零信任SPA工作流程

已于 2022-08-22 15:28:35 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: SPA 单包授权 文章标签: 网络 linux
于 2022-08-21 12:58:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41111116/article/details/120190285
版权

1. fwknop工作流程

本质的流程就是客户端发送认证数据包,服务端收到后进行校验,合法就打开端口,否则不进行处理。下面使用场景中会对工作量流程进行进一步的解释,有关工作原理及源码分析则在后续的博客中进行介绍。

2. fwknop不同场景的处理流程

2.1 非NAT场景

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m5H59nRs-1634461598082)(/附件/03.%20images/direct_connect.png)]

  1. 客户端执行 fwknop -n 192.168.3.4 -a 192.168.3.3 进行敲门
  2. 服务端收到后对数据进行解密处理比对,数据无误之后打开受保护的端口(默认打开30s)

1.2 NAT场景

以下图片来自官网:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QKP9H4he-1634461598084)(/附件/03.%20images/fwknop_tutorial_network_diagram.png)]

问题:由于spaclient和受保护的服务都在各自的内网,客户端执行 fwknop -n 10.1.2.10 -a 192.168.10.123,spaserver 是无法收到数据包的
解决:此时就要用到fwknop提供的NAT功能了,具体如下

  1. spaserver的 /etc/fwknop/fwknop.conf 文件中的 ENABLE_IPT_FORWARDING 要设置为 Y
  2. spaclient执行命令为 fwknop -n 2.2.2.2 -a 1.1.1.1 -N 10.1.2.10:22

解释说明

  1. 之所以写 -a 1.1.1.1 是因为spaclient出公网时src_ip会变成 1.1.1.1
  2. -n 2.2.2.2 则是spaserver的地址
  3. -N 10.1.2.10:22 则表示spaserver需要将 1.1.1.1 过来的流量转发到 10.1.2.10:22

3. fwknop基本使用

以Ubuntu环境为例,分别在两个不同的虚拟机里下载fwknop-server和fwknop-client,下载命令如下:

  1. sudo apt-get install fwknop-server
  2. sudo apt-get install fwknop-client
  3. spaserver端要开启某个端口的监听,比如22端口

3.1 配置

  1. 修改spaserver的 /etc/fwknop/fwknopd.conf 中的 PCAP_INTF 项,将其指定为网卡名称
  2. fwknop -A tcp/22 -a 1.1.1.1 -D spaserver.domain.com --key-gen --use-hmac --save-rc-stanza 客户端执行此命令,会在 .fwknoprc文件中生成如下内容:
    [spaserver.domain.com]
 ACCESS                      tcp/22
 ALLOW_IP                    1.1.1.1
 SPA_SERVER                  spaserver.domain.com
 KEY_BASE64                  Sz80RjpXOlhH2olGuKBUamHKcqyMBsS9BTgLaMugUsg=
 HMAC_KEY_BASE64             c0TOaMJ2aVPdYTh4Aa25Dwxni7PrLo2zLAtBoVwSepkvH6nLcW45Cjb9zaEC2SQd03kaaV+Ckx3FhCh5ohNM5Q==
 USE_HMAC                    Y
  3. KEY_BASE64HMAC_KEY_BASE64的值拷贝到spaserver的 /etc/fwknop/access.conf中对应的 KEY_BASE64HMAC_KEY_BASE64 中,并增加 REQUIRE_SOURCE_ADDRESS 配置,如下所示:
     SOURCE                     ANY
 REQUIRE_SOURCE_ADDRESS     Y
 KEY_BASE64                 Sz80RjpXOlhH2olGuKBUamHKcqyMBsS9BTgLaMugUsg=
 HMAC_KEY_BASE64            c0TOaMJ2aVPdYTh4Aa25Dwxni7PrLo2zLAtBoVwSepkvH6nLcW45Cjb9zaEC2SQd03kaaV+Ckx3FhCh5ohNM5Q==

3.2 iptables规则添加

  1. sudo iptables -I INPUT 1 -i 网卡名 -p tcp --dport 22 -j DROP
  2. sudo iptables -I INPUT 1 -i 网卡名 -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3.3 启动fwknop守护进程

  1. 启动 sudo fwknopd
  2. 检查守护进程是否启动成功 sudo fwknopd -S

3.4 客户端敲门

  1. 执行 fwknop -n 2.2.2.2 -a 1.1.1.1

3.5 验证

在客户端执行 telnet ip port 命令执行成功就表示端口被成功打开。

参考:

  1. https://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html
愤怒的小黄鸭
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全零信任学习1:基本概念
jackyrongvip的专栏
05-04 1420
4. SDP与VPN的区别乍一看,SDP与VPN在架构上有几分相似,但其实SDP架构中有很多安。息之前二者不知道对方的存(5)在下发信息后,SDP客户端与SDP网关建立安全加密的数据传输。任扩展生态系统(Zero Trust eXtended(ZTX) Ecosystem)。(Zero Trust Architecture)是一种基于零信任理念的企业网络。不甘寂寞,又提出了零信任边缘(Zero Trust Edge,ZTE)的概。从上面的介绍可以看出,ZTX的内涵已经相当丰富了,但Forrester。
白话零信任03:第四章零信任组件技术
caoxiaoye的博客
01-07 1949
零信任架构中各个技术组件详解
推荐开源项目:Awesome-Project
最新发布
gitblog_00079的博客
05-09 247
推荐开源项目:Awesome-Project 项目地址:https://gitcode.com/mrash/fwknop 1. 项目介绍 在浩瀚的开源世界中,Awesome-Project无疑是一颗璀璨的明星。这个项目旨在为开发者提供一个高效、易用且功能强大的工具,帮助他们在日常开发工作中节省时间,提高生产力。无论你是新手还是老手,Awesome-Project都能以其全面的特性和灵活的设计满足你...
fwknop:单个数据包授权>端口敲门
04-28
fwknop-单包授权 介绍 fwknop实现了一种称为单数据包授权(SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的单个数据包,以传达对默认情况下丢弃过滤状态下隐藏在防火墙后面的服务的所需访问权限。 SPA的主要应用是使用防火墙来丢弃所有尝试连接到服务(例如SSH)的尝试,从而使利用漏洞(0天和未修补的代码)更加困难。 因为没有开放端口,所以SPA隐藏的任何服务自然都无法使用Nmap进行扫描。 fwknop项目支持四种不同的防火墙:Linux,OpenBSD,FreeBSD和Mac OS X上的iptables,firewalld,PF和ipfw。还支持自定义脚本,因此可以使fwknop支持其他基础结构,例如ipset或nftables。 。 SPA本质上是下一代Port Knocking(PK),但解决了PK表现出的许多局限性,
fwknop入门文档
会飞的码农
09-23 2714
fwknop 文章目录 系列文章目录 前言 一、fwknop是什么? 二、用例 1.用例简介 2.用户界 三、详细教程 四、特性 五、使用许可 六、当前状态 总结 前言 随着网络信息安全越来越被人们所重视,无论是企业还是个人隐私数据关系到切身利益,fwknop提供了端口权限控制的安全技术,本文主要介绍了fwknop的基础特性。 一、fwknop是什么? fwknop实现了基于单包认证(SPA)的强服务隐藏授权协议,SPA只需要一个加密的单包,无需...
零信任SPA端口敲门
键盘的起始页
11-09 2663
差不多2020年9月份研究ATT&CK的时候,做规则覆盖能力,遇到了端口敲击(Port Knocking,PK),当时我设计了检测方案,但是没有做实验来验证,也没有列入开发计划,直到今天2021年2月研究零信任的时候,再次碰到了PK,只不过这次换了个马甲,叫SPA(单包授权认证),终于下定决心来一探究竟~ SPA单包认证,通过wireshark抓包,发现是通过UDP报文敲打服务端的62201端口,然后那个ICMP报文是端口不可达,这是UDP的传输特性,因为它没有三次握手,所以需要借助ICMP来报信
fwknop教程
会飞的码农
09-29 5309
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为单包认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的单包、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
零信任实践之单包认证(SPA)
热门推荐
sojrs_sec的博客
04-23 1万+
概况 随着零信任概念的越来越火热,产业界也都在考虑如何将零信任的理念落地到实践中。这其中SDP推动零信任的实践路上走出了一大步,所谓SDP又称软件定义边界,理论上来说可以替代传统的物理边界。SDP边界之间自有一套自己的认证和授权体系,与传统的通过账号密码认证不同。在这众多认证和授权体系当中,我们有必要了解一下SPA即单包认证的思路和实践 SPA/PK是什么 Port Knocking[PK]:字面...
TSec零信任Lite版公开版.pdf
06-09
腾讯TSec零信任Lite版公开版是基于SDP(Software-Defined Perimeter)技术架构的新一代零信任安全接入解决方案,旨在提供安全、高效、轻量级的目录CONTENTS解决方案。 知识点1:零信任安全架构 T-Sec零信任Lite版...
SPA matlab程序
11-01
在Matlab环境中,SPA程序能够帮助研究人员和工程师分析具有不同时间尺度组件的复杂系统。这种分析对于理解和优化多尺度系统的行为至关重要,特别是在工程、物理、生物科学和经济学等领域。 Matlab作为一款强大的...
vue中SPA单页面应用程序详解
08-28
Vue 中 SPA 单页面应用程序详解 SPA(Single Page Application)是一种特殊的 Web 应用程序,它将所有的用户界面和业务逻辑集中在一个 HTML 页面中。这种架构方式可以提供快速的用户体验,因为它只需要从服务器下载...
封闭还是开放_——谈零信任落地.pdf
08-08
所有的实名应用访问都需要“零信任” 封闭与开放 零信任SDP封闭网络安全架构 互联网开放DNS解析和零信任私有域智能引流 互联网开放DNS解析 零信任私有域智能引流 企业级浏览器,打造统一的应用访问可信入 SPA机制...
spa接待流程
06-05
spa接待流程
国内安全厂商零信任技术详解_零信任国内,2024年最新你还看不明白
2301_76328475的博客
04-14 447
零信任表示对一切都不信任,包括:人、设备、网络等实体,其代表了新一代的网络安全防护概念,它的概念在于打破默认的“信任”,用一句话概括起来就是:持续验证、永不信任。默认不信任企业内外部的任何人、设备和系统,基于身份认证和授权重新构建起访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任的原则,保障系统的三个安全:终端安全、链路安全和访问控制安全。
零信任的三种主流技术【远航】
数据安全学习分享
09-18 8356
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
fwknop通过源码编译的安装和使用测试(新)
STUPCAT的博客
07-05 420
此教程使用github原码进行编译安装,还可使用apt直接进行下载(不在本页)从GitHub下载原码压缩包解压后进入文件路径首先保证安装以下软件。
超详细零信任市场解读
weixin_43909140的博客
05-26 5631
零信任 零信任的特点: “信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是基本原则,在不可信 网络中构建安全系统是零信任的终极目标。 不再以一个清晰的边界,来划分信任或不信任的设备。(强调无边界); 不再有信任或不信任的网络(不分内外网); 不再有信任或不信任的用户(一次认证、静态认证或只靠认证是不可靠的); 不做任何假定,不信任任何人愿,随时检查一切,防...
fwknop的安装和使用测试
小丑鱼的专栏
02-09 1599
fwknop是SAP单包授权的开源软件,可以实现端口隐藏,配合一次性敲门,密码正确,实现短暂开放,然后进行服务访问,可以有效防止DOS攻击,隐藏端口,保证服务端的相对安全。
fwknop 客户端使用总结
weixin_41111116的博客
07-24 1109
fwknop 客户端使用总结
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值