我有一台运行 Wireguard 的服务器。作为一个安全专家,我使用 fwknop(防火墙敲门操作员 - 一个美化的端口敲门服务器)来隐藏 Wireguard 端口。
这意味着每当我想要将我的一个客户端连接到 Wireguard 服务器时,我需要首先使用 fwknop 客户端打开服务器上的 Wireguard 端口(通过 iptables),然后连接到 Wireguard。
我开始怀疑这是否真的有必要,因为 Wireguard 会丢弃无效尝试,黑客不会得到任何反馈。因此,使用 fwknop 或任何其他端口敲击服务都是无用的(至少对于 Wireguard 而言。当然,它可以而且确实对其他服务有用)。
使用端口敲击来隐藏 Wireguard 是否有意义?
答案1
由于端口扫描在 wireguard 上不起作用(它只是一个 UDP 列表器)并且所有无效数据包都会被丢弃,因此端口敲击在这里会成为一种极其偏执的事情。
我不建议在任何商业环境中使用端口敲击,因为它的设计存在缺陷(通过隐蔽性实现安全),并不是真正的“安全”解决方案。但这只是我的观点,我知道一些(奇怪的)管理员放弃了 knox 的 2FA。