27、端口敲门与单包授权技术解析及fwknop应用实践

fwknop与单包授权技术详解

最新推荐文章于 2025-12-08 10:36:22 发布

neovim7hacker

最新推荐文章于 2025-12-08 10:36:22 发布

阅读量5

点赞数

CC 4.0 BY-SA版权

分类专栏： Linux防火墙实战精要文章标签：端口敲门单包授权 SPA

本文链接：https://blog.youkuaiyun.com/neovim7hacker/article/details/155703192

Linux防火墙实战精要专栏收录该内容

31 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

端口敲门与单包授权技术解析及fwknop应用实践

1. 端口敲门与单包授权的应用局限与应对策略

在网络安全防护中，默认丢弃规则下，即便最初允许会话建立的规则被移除，连接仍可能保持开启。对于长时间运行的 TCP 会话，使用连接跟踪机制来保持已建立的 TCP 连接是一种不错的解决方案。然而，对于像 HTTP 数据传输或邮件服务器间 SMTP 数据传输这类短连接，单包授权（SPA）技术存在一定局限性。用户每点击一个网页链接就生成一个新的 SPA 包会很不方便，而且每个链接都是通过单独的 TCP 连接传输的，所以总体来说，SPA 不太适合保护这类服务。

为解决这一问题，有以下几种策略：
- 延长客户端 IP 地址的超时时间 ：例如将超时时间延长至一小时，这样在这段时间内无需新的 SPA 包。不过这会在一定程度上降低 SPA 的有效性，但如果你的 Web 服务器运行着关键应用且安全是首要考虑因素，这种方法或许可行。
- 让 SPA 客户端自动生成 SPA 包 ：可以通过在本地文件系统中缓存加密密码来实现。但一般不建议将加密密码放在文件系统中，因为这可能会削弱 GnuPG 私钥的安全性。更有效的做法是将 SPA 客户端与尽可能多的客户端程序深度集成。

2. 端口敲门与单包授权是否属于模糊安全技术

端口敲门或 SPA 是否属于模糊安全技术一直是个热门的争议话题。当提出一种新的安全技术时，全球的研究人员会对其架构进行审查。判断一项安全技术是否属于模糊安全技术是常见的测试之一，如果是，人们会尝试修复其架构。

Bruce Schneier 在《应用密码学》的前言中给出了一个形象的比喻：把一封信锁在保险箱里，将保险箱藏在纽约的某个地方，然后让你去读信，这不是安全，而是模糊；若把信锁在保险箱里，同时给你保险箱的设计规格以及数百个带有密码的相同保险箱，让你和世界上最厉害的保险箱窃贼研究锁机制，而你仍然无法打开保险箱读取信件，这才是安全。

任何端口敲门或 SPA 的开源实现都类似于向人们提供保险箱内部工作的所有细节，从加密算法到每个软件与包过滤器的接口方式，一切都是公开可见的。在加密的 SPA 包或端口敲门序列穿越网络时，唯一隐藏的是加密密钥本身。强大的密码系统不会因为加密密钥未向外界公开而属于模糊安全技术。

下面通过一个假设的例子进一步说明：假设在 OpenSSH 服务器守护进程的某个特定函数中发现了一个漏洞，创建一个补丁，要求远程 SSH 客户端访问该函数时提供一段加密数据，使用如 Rijndael 或 GnuPG 使用的 Elgamal 密码等经过严格审查的密码进行加密。在这个例子中，只要加密算法安全，利用该漏洞进行攻击的可能性就会降低，这种修复并不依赖于模糊安全技术。

端口敲门（至少是加密形式）和 SPA 提供了比这个假设例子更好的安全特性。因为恶意客户端在不提供类似加密数据的情况下，甚至无法与 SSH 服务器上的 TCP 栈建立 TCP 会话，更不用说与 SSH 守护进程通信了。所以，端口敲门和 SPA 都不应仅仅被视为模糊安全技术。

3. 应对 SSH 攻击的策略

一些人会编写脚本来检测攻击者是否试图通过 SSHD 暴力破解密码，方法是监控 /var/log/auth.log 中重复的 root 认证失败消息（具体文件取决于系统日志守护进程的配置）。但如果在 OpenSSH（或其他 SSH 实现）中发现一个无需经过用户名/密码验证过程就能远程访问的函数存在新的缓冲区溢出漏洞，这种方法就没什么用了。甚至有 Snort 规则可以对 SSH 连接进行明文入侵检测，以检测对 Buqtraq 编号 2347 中报告的 CRC32 溢出漏洞的利用尝试。攻击者一旦掌握这样的漏洞利用方法，就无需暴力破解密码，甚至不需要进入 SSH 通常要求的加密/解密流程。

更好的策略是一开始就不让任意 IP 地址连接到你的 SSH 守护进程，这就是单包授权（SPA）发挥作用的地方。

4. fwknop 简介

FireWall KNock OPerator（fwknop）于 2004 年 6 月作为开源项目在 GNU 公共许可证（GPL）下发布。它是第一个将加密端口敲门与被动操作系统指纹识别相结合的端口敲门实现，使得只有 Linux 系统能够连接到你的 SSH 守护进程（端口敲门客户端系统的 TCP 栈作为额外的认证参数）。fwknop 的端口敲门组件基于 iptables 日志消息，并使用 iptables 作为默认丢弃包过滤器。

2005 年 5 月，发布了 fwknop 的单包授权模式，fwknop 成为首个公开可用的 SPA 软件。截至目前，fwknop - 1.0 是最新可用版本，SPA 认证方法是默认方法，不过 fwknop 仍支持旧的端口敲门方法。

需要注意的是，fwknop 实际上支持对希望访问默认丢弃包过滤器后面服务的远程客户端进行身份验证（验证通信实体的数字身份的过程）和授权（确定实体是否有权执行操作的过程），这两个过程不同且都很重要。

5. fwknop 安装

安装 fwknop 首先要从 http://www.cipherdyne.org/fwknop/download 下载最新的源 tarball 或 RPM。为确保安全，建议验证 MD5 总和，最好使用 GnuPG 验证 GnuPG 签名。以下是安装 fwknop 版本 1.0 源 tarball 的具体步骤：

$ cd /usr/local/src
$ wget http://www.cipherdyne.org/fwknop/download/fwknop-1.8.1.tar.bz2
$ wget http://www.cipherdyne.org/fwknop/download/fwknop-1.8.1.tar.bz2.md5
$ md5sum -c fwknop-1.8.1.tar.bz2.md5
$ fwknop-1.8.1.tar.bz2: OK
$ wget http://www.cipherdyne.org/fwknop/download/fwknop-1.8.1.tar.bz2.asc
$ gpg --verify fwknop-1.8.1.tar.bz2.asc
gpg: Signature made Wed Jun 6 01:27:16 2007 EDT using DSA key ID A742839F
gpg: Good signature from "Michael Rash <mbr@cipherdyne.org>"
gpg:                 aka "Michael Rash <mbr@cipherdyne.com>"
$ tar xfj fwknop-1.8.1.tar.bz2
$ su -
Password:
# cd /usr/local/src/fwknop-1.8.1
# ./install.pl

与某些软件安装类似， install.pl 脚本会提示你输入一些信息，如授权模式（使用 SPA 模式还是旧的端口敲门模式）以及你希望 fwknop 嗅探数据包的接口。

你可以在仅支持作为 SPA 客户端发送 SPA 包的系统上安装 fwknop，也可以在既支持发送 SPA 包又能从网络嗅探它们的系统上安装（这是默认情况）。完整安装 fwknop 会在文件系统中创建多个文件和目录以支持正常运行，具体如下：
| 文件或目录 | 说明 |
| ---- | ---- |
| /usr/bin/fwknop | 客户端程序，负责接受用户的密码输入，构造符合 fwknop 包格式的 SPA 包，使用 Rijndael 对称密码或通过与 GnuPG 接口进行非对称加密对包数据进行加密，并通过 UDP、TCP 或 ICMP 发送加密的 SPA 包。默认通过 UDP 端口 62201 发送 SPA 包，可从命令行更改。 |
| /usr/sbin/fwknopd | 主守护进程，负责嗅探和解密 SPA 包数据，防范重放攻击，解码 fwknop SPA 包格式，验证访问权限，并重新配置本地 iptables 策略以临时授予 SPA 包中请求的服务访问权限。 |
| /usr/bin/fwknop_serv | 一个简单的 TCP 服务器，仅在 SPA 包通过 Tor 匿名网络发送时使用。使用该服务器会导致双向通信，从技术上打破了 SPA 协议通常的单向性质。 |
| /usr/lib/fwknop | fwknop 使用的 Perl 模块安装在此目录，以保持系统 Perl 库树的整洁。安装的模块包括 Net::Pcap、Net::IPv4Addr 等。 install.pl 脚本会小心地仅安装系统 Perl 库树中不存在的 Perl 模块，以最小化磁盘使用。可使用 --force-mod-install 命令行参数强制安装所有必需的 Perl 模块。在运行 ipfw 防火墙的系统或在 Cygwin 下的 Windows 上仅作为客户端安装 fwknop 时，不会安装 IPTables::Parse 和 IPTables::ChainMgr 模块。 |
| /etc/fwknop | fwknop 守护进程配置文件（如 fwknop.conf 和 access.conf）的主目录。此目录在 fwknop 以服务器模式运行时使用，在客户端模式下生成 SPA 包时不需要。 |
| /usr/sbin/knopmd | 用于从 /var/lib/fwknop/fwknopfifo 命名管道解析 iptables 日志消息的守护进程，仅在 fwknop 以旧的端口敲门模式运行时使用。 |
| /usr/sbin/knoptm | 用于从 iptables 链中移除 fwknop 为合法 SPA 客户端添加的访问规则条目的守护进程。因为主 fwknopd 守护进程从实时接口嗅探，操作系统在接口接收到数据包之前不会调度其运行，所以需要此守护进程。如果 fwknopd 从由单独的嗅探进程或 ulogd 更新的 PCAP 文件中读取数据包数据，则不需要 knoptm 守护进程，此时 fwknopd 会定期调度运行，可自行对 iptables 规则实施超时。 |
| /usr/sbin/knopwatchd | 监控守护进程，用于在守护进程死亡时重启它。不过 fwknop 通常很稳定，所以 knopwatchd 通常工作量不大，仅作为预防措施存在，因为运行 SPA 意味着只有 fwknopd 运行时才能访问受保护的服务。 |
| /etc/init.d/fwknop | fwknop 的初始化脚本，允许用户以与大多数 Linux 发行版一致的方式启动 fwknop，即执行 /etc/init.d/fwknop start 。该初始化脚本仅在以服务器模式启动 fwknop 时才有意义。 |

6. fwknop 配置

在服务器模式下，fwknop 参考两个主要配置文件 fwknop.conf 和 access.conf 来获取配置指令。这些文件中的每一行遵循简单的键值约定来定义配置变量，注释行以井号（#）开头。以下是 fwknop.conf 中一些重要配置变量的介绍：
- AUTH_MODE ：该变量告诉 fwknop 守护进程如何收集数据包数据。支持多种收集模式，包括通过 Net::Pcap Perl 模块从实时接口嗅探数据包、从 ulogd 写入文件系统的 PCAP 格式文件中读取数据包、使用单独的以太网嗅探器（如 tcpdump）或从 /var/log/fwknop/fwdata 文件解析 iptables 日志消息。可能的值为 PCAP、FILE_PCAP、ULOG_PCAP 和 KNOCK，默认值为 PCAP。示例配置：

AUTH_MODE                   PCAP;

PCAP_INTF ：定义 fwknop 守护进程用于监控数据包的实时接口，仅在 AUTH_MODE 设置为 PCAP 时使用，默认设置为 eth0 接口。示例配置：

PCAP_INTF                   eth0;

PCAP_FILTER ：实时接口可能传输或接收大量与 SPA 流量完全无关的数据包数据，无需让 fwknop 守护进程处理这些数据。该变量允许你根据网络层地址或传输层端口号等标准限制 libpcap 传递给 fwknop 的数据包类型。由于默认情况下 fwknop 通过 UDP 端口 62201 传输 SPA 包，该变量设置如下（可修改以通过不同端口和/或协议获取 SPA 包）：

PCAP_FILTER                 udp port 62201;

ENABLE_PCAP_PROMISC ：设置为 Y 时，指示 fwknop 守护进程监控通过实时数据包捕获接口发送的所有以太网帧（即接口以混杂模式运行）。当 AUTH_MODE 设置为 PCAP 时，此功能默认启用；但如果 fwknop 守护进程嗅探的接口处于活动状态且分配了 IP 地址（意味着 SPA 文件可以直接发送到该接口），则可以禁用此功能，示例配置：

ENABLE_PCAP_PROMISC         N;

FIREWALL_TYPE ：告诉 fwknopd 它负责在接收到有效的 SPA 包后重新配置的防火墙类型。支持的值为 iptables（默认）和适用于 FreeBSD 和 Mac OS X 系统的 ipfw。示例配置：

FIREWALL_TYPE               iptables;

PCAP_PKT_FILE ：如果 AUTH_MODE 设置为 FILE_PCAP 或 ULOG_PCAP ，fwknop 守护进程将从文件系统中的 PCAP 格式文件获取数据包数据。该文件的路径由 PCAP_PKT_FILE 变量定义，默认设置如下：

PCAP_PKT_FILE               /var/log/sniff.pcap;

IPT_AUTO_CHAIN1 ： IPTables::ChainMgr Perl 模块用于 fwknop 为合法 SPA 客户端添加和移除 ACCEPT 规则。该模块也被 psad 使用，但 psad 添加的是针对发送恶意流量的 IP 地址的 DROP 规则。 IPT_AUTO_CHAIN1 变量的默认配置是将 ACCEPT 规则添加到自定义 iptables 链 FWKNOP_INPUT 中，并将数据包从内置的 INPUT 链跳转到该链。示例配置：

IPT_AUTO_CHAIN1         ACCEPT, src, filter, INPUT, 1, FWKNOP_INPUT, 1;

ENABLE_MD5_PERSISTENCE ：SPA 协议最重要的特性之一是能够检测和忽略重放攻击。该变量控制 fwknop 守护进程是否将所有成功解密的 SPA 包的 MD5 总和写入磁盘，这使得 fwknop 能够在 fwknop 重启甚至系统重启时检测重放攻击。此功能默认启用，但如果希望验证重放检测功能是否正常工作（需要通过网络向 SPA 服务器发送重复的 SPA 包），可以禁用该功能。示例配置：

ENABLE_MD5_PERSISTENCE      Y;

MAX_SPA_PACKET_AGE ：定义 fwknop 服务器允许接受 SPA 包的最大年龄（以秒为单位），默认值为两分钟。该变量仅在 ENABLE_SPA_PACKET_AGING 启用时使用。示例配置：

MAX_SPA_PACKET_AGE          120;

ENABLE_SPA_PACKET_AGING ：默认情况下，fwknop 守护进程要求从 fwknop 客户端发送的 SPA 包的年龄小于 120 秒（两分钟），由上述 MAX_SPA_PACKET_AGE 变量定义。fwknop 客户端在每个 SPA 包中包含一个时间戳，fwknop 服务器使用该时间戳确定所有 SPA 包的年龄。此功能需要 fwknop 客户端和服务器之间进行松散的时间同步，但强大的网络时间协议（NTP）使这很容易实现。如果禁用 ENABLE_SPA_PACKET_AGING ，攻击者可以阻止 SPA 包转发，之后再发送原始 SPA 包，fwknop 服务器可能会接受该包。因此，强烈建议启用此功能。示例配置：

ENABLE_SPA_PACKET_AGING     Y;

REQUIRE_SOURCE_ADDRESS ：该变量告诉 fwknop 服务器要求所有 SPA 包在加密负载中包含要通过 iptables 授予访问权限的 IP 地址。启用此功能后，可增强安全性。

端口敲门与单包授权技术解析及fwknop应用实践（续）

7. 配置变量的作用及影响

在 fwknop.conf 中的这些配置变量，各自发挥着重要的作用，对 fwknop 的运行和安全性有着直接的影响，下面我们详细分析一下：
- AUTH_MODE ：不同的收集模式适用于不同的场景。如果选择实时接口嗅探（PCAP），可以及时获取最新的数据包信息，但可能会受到网络环境的影响；而从文件读取（FILE_PCAP 或 ULOG_PCAP）则更适合对历史数据进行分析。选择合适的模式可以提高 fwknop 收集数据的效率和准确性。
- PCAP_INTF ：指定监控接口时，需要根据实际网络拓扑和流量情况进行选择。如果选择错误的接口，可能会导致 fwknop 无法获取到有效的 SPA 数据包。
- PCAP_FILTER ：合理设置过滤规则可以减少 fwknop 处理的数据量，提高性能。例如，如果只允许特定端口的 SPA 数据包通过，可以避免处理大量无关的网络流量。
- ENABLE_PCAP_PROMISC ：在混杂模式下，fwknop 可以捕获所有经过接口的数据包，但这也可能会增加系统的负担。如果接口有明确的 IP 地址，且 SPA 数据包可以直接发送到该接口，禁用该功能可以提高系统的安全性和效率。
- FIREWALL_TYPE ：根据不同的操作系统和防火墙类型进行选择，确保 fwknop 能够正确地重新配置防火墙规则，以实现对服务的访问控制。
- PCAP_PKT_FILE ：指定数据包文件的路径时，需要确保文件的读写权限正确，并且文件所在的磁盘空间足够。否则，可能会导致 fwknop 无法正常获取数据包数据。
- IPT_AUTO_CHAIN1 ：通过合理配置该变量，可以将合法的 SPA 客户端的访问规则添加到合适的 iptables 链中，从而实现对网络访问的精细控制。
- ENABLE_MD5_PERSISTENCE ：启用该功能可以有效防范重放攻击，确保系统的安全性。即使在 fwknop 重启或系统重启后，仍然能够检测到重复的 SPA 数据包。
- MAX_SPA_PACKET_AGE 和 ENABLE_SPA_PACKET_AGING ：这两个变量相互配合，确保 SPA 数据包的时效性。通过设置合理的最大年龄和启用数据包老化功能，可以防止攻击者利用旧的 SPA 数据包进行攻击。
- REQUIRE_SOURCE_ADDRESS ：要求 SPA 数据包中包含要授予访问权限的 IP 地址，可以进一步增强系统的安全性，防止攻击者伪装成其他 IP 地址进行访问。

8. fwknop 配置流程总结

为了更清晰地展示 fwknop 的配置过程，下面给出配置的流程图：

graph LR
    A[开始] --> B[设置 AUTH_MODE]
    B --> C{是否为 PCAP}
    C -- 是 --> D[设置 PCAP_INTF]
    C -- 否 --> E[设置 PCAP_PKT_FILE]
    D --> F[设置 PCAP_FILTER]
    E --> F
    F --> G{是否需要混杂模式}
    G -- 是 --> H[ENABLE_PCAP_PROMISC = Y]
    G -- 否 --> I[ENABLE_PCAP_PROMISC = N]
    H --> J[设置 FIREWALL_TYPE]
    I --> J
    J --> K[设置 IPT_AUTO_CHAIN1]
    K --> L[设置 ENABLE_MD5_PERSISTENCE]
    L --> M[设置 MAX_SPA_PACKET_AGE]
    M --> N[设置 ENABLE_SPA_PACKET_AGING]
    N --> O[设置 REQUIRE_SOURCE_ADDRESS]
    O --> P[结束]

从这个流程图可以看出，fwknop 的配置是一个逐步进行的过程，每个步骤都依赖于前面的设置，并且每个配置变量都对系统的运行和安全性有着重要的影响。

9. 综合应用与安全提升

fwknop 结合端口敲门和单包授权技术，为网络安全提供了一种有效的解决方案。通过合理的配置，可以在不同的场景下实现对服务的安全访问控制。
- 防范暴力破解 ：对于 SSH 服务，传统的暴力破解密码方式在 fwknop 的保护下将变得无效。因为攻击者无法在没有正确的 SPA 数据包的情况下与 SSH 守护进程建立连接，从而大大提高了 SSH 服务的安全性。
- 抵御零日漏洞攻击 ：即使在发现新的缓冲区溢出漏洞等零日漏洞时，由于 fwknop 限制了任意 IP 地址对 SSH 服务的访问，攻击者无法直接利用这些漏洞进行攻击，为系统管理员争取了更多的时间来修复漏洞。
- 灵活的访问控制 ：fwknop 支持多种配置方式，可以根据不同的需求和场景进行定制。例如，可以通过设置不同的授权模式、过滤规则和超时时间，实现对不同客户端和服务的精细访问控制。

10. 实际部署建议

在实际部署 fwknop 时，需要注意以下几点：
- 安全的密钥管理 ：加密密钥是 fwknop 安全的核心，需要妥善保管。避免将密钥存储在不安全的位置，定期更换密钥，以防止密钥泄露导致系统被攻击。
- 严格的配置管理 ：仔细检查每个配置变量的设置，确保其符合实际需求和安全策略。在生产环境中，建议先在测试环境中进行充分的测试，确保配置无误后再进行部署。
- 实时监控与日志分析 ：定期查看 fwknop 的日志文件，及时发现异常的访问行为和潜在的安全威胁。可以结合其他安全工具，如入侵检测系统（IDS）和入侵防御系统（IPS），实现更全面的安全防护。
- 系统更新与维护 ：及时更新 fwknop 和相关的依赖软件，以修复已知的安全漏洞和提高系统的性能。同时，定期对系统进行维护和检查，确保其正常运行。

通过以上的介绍，我们可以看到 fwknop 在网络安全领域的重要作用。它结合了端口敲门和单包授权技术，为网络服务提供了强大的安全防护。通过合理的安装、配置和部署，可以有效地抵御各种网络攻击，保障系统的安全稳定运行。在实际应用中，我们应该充分发挥 fwknop 的优势，根据不同的场景和需求进行定制化的配置，以实现最佳的安全效果。