念简介+fwknop安装
fwknop特性
会飞的码农
10-09 793
Fwknop特性 1.基于linux系统上的iptables和firewalld防火墙以及*BSD、Mac OS X系统上的ipfw防火墙及OpenBSD系统上的PF防火墙,实现了单包认证机制。 2.fwknop客户端可以运行在Linux、Mac OS X、*BSD以及Windows(前提是安装了Cygwin)。还有单独为Windows设计的图形界面Widowns UI,源码可以从这里下载。除此之外,客户端还支持iPhone手机和安卓手机。 3.同时支持Rijndael和GnuPG两种方式给SPA数据
linux防火墙查看状态firewall、iptable
热门推荐
TigerwolfC的博客
06-01 27万+
CentOS7 的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本Centos 6.x使用iptables不一样 一、iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service ipt...
单包授权认证SPAfwknop之安装和演示
he_tao225的博客
05-29 8316
单包授权认证SPAfwknop之安装和演示单包授权认证SPA)简介环境介绍操作系统准备安装部署fwknop设置fwknop测试fwknopSPA效果参考 单包授权认证SPA)简介 单包授权SPA)是SDP(软件定义边界)的核心功能。主要作用是通过默认关闭服务端口,使服务实现网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息给服务器,服务器认证该报文后,将对该IP地址打开相关的服务。 SPA是一种概念化的技术,其前身是Port Knocking(敲端口)技术。
fwknop服务端代码理解
最新发布
anzhuangguai的专栏
09-30 783
开放接口,用于解密。此时输入ctx包括待解密报文,待解密报文长度,输入key包括密钥长度,密钥。解码,此时输入ctx包括待解密报文,待解密报文长度,输入key包括密钥长度,密钥。这里有遍历公钥列表(acc),用每个公钥去解密(此处机会)粗略确保不是重放报文。(此处可以将机会用上)内部函数,rijndael算法解密。基于base64的解密。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值