Fwknop ubuntu Docker 实验

最新推荐文章于 2022-06-16 13:57:55 发布
最新推荐文章于 2022-06-16 13:57:55 发布
阅读量416 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 零信任 sdp fwknop docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tkyjqh/article/details/114408920
版权

目录

前言

零信任安全架构(Zero Trust Architecture)的理念是“基于身份计算信任、基于信任控制访问、持续评估信任、无时限控制访问”。其中控制访问的关键技术是软件定义边界(software defined perimeter,缩写SDP)实现被访问资源的隐身,从将网络安全工作的思路从被动转变为主动,大大改观处处漏洞处处封堵的困难局面。
SDP是国际云安全联盟(CSA)推出的一套网络访问控制协议,通过可软件定义边界技术,从而提供按需、动态配置的安全隔离的可信任网络,实现与不安全网络隔离,达到避免网络攻击的目的。
为实现软件定义边界,网络访问主体通过请求SDP控制器访问客体,SDP控制器根据安全策略来控制SDP网关是否允许主体访问客体,因此传统网络边界的不再是访问控制的关键要素。SDP中主体、控制器、网关的通信启动采用的是单包授权技术(SPA)。
目前Fwknop是最为火热的SPA开源工具,网络上和CSDN博客有很多资料。本文就是基于网络资料,用比较方便的Docker技术安装相关客户端和服务器,进行Fwknop的实验。

1. 实验准备

1)Windows 10 安装 Docker环境,DockerForwin。对Docker操作比较熟悉。
2)172.16.18.2:fwknop 服务器,Ubuntu,安装iptables,ssh
3)172.16.18.3:fwknop 客户端

2. fwknop客户端的dockerfile

1)ADD命令将源改为清华大学的安装源。
2)安装相关的工具(iptables、nmap、openssh-server等)、fwknop-client
3)生成客户端密钥

FROM ubuntu:20.04
ADD sources.list /etc/apt/
RUN apt-get update -y && \
	apt-get upgrade -y
RUN apt-get install -y wget iptables net-tools vim nmap openssh-server fwknop-client 
RUN mkdir -p /var/run/sshd && \
	fwknop -A tcp/22 -a 172.16.18.3  -D 172.16.18.2  --key-gen --use-hmac --save-rc-stanza
CMD ["/usr/sbin/sshd", "-D"]

用如下命令生成客户端镜像

docker build -f clientdockerfile -t fwknop:client .

启动客户端,用“grep KEY /root/.fwknoprc”可以查看KEY,以便写入服务器的dockerfile中,大大简化了在容器运行时生成后在修改服务器配置的麻烦。

root@fwknop_c1:/# grep KEY /root/.fwknoprc
KEY_BASE64                  aVlsPWjAcaE9kz7em5mmygrk3aMu8EmPK7bcnPr9Ux8=
HMAC_KEY_BASE64             CB+A6iITsHEnH9xbwlry04btAhq1i8Yq/A+HoIVI0PBB+BTH9PwQQpFHdEOUzaBB12gB9DrZtfc5uDf8XbDBrQ==

3. fwknop服务器的dockerfile

1)ADD命令将源改为清华大学的安装源。
2)安装相关的工具(iptables、nmap、openssh-server等)、fwknop-server
3)服务器密码重置为123456
4)修改ssh的配置文件
5)修改fwknop-server配置文件,将fwknop客户端生成的密钥写入access.conf

FROM ubuntu:20.04
ADD sources.list /etc/apt/
RUN apt-get update -y && \
	apt-get upgrade -y
RUN apt-get install -y wget iptables net-tools vim nmap openssh-server fwknop-server
RUN mkdir -p /var/run/sshd && echo root:123456 | chpasswd && \
	sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config && \	
	sed -i 's/#PCAP_INTF                   eth0/PCAP_INTF                   eth0/' /etc/fwknop/fwknopd.conf && \
	sed -i 's/# REQUIRE_SOURCE_ADDRESS    <Y\/N>/REQUIRE_SOURCE_ADDRESS        Y/' /etc/fwknop/access.conf && \
	sed -i 's/KEY_BASE64          __CHANGEME__/KEY_BASE64          aVlsPWjAcaE9kz7em5mmygrk3aMu8EmPK7bcnPr9Ux8=/'  /etc/fwknop/access.conf && \
	sed -i 's/HMAC_KEY_BASE64     __CHANGEME__/HMAC_KEY_BASE64     CB+A6iITsHEnH9xbwlry04btAhq1i8Yq\/A+HoIVI0PBB+BTH9PwQQpFHdEOUzaBB12gB9DrZtfc5uDf8XbDBrQ==/' /etc/fwknop/access.conf
CMD ["/usr/sbin/sshd", "-D"]

用如下命令生成服务器镜像

docker build -f serverdockerfile -t fwknop:server .

4. 启动容器实验

4.1 Docker-Compose文件

通过docker-compose.yml文件来启动客户端和服务器镜像。

version: '3'
services: 
  fw_sever:
    image: fwknop:server
    container_name: fw_sever
    hostname: fwknop_server
    privileged: true
    networks: 
      fw_net:
        ipv4_address: 172.16.18.2

  fw_client1:
    image: fwknop:client
    container_name: fw_c1
    hostname: fwknop_c1
    privileged: true
    networks: 
      fw_net:
        ipv4_address: 172.16.18.3
   
networks: 
  fw_net:
    ipam:
      driver: default
      config: 
        - subnet: "172.16.18.0/24"

4.2 启动客户端和服务器

  1. 命令行进入dockercompose.yml所在路径(我用得是Gitbash),运行docker-compose up -d,如下:
$ docker-compose up -d
Creating network "fwknop_fw_net" with the default driver
Creating fw_c1    ... done
Creating fw_sever ... done
  1. 连接服务器容器,查看进程,配置iptables规则,并启动fwknop,如下:
root@fwknop_server:/# ps -e
  PID TTY          TIME CMD
    1 ?        00:00:00 sshd
    6 pts/0    00:00:00 bash
   14 pts/0    00:00:00 ps
root@fwknop_server:/# iptables -I INPUT 1 -i eth0  -p tcp --dport 22 -j DROP
root@fwknop_server:/# iptables -I INPUT 1 -i eth0  -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
root@fwknop_server:/# fwknopd
root@fwknop_server:/# fwknopd -S
Detected fwknopd is running (pid=18).
root@fwknop_server:/# fwknopd --fw-list-all
Listing all iptables rules in applicable tables...
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWKNOP_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate RELATED,ESTABLISHED
3        0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWKNOP_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
  1. 连接客户端容器,端口扫描,单包认证后ssh,再端口扫描,可以看出22端口ssh服务从filtered状态变为open状态。
root@fwknop_c1:/# nmap 172.16.18.2
Starting Nmap 7.80 ( https://nmap.org ) at 2021-03-06 00:41 UTC
Nmap scan report for fw_sever.fwknop_fw_net (172.16.18.2)
Host is up (0.000025s latency).
Not shown: 999 closed ports
PORT   STATE    SERVICE
22/tcp filtered ssh

root@fwknop_c1:/# fwknop -n 172.16.18.2
root@fwknop_c1:/# nmap 172.16.18.2
Starting Nmap 7.80 ( https://nmap.org ) at 2021-03-06 00:42 UTC
Nmap scan report for fw_sever.fwknop_fw_net (172.16.18.2)
Host is up (0.000017s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
  1. 在客户端ssh登录服务器,可以看出成功登录到服务器。
root@fwknop_c1:/# fwknop -n 172.16.18.2
root@fwknop_c1:/# ssh root@172.16.18.2
The authenticity of host '172.16.18.2 (172.16.18.2)' can't be established.
ECDSA key fingerprint is SHA256:IGpxKlgpruL6uoY8JczqREi8cBid9IvREG5Mk9hyn1w.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '172.16.18.2' (ECDSA) to the list of known hosts.
root@172.16.18.2's password:
Welcome to Ubuntu 20.04.2 LTS (GNU/Linux 5.4.39-linuxkit x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

This system has been minimized by removing packages and content that are
not required on a system that users do not log into.

To restore this content, you can run the 'unminimize' command.

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

root@fwknop_server:~#

总结

整个实验过程主要是准备镜像的相关工具,没有什么坑。我自己则是在拷贝KEY到服务器access.conf时因为粗心导致fwknopd启动不了,通过运行fwknopd -f发现KEY有问题从而解决。
fwknop其实是网络攻防工程师经常使用的一个工具,使用比较成熟。只不过我是从零信任才接触到。目前Waverley开源了SDP控制器,不知道如何与fwknop配合使用?如何将fwknop真正应用到SDP方案中还有好多的工作。
欢迎交流!
文件和资源下载地址:csdn下载

tkyjqh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用fwknop给sshd加一道门,向暴力黑客Say no-way!
suntongo的专栏
12-22 3372
相信不少Linux服务器的机主对各类暴力攻击是深恶痛绝的了,尤其是那些针对sshd的愚蠢黑客,成功率极低还给机主带来不少麻烦。 对付这些拿着毫无技术含量的脚本到处乱撞的低级黑客(在我眼中,称他们为黑客是抬举他们),比较常见的有fail2ban、denyhosts、以及knockd,前两者的原理是通过对日志文件的分析找出攻击者ip,然后设置防火墙屏蔽之,属于被动防御,对于受攻击频率不高的机器还有点
Docker ubuntu实践
愿有岁月可回首,且以深情共白头
12-06 747
安装docker 参考Ubuntu16.04安装Docker 配置docker #测试权限: docker version 报错如下: Client: Version: 18.06.3-ce API version: 1.38 Go version: go1.10.3 Git commit: d7080c1 Built: Wed Feb 20 02:27:13 2019 OS/Arch: linux/amd64
fwknop配套模块SDPcontroller安装教程
sinat_27690807的博客
12-17 1287
fwknop相关组件SDPcontroller安装教程翻译。
eigrp 配置
weixin_33888907的博客
06-13 89
SW0配置: Switch#sh run Building configuration... Current configuration : 2500 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime mse...
Android下的 iptables命令的用法
babytiger的专栏
06-16 4589
A.“四表”是指,iptables的功能——filter, nat, mangle, raw.    filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input, forward, output    nat, 控制数据包中地址转换,可以控制的链路有prerouting, input, output, postrouting    mangle,修改数据包中的原数据,可以控制的链路有prerouting, input, forward, output
fwknop ubuntu dockerfile.rar
03-04
包括fwknop服务器和客服端的dockerfile,以及docker-compose文件。可以演示ssh的登录的单包认证
fwknop-client
05-06
在大多数Linux发行版中,可以通过包管理器安装fwknop-client,例如在Debian/Ubuntu系统上使用`apt-get install fwknop-client`,在Red Hat/CentOS系统上使用`yum install fwknop-client`。安装完成后,需要配置...
fwknop客户端Windows
12-23
fwknop客户端Windows 详见:http://blog.csdn.net/suntongo/article/details/53806943
fwknop安卓客户端
01-04
fwknop安卓客户端
fwknop:单个数据包授权>端口敲门
04-28
fwknop-单包授权 介绍 fwknop实现了一种称为单数据包授权(SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的单个数据包,以传达对默认情况下丢弃过滤状态下隐藏在...
SDP_Specification_2.0.pdf
10-30
软件定义边界 SDP 零信任 标准规范2.0 英文版 草案版本
fwknop教程
会飞的码农
09-29 5380
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为单包认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的单包、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
Linux Ubuntu系统fwknop单包授权认证(SPA)流程
sinat_27690807的博客
12-08 1595
使用Ubuntu 20.04系统实现fwknop的单包授权认证流程
单包授权认证(SPA)fwknop之安装和演示
he_tao225的博客
05-29 8636
单包授权认证(SPA)fwknop之安装和演示单包授权认证(SPA)简介环境介绍操作系统准备安装部署fwknop设置fwknop测试fwknop的SPA效果参考 单包授权认证(SPA)简介 单包授权(SPA)是SDP(软件定义边界)的核心功能。主要作用是通过默认关闭服务端口,使服务实现网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息给服务器,服务器认证该报文后,将对该IP地址打开相关的服务。 SPA是一种概念化的技术,其前身是Port Knocking(敲端口)技术。
fwknop-server—安装1.0.0
YOUR_HERO
12-04 2225
不想了解的可以往下看具体搭建: 要搭建fwknop服务器首先我们要先了解SDP 、SPA是什么?我们一起来了解一下吧。 SDP 软件定义周界(SDP)实现 在一个解决方案中,您可以解决企业面临的最大威胁 - 凭据窃取,易受攻击的代码利用以及暴力破解大规模DDoS攻击。通过在您自己的Black Cloud中移动或包装它们,使您的关键应用程序完全不可见 - 在内部或公共或私有云,DMZ,数据中心中的...
fwknop--配置1.0.2
YOUR_HERO
12-12 2588
上篇:fwknop—安装1.0.0 中说了我们如何去安装service端,以及安装中的小问题解决。这里我们一块来讨论下配置吧。 跟上,这会以一个探索的脚步来进行··· 整理好情绪,开始了! 第一步:启动一下服务 [root@192 fwknop]# fwknopd [root@192 fwknop]# fwknopd Invalid configuration: the file path SDP...
零信任(Zero Trust)简介
姜宁的博客
02-14 9196
未来已来,只是尚未流行。 未来的安全趋势是零信任网络。 传统的基于边界的网络安全方法是先连接,后信任,在网络边界验证用户身份,确定用户是否值得信任。如果用户被认定为是可信任的,就能进入网络,而一旦通过边界进入到网络内部,访问基本就通行无阻了。反之,用户会被拦截在外。这种保护方式有很多种称谓:城堡护城河式保护,类似于中世纪的城堡一样,防外不防内,或者蜗牛式保护,外壳坚硬而内部柔弱。 传统网络安...
Linux防火墙技术与开源软件深度剖析
书中不仅详细探讨了iptables的使用方法,还重点介绍了三个开源工具:psad、fwsnort和fwknop,这些工具能够与iptables协同工作,增强系统对各种攻击的检测和防御功能。 作者通过丰富的实战案例和源代码分析,帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值