6Aug

كيفية ضرب الشبكة الخاصة بك، الجزء 2: حماية فين الخاص بك( د-ورت)

لقد عرضت لك كيفية تشغيل ول عن بعد من قبل "يطرق ميناء" على جهاز التوجيه الخاص بك.في هذه المقالة، سوف نعرض كيفية استخدامها لحماية خدمة فين.

إيماج بي أفياد رافيف & أمب؛bfick.

مقدمة

إذا كنت قد استخدمت وظيفة د-ورت بنيت في فين أو لديك خادم فين آخر في الشبكة الخاصة بك، قد نقدر القدرة على حمايته من هجمات القوة الغاشمة عن طريق إخفاء ذلك وراء تسلسل تدق.من خلال القيام بذلك، سوف تصفية كيديس النصي الذي يحاول الوصول إلى الشبكة الخاصة بك.مع ذلك، كما ذكر في المادة السابقة، يطرق الميناء ليس بديلا عن كلمة مرور جيدة و / أو سياسة الأمن.تذكر أنه مع ما يكفي من الصبر يمكن للمهاجم اكتشاف تسلسل وتنفيذ هجوم اعادتها.
نضع في اعتبارنا أيضا أن الجانب السلبي لتنفيذ هذا هو أنه عندما يريد أي عميل / s فين للاتصال، سيكون لديهم لتحريك تسلسل تدق مسبقا وأنه إذا لم يتمكنوا من إكمال تسلسل لأي سبب من الأسباب، فإنهالن تكون قادرة على فين على الإطلاق.

نظرة عامة

من أجل حماية * خدمة فين سنقوم أولا بتعطيل كل اتصال ممكن معها عن طريق منع منفذ إنستياتينغ من 1723. لتحقيق هذا الهدف، سوف نستخدم إبتابليز.هذا هو السبب، وهذا هو كيف يتم تصفية الاتصالات على معظم توزيعات لينكس / غنو الحديثة بشكل عام وعلى د-ورت على وجه الخصوص.إذا كنت ترغب في الحصول على مزيد من المعلومات حول إبتابليز الخروج من إدخال ويكي، وإلقاء نظرة على مقالنا السابقة حول هذا الموضوع.وبمجرد حماية الخدمة، سنقوم بإنشاء تسلسل تدق التي من شأنها أن تفتح مؤقتا فين إنستياتينغ الميناء وأيضا إغلاقه تلقائيا بعد تكوين كمية من الوقت، مع الحفاظ على جلسة فين المحددة بالفعل متصلة.

ملاحظة: في هذا الدليل، نحن نستخدم خدمة بتب فين كمثال.ومع ذلك، يمكن استخدام نفس الأسلوب لأنواع فين الأخرى، سيكون عليك فقط تغيير المنفذ المحظور و / أو نوع الاتصال.

المتطلبات الأساسية، والافتراضات & أمب؛التوصيات

  • يفترض / مطلوب أن يكون لديك موجه أوبغغ تمكين د-ورت.
  • من المفترض / المطلوب أن تكون قد قمت بالفعل بتنفيذ الخطوات في الدليل "كيفية ضرب الشبكة( د-ورت)".
  • يفترض بعض معرفة الشبكات.

يتيح الحصول على تكسير.

قاعدة الافتراضية "حظر الشبكات الظاهرية الخاصة الجديدة" على د-ورت

في حين أن مقتطف أدناه من "التعليمات البرمجية" من المحتمل أن تعمل على كل، احترام الذات، إبتابليز باستخدام، توزيع لينكس / غنو، لأن هناك الكثير من المتغيرات هناك سنقومتظهر فقط كيفية استخدامه على د-ورت.لا شيء يمنعك، إذا كنت ترغب في ذلك، من تنفيذها مباشرة على مربع فين.ومع ذلك، فإن كيفية القيام بذلك، تتجاوز نطاق هذا الدليل.

لأننا نريد لزيادة جدار حماية الموجه، فمن المنطقي فقط أن نضيف إلى "جدار حماية" النصي.القيام بذلك، من شأنه أن يؤدي الأمر إبتابليز ليتم تنفيذها في كل مرة يتم تحديث جدار الحماية وبالتالي الحفاظ على تكبير لدينا في مكان للاحتفاظ بها.

من د-ورت ويب-غوي:

  • انتقل إلى "إدارة" - & غ؛"أوامر".
  • أدخل الرمز التالي في مربع النص:

    إنلين = "$( إبتابليز -L إنبوت -n | غريب -n" ستات ريلاتد، إستابليشيد "| أوك -F:{ 'برينت $ 1'})"؛مضمنة = $( ($ مضمنة 2 + 1))؛إيبتابليز -I إنبوت "$ إنلين" -p تكب --dport 1723 -j دروب

  • انقر على "حفظ جدار الحماية".
  • تم.

ما هو هذا الأمر "الفودو"؟

الأمر "السحر الفودو" أعلاه يفعل ما يلي:

  • يجد أين هو خط إيبتابل التي تمكن الاتصالات التي أنشئت بالفعل لتمرير من خلال.ونحن نفعل ذلك، لأن A. على أجهزة التوجيه د-ورت، إذا تم تمكين خدمة فين، وسوف يكون موجودا فقط تحت هذا الخط و B. من الضروري هدفنا من الاستمرار في السماح بالفعل جلسات فين المنشأة للعيش على بعديطرق الحدث.
  • خصم اثنين( 2) من إخراج أمر الإدراج لحساب الإزاحة الناجمة عن رؤوس الأعمدة المعلوماتية.وبمجرد الانتهاء من ذلك، يضيف واحد( 1) إلى الرقم أعلاه، حتى أن القاعدة التي نقوم بإدراج سوف تأتي بعد القاعدة التي تسمح الاتصالات المعمول بها بالفعل.لقد تركت هذه "مشكلة الرياضيات" بسيطة جدا هنا، فقط لجعل منطق "لماذا يحتاج المرء إلى تقليل واحد من مكان القاعدة بدلا من إضافة واحد إلى ذلك" واضح.

تكوين نوكد

نحتاج إلى إنشاء تسلسل تشغيل جديد من شأنه تمكين اتصالات فين الجديدة التي سيتم إنشاؤها.للقيام بذلك، تحرير الملف knockd.conf عن طريق إصدار في محطة:

في /opt/etc/ knockd.conf

إلحاق التكوين الحالي:

[تمكين-فين]
تسلسل = 02،02،02،01،01،01،2010،2010،2010
seq_timeout = 60
start_command = إبتابليز -I إنبوت 1 -s٪ إب٪ -p تكب --dport 1723 -j أسيبت
cmd_timeout = 20
stop_command = إبتابليز -D إنبوت -s٪ إب٪ -pتكب --dport 1723 -j أسيبت

سيؤدي هذا التكوين إلى:

  • تعيين نافذة الفرصة لإكمال التسلسل، إلى 60 ثانية.(من المستحسن إبقاء هذا قصيرة قدر الإمكان)
  • الاستماع إلى سلسلة من ثلاثة يقرع على منافذ 2 و 1 و 2010( هذا النظام هو متعمد لرمي المنافذ الماسحات الضوئية قبالة المسار).
  • بمجرد اكتشاف التسلسل، قم بتنفيذ "start_command".هذا الأمر "إبتابليز" وضع "قبول حركة المرور إلى ميناء 1723 من حيث ضرب من" على الجزء العلوي من قواعد جدار الحماية.(يتم التعامل مع٪ إب٪ التوجيه خصيصا من قبل نوكد ويتم استبدال إب من يقرع المنشأ).
  • انتظر لمدة 20 ثانية قبل إصدار "stop_ كوماند".
  • قم بتنفيذ "stop_ كوماند".حيث يقوم هذا الأمر "إبتابليز" بعكس ما سبق وحذف القاعدة التي تسمح بالاتصال.
هذا كل شيء، يجب أن تكون خدمة فين الخاصة بك قابلة للتوصيل فقط بعد نجاح "تدق".

نصائح الصورة

بينما يجب أن تكون كل مجموعة، وهناك بضع نقاط أن أشعر بحاجة إلى ذكر.

  • استكشاف الأخطاء وإصلاحها.تذكر أنه إذا كنت تواجه مشكلات، فيجب أن تكون شريحة "تحري الخلل وإصلاحه" في نهاية المقالة الأولى هي المحطة الأولى.
  • إذا كنت تريد، يمكن أن يكون لديك تعليمات "بدء / إيقاف" تنفيذ أوامر متعددة عن طريق فصل لهم مع شبه كولن( ؛) أو حتى السيناريو.القيام بذلك سوف تمكنك من القيام ببعض الاشياء أنيق.على سبيل المثال، لقد نوكد أرسل لي * البريد الإلكتروني تقول لي أن تسلسل تم تشغيل ومن أين.
  • لا ننسى أن "هناك التطبيق لذلك" وعلى الرغم من عدم ذكرها في هذه المقالة، يتم تشجيع لك للاستيلاء على برنامج مطارع الروبوت ستافكس ل.
  • بينما في موضوع الروبوت، لا ننسى أن هناك عميل فين بتب عادة بنيت في نظام التشغيل من الشركة المصنعة.
  • يمكن استخدام طريقة منع أي شيء في البداية ومن ثم الاستمرار في السماح بالاتصال المعمول به بالفعل على أي اتصال قائم على بروتوكول تكب.في الواقع في نوكد على د-ورت 1 ~ 6 الأفلام، لقد فعلت طريق العودة عندما، لقد استخدمت بروتوكول سطح المكتب البعيد( رديب) الذي يستخدم ميناء 3389 كمثال.
ملاحظة: من أجل القيام بذلك، سوف تحتاج إلى الحصول على وظيفة البريد الإلكتروني على جهاز التوجيه الخاص بك، والتي حاليا هناك حقا ليست واحدة التي تعمل لأن لقطة سفن من حزم أوبغ أوبينورت في حالة من الفوضى.هذا هو السبب في أنني أقترح استخدام نوكد مباشرة على مربع فين التي تمكنك من استخدام جميع خيارات إرسال البريد الإلكتروني التي تتوفر في لينكس / غنو، مثل سمتب و سيندمايل على سبيل المثال لا الحصر.

الذي يزعج بلدي النوم؟