开源单包授权工具fwknop环境搭建

于 2024-12-17 07:30:00 发布
阅读量1.1k 收藏 9
点赞数 26
分类专栏: 网络安全 文章标签: 网络安全 安全 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52069830/article/details/144456850
版权

0x01 FWKNOP介绍

SDP架构下保护的业务服务只允许被认为合法的报文进行访问,丢弃“非法”报文,从而实现了业务服务隐身。SDP 架构分为三个部分:SDP Client、Controller、Gateway。所有的Client在访问资源之前,都要通过Controller服务对SPA单包验证和访问控制, 由Gateway对应用进行业务处理。如下图所示:

image-20240120160830753

本文中提到的fwknop实现了一种称为单包授权(SPA)的授权方案,用于隐藏服务。SPA将单个数据包经过加密,不可重放,并通过HMAC进行身份验证,以便在传达到隐藏在防火墙后面的SPA的主要应用场景是防火墙来过滤一切SSH等服务流量,从而使漏洞的利用(包括0day的和未打补丁)变得更加困难。由于没有开放端口,因此无法使用Nmap扫描SPA隐藏的任何服务。fwknop在Linux上支持iptables和firewalld,在FreeBSD和Mac OS X上支持 ipfw,在OpenBSD上支持PF和libpcap。

SPA通过减少暴露的服务端口,以及使用动态、单一数据包进行授权,增加了安全性,使得攻击者更难以发现和利用潜在的漏洞。这与零信任模型的理念相符,即不信任任何内外网络,通过有效的身份验证和授权来保护资源。

0x02 环境介绍&配置

使用Ubuntu 20.04环境进行搭建ubuntu 镜像下载地址 点击下载,依赖源为清华源镜像

网络地址规划&系统密码:

主机地址
Server192.168.31.211
Client192.168.31.37

Ubuntu换源

sudo su 
sudo vim /etc/apt/source.list
#将下文写入 并保存
# 默认注释了源码镜像以提高 apt update 速度,如有需要可自行取消注释
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-updates main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-backports main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ focal-security main restricted universe multiverse
# deb-src http://security.ubuntu.com/ubuntu/ focal-security main restricted universe multiverse

# 预发布软件源,不建议启用
# deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-proposed main restricted universe multiverse
# # deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-proposed main restricted universe multiverse
sudo apt update

0x03 fwknop源码下载&编译&安装

从github下载程序,首先安装前置工具

sudo apt install git make gcc libpcap gawk mawk libpcap-dev

使用git命令将代码下载到本地

git clone https://github.com/mrash/fwknop.git 
cd fwknop
chmod +x configure 
./configure --prefix=/usr --sysconfdir=/etc --disable-client # 这一步用来检查依赖安装是否完整

如图这一步即为成功

image-20240117171211729

继续编译程序,注意需要使用root权限来运行程序

sudo make
sudo make install
which fwknopd #如果能成功找到文件代表安装成功

0x04 配置fwknop服务端

fwknopd.conf需要配置的信息为网卡名称 在40行的位置

PCAP_INTF ens33

access.conf需要配置的敲门规则,以及客户端的token,生效时间等等

key之类的东西先不管,会在客户端进行生成

SOURCE              ANY
OPEN_PORTS	tcp/22
KEY_BASE64          TxpMVCiWRxc6IUR0rmABy2jKTDnI3SFa1MRD8fuOtgc=
HMAC_KEY_BASE64     mm+lPMq6WY8QHOcZdJ80XmDlNbWw+7zOJB87uw5wf9ShkgPiykxXDgPUeA+X6UlUF6Oa3MTEcSR0GMUZjm6sJQ==
FW_ACCESS_TIMEOUT	20
# If you want to use GnuPG keys then define the following variables
#
#GPG_HOME_DIR           /homedir/path/.gnupg
#GPG_DECRYPT_ID         ABCD1234
#GPG_DECRYPT_PW         __CHANGEME__

FW_ACCESS_TIMEOUT设置20表示敲门,门开会保持20s,20s过了以后,门关闭

开启与关闭

sudo fwknopd start 启动服务
sudo fwknopd -S	查看服务运行PID
kill -9 [pid] 结束进程

0x05 安装客户端验证服务成功

sudo apt install fwknop-client

成功安装之后 使用如下命令生成验证信息

fwknop -A tcp/22 -a 192.168.31.37 -D 192.168.31.211 -p 62201 -P udp --key-gen --use-hmac --save-rc-stanza

-a后为客户端ip,-D后面为服务器ip,-p后为服务器监听SPA包的端口,-P后为发送的SPA包的协议,一般采用UDP包。

执行后生成了文件.fwknoprc文件中有key,将key放入access.conf配置信息

通过iptales封禁22端口,这一步的意义是手动关闭22端口 ,在敲门之后程序会创建一个iptables规则,放行22端口

sudo iptables -I INPUT 1 -i ens33 -p tcp --dport 22 -j DROP
sudo iptables -I INPUT 1 -i ens33 -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

使用端口扫描工具进行测试,效果如下图

image-20240117184454361

打开客户端工具进行敲门

wknop -n 192.168.31.211

image-20240117184547172

验证成功

观察iptables的变化 敲门前

image-20240117191450209

敲门后

image-20240117191513591

可以看到客户机的用户名 以及创建一条iptables规则放行ssh端口

0x06 总结与展望

本文档详细介绍了fwknop环境搭建的全过程,从解释fwknop单包授权(SPA)的概念开始,阐释了其在安全动态端口敲门(SDP)架构中的重要作用。文中详尽指导了如何在Ubuntu 20.04系统上进行环境配置,包括网络规划和软件包源的更新。同时,还介绍了如何从GitHub下载fwknop源代码并进行编译安装,以及如何配置fwknop服务端,包括设置网络接口、敲门规则和客户端令牌,最后还涉及了客户端的安装和服务运行的验证过程。

然而,fwknop作为网络安全工具存在问题。截至最新版本2.6.11-pre1(2019年12月发布)后,代码长期未更新。由于使用C语言,Fwknop其面临跨平台能力不足、兼容性问题和内存漏洞风险,如CVE-2012-4434、CVE-2012-4435、CVE-2012-4436所示。同时美国国家安全局已建议避免使用C/C++软件,强调更安全编程语言的需求。

2031705993018_.pic

image-20240123153436937

展望未来,网络安全领域的发展有望引入更先进的技术,如自主可控的零信任网络隐身技术NHP(Network Hiding Protocol)。NHP技术通过更加严密的安全机制和智能化的管理,能够有效地提高网络的隐蔽性和抵御攻击的能力。这种技术在未来可能会成为网络安全的重要发展方向,尤其是在应对日益复杂的网络威胁和提升系统的整体安全性方面,NHP展现出巨大的潜力。通过引入这样的技术,我们可以期待一个更加安全、可靠的网络环境。

0x07 附录

[1]Fwknop的Github仓库地址:https://github.com/mrash/fwknop

[2]Fwknop的官方支持文档:http://www.cipherdyne.org/fwknop/

[3]CVE-2012-4436:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4436

[4]CVE-2012-4435https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4435

[5]CVE-2012-4434:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4434

[6]Fwknop相关CVE漏洞分析文章:https://ioactive.com/wp-content/uploads/2018/05/Multiple_Security_Vulnerabilities_in_Fwknop.pdf

绎云干货 | 小洋洋对授权认证(SPA)的思索(上)
weixin_52272797的博客
12-31 1967
绎云干货 | 小洋洋对授权认证(SPA)的思索(上) 大家好,我是绎云科技洋仔。今天跟大家聊聊一个比较舒适的话题SPA(Single Packet Authorization),作为SDP(Software Defined Perimeter)的核心功能,其宗旨是对系统开放端口的保护。 全文2237字,阅读需要8分钟左右 作者:洋仔 说到系统开放端口保护,首先想到的是防火墙规则,想要限制哪些服务,或是允许哪些IP可以访问哪些服务,都可以灵(fan)活(suo)的配置。下面我们虚构..
授权认证(SPA)fwknop之安装和演示
he_tao225的博客
05-29 8962
授权认证(SPA)fwknop之安装和演示授权认证(SPA)简介环境介绍操作系统准备安装部署fwknop设置fwknop测试fwknop的SPA效果参考 授权认证(SPA)简介 授权(SPA)是SDP(软件定义边界)的核心功能。主要作用是通过默认关闭服务端口,使服务实现网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息给服务器,服务器认证该报文后,将对该IP地址打开相关的服务。 SPA是一种概念化的技术,其前身是Port Knocking(敲端口)技术。
fwknop:个数据授权>端口敲门
04-28
fwknop-授权 介绍 fwknop实现了一种称为数据授权(SPA)的授权方案,以实现强大的服务隐蔽性。 SPA仅需要一个经过HMAC加密,不可重播和经过身份验证的个数据,以传达对默认情况下丢弃过滤状态下隐藏在防火墙后面的服务的所需访问权限。 SPA的主要应用是使用防火墙来丢弃所有尝试连接到服务(例如SSH)的尝试,从而使利用漏洞(0天和未修补的代码)更加困难。 因为没有开放端口,所以SPA隐藏的任何服务自然都无法使用Nmap进行扫描。 fwknop项目支持四种不同的防火墙:Linux,OpenBSD,FreeBSD和Mac OS X上的iptables,firewalld,PF和ipfw。还支持自定义脚本,因此可以使fwknop支持其他基础结构,例如ipset或nftables。 。 SPA本质上是下一代Port Knocking(PK),但解决了PK表现出的许多局限性,
授权(spa)简介
大草的博客
06-17 7646
授权(spa)简介:概念简介+fwknop安装
fwknop客户端Windows
12-23
fwknop客户端Windows 详见:http://blog.csdn.net/suntongo/article/details/53806943
fwknop教程
会飞的码农
09-29 5725
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
fwknop入门文档
会飞的码农
09-23 3022
fwknop 文章目录 系列文章目录 前言 一、fwknop是什么? 二、用例 1.用例简介 2.用户界 三、详细教程 四、特性 五、使用许可 六、当前状态 总结 前言 随着网络信息安全越来越被人们所重视,无论是企业还是个人隐私数据关系到切身利益,fwknop提供了端口权限控制的安全技术,本文主要介绍了fwknop的基础特性。 一、fwknop是什么? fwknop实现了基于认证(SPA)的强服务隐藏授权协议,SPA只需要一个加密的,无需...
fwknop安卓客户端
01-04
fwknop安卓客户端
fwknop特性
会飞的码农
10-09 870
Fwknop特性 1.基于linux系统上的iptables和firewalld防火墙以及*BSD、Mac OS X系统上的ipfw防火墙及OpenBSD系统上的PF防火墙,实现了认证机制。 2.fwknop客户端可以运行在Linux、Mac OS X、*BSD以及Windows(前提是安装了Cygwin)。还有独为Windows设计的图形界面Widowns UI,源码可以从这里下载。除此之外,客户端还支持iPhone手机和安卓手机。 3.同时支持Rijndael和GnuPG两种方式给SPA数据
aldaba-suite:一个用于 GNULinux 的开源授权和端口敲门认证系统
06-15
用于 GNU/Linux 的开源授权和端口敲门认证系统。 如今,系统管理员不能依靠软件制造商提供的安全性来保护在其网络服务器上运行的服务。 对于无法承受安全漏洞的关键系统,0 天漏洞利用是严重威胁。 Port ...
基于授权的零信任防火墙设计方案研究.pdf
01-31
基于授权的零信任防火墙设计方案研究.pdf
Android平台Fwknop2授权客户端应用
Fwknop2是“Firewall Knock Personal Only 2”的缩写,它是一种使用授权(Single Packet Authorization, SPA)的客户端工具,用于增强网络安全。 #### 描述解读 - **Fwknop2介绍** 描述提到Fwknop2是Android...
fwknop 安装与使用教程
最新发布
gitblog_01019的博客
08-13 613
fwknop 安装与使用教程 项目地址:https://gitcode.com/gh_mirrors/fw/fwknop 1. 项目目录结构及介绍 在克隆的 fwknop.git 仓库中,你将看到以下主要目录结构: . ├── COPYING # 许可文件 ├── docs # 项目文档 ├── examples # 示例配置文件 ├── man ...
fwknop服务端调试
anzhuangguai的专栏
10-01 1149
目前默认的配置文件在/usr/local/etc/fwknop/fwknop.conf。access.conf可以在fwknop.conf里面指定。这里稍微明显的是libfko这个文件,注意用对合适的就好。2 如上文编译fwknop后,我选择的是gpg模式。1 fwknopd是一个封装脚本。3 ldd fwknop可以看到。gdb fwknop可进入。
fwknop通过源码编译的安装和使用测试(新)
STUPCAT的博客
07-05 602
此教程使用github原码进行编译安装,还可使用apt直接进行下载(不在本页)从GitHub下载原码压缩解压后进入文件路径首先保证安装以下软件。
授权与端口试探工具Fwknop介绍
TENCENTSYS的博客
04-19 2178
fwknop实现了一种称为授权(SPA)的授权方案,用于隐藏服务。SPA将个数据经过加密,不可重放,并通过HMAC进行身份验证,以便在传达到隐藏在防火墙后面的服务。 SPA的主要应用场景是防火墙来过滤一切SSH等服务流量,从而使漏洞的利用(括0day的和未打补丁)变得更加困难。由于没有开放端口,因此无法使用Nmap扫描SPA隐藏的任何服务。 fwknop项目支持四种不同的防火墙:Linu...
fwknop服务端代码理解
anzhuangguai的专栏
09-30 900
开放接口,用于解密。此时输入ctx括待解密报文,待解密报文长度,输入key括密钥长度,密钥。解码,此时输入ctx括待解密报文,待解密报文长度,输入key括密钥长度,密钥。这里有遍历公钥列表(acc),用每个公钥去解密(此处机会)粗略确保不是重放报文。(此处可以将机会用上)内部函数,rijndael算法解密。基于base64的解密。
fwknop数据格式
ZQ960214的博客
06-04 284
fwknop数据格式
fwknop服务端编译和使用
anzhuangguai的专栏
10-01 815
选择pgp而不是rijndael算法,主要是后者是对称算法,而pgp的是非对称算法。总体上感觉非对称算法的通用性会好些。关于非编译使用的场景可以参考上面的引文。这篇文档基于fwknop+pgp做了很好的说明。gpgme是gpg make easy,相当于gpg的控制程序。安装gpgme的开发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Financial talent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值