1.基于linux系统上的iptables和firewalld防火墙以及*BSD、Mac OS X系统上的ipfw防火墙及OpenBSD系统上的PF防火墙,实现了单包认证机制。
2.fwknop客户端可以运行在Linux、Mac OS X、*BSD以及Windows(前提是安装了Cygwin)。还有单独为Windows设计的图形界面Windows UI,源码可以从这里下载。除此之外,客户端还支持iPhone手机和安卓手机。
3.同时支持Rijndael和GnuPG两种方式给SPA数据包加解密。
4.同时支持Rijndael和GnuPG用HMAC认证加密。操作的顺序是先加密后认证,以免产生各种密码解析问题。
5.通过SHA-256摘要对比来校验收到的SPA数据包,从而达到检测拦截重播攻击的目的。此外,还支持SHA-1和MD5,默认是用SHA-256。
6.利用libpcap被动地从网络中嗅探SPA数据包。fwknop服务端还可以从文件中或者从iptables的ULOG pcap writer中获取数据包,这个文件中的数据一般是由一个单独的以太网探测器写入的(比如用“tcpdump -w <file>”这个命令)。
7.fwknop是基于GPL(v2)协议的开源项目,所有相关的源码都可以在GitHub上查看下载。
8.对于iptables防火墙, ACCEPT策略是从自定义的iptables链中增删改,所以fwknop不会跟已有的iptables策略有任何交互。
9.支持对NAT入站连接进行单包认证(目前只支持iptables防火墙),这就意味着,你可以通过fwknop给防火墙创建DNAT策略,然后就可以在外网访问到内网的服务(比如SSH)。
10.fwknop服务端支持多用户同时操作,每个用户可以单独分配对称或者非对称密码,存放位置一般在 /etc/fwknop/access.conf 文件中。
11.利用 http://www.ciperdyne.org/cgi-bin/myip 网站可以自动解析出外部ip地址(当fwknop客户端运行在一台NAT设备上时很有用)。因为在这种模式下,外部ip会被加密后存放到SPA数据包中, 这样可以大大的避免了通过内联设备拦截SPA数据包,然后把这些数据包转发到不同的ip来获取访问权限的这类人为中间攻击(MITM)。
12.支持端口随机化--SPA数据包的目标端口以及通过iptables的NAT功能建立的后续连接端口。后者通常用来把连接转发到内部服务以及授予运行有fwknop服务端的系统的内部socket访问权限。
13.集成了Tor(具体可参考我在第14届极客大会上的陈述),需要注意的是,因为传输过程使用的是TCP协议,通过Tor网络发送SPA数据包需要提前建立TCP连接,所以从技术层面上来看这已经打破了“单包认证”中的“单包”原则。但是,在具体部署环境中,Tor能带来的潜在优势可以大大弥补这个缺点。
14.针对SPA通信实现了可以控制版本的协议,所以很容易扩展协议来支持新的SPA数据类型,很好的兼容了旧版的fwknop客户端。
15.支持通过执行shell脚本命令来校验SPA数据包的有效性。
16.fwknop服务端可以通过配置的方式对接受到的没有携带密钥的SPA数据包加上多重限制从而检测到重发攻击。也即是,数据包的时效、来源ip地址、远程发送用户、请求端口的访问权限、通过正则表达式过滤命令等等。
17.fwknop捆绑了丰富的测试套件用来验证客户端和服务端都能正常工作。测试套件包含了探测本地回路接口上的SPA数据包、根据测试用例中的配置文件构建临时的防火墙策略来验证访问权限是否符合预期、解析fwknop客户端和服务端的输出信息来判断是否和预期标志一致。测试套件还可以很容易地和第三方分析工具进行匿名通信。
18.fwknop是首个把端口敲击技术和被动系统指纹整合的应用程序。但是除端口敲击技术之外,单包认证还具有其他很多安全优势,所以不建议使用端口敲击操作模式。
226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
