6Aug

Πώς να χτυπήσετε στο δίκτυό σας, Μέρος 2: Προστατέψτε το VPN σας( DD-WRT)

click fraud protection

Σας έχουμε δείξει πώς να ενεργοποιήσετε το WOL εξ αποστάσεως με το "Port Knocking" στο δρομολογητή σας.Σε αυτό το άρθρο, θα δείξουμε πώς να το χρησιμοποιήσετε για την προστασία μιας υπηρεσίας VPN.Εικόνα

από Aviad Raviv &bfick.

Πρόλογος

Εάν έχετε χρησιμοποιήσει την ενσωματωμένη λειτουργικότητα του DD-WRT για VPN ή έχετε έναν άλλο διακομιστή VPN στο δίκτυό σας, ίσως εκτιμήσετε την ικανότητα να τον προστατεύσετε από τις επιθέσεις βίαιης δύναμης κρύβοντάς την πίσω από μια ακολουθία χτυπήματος.Με αυτόν τον τρόπο, θα φιλτράρετε τα παιδικά σενάρια που προσπαθούν να αποκτήσουν πρόσβαση στο δίκτυό σας.Με αυτό είπε, όπως αναφέρεται στο προηγούμενο άρθρο, η θύρα χτυπήματος δεν αποτελεί αντικατάσταση ενός καλού κωδικού πρόσβασης ή / και πολιτικής ασφαλείας.Θυμηθείτε ότι με αρκετή υπομονή ένας εισβολέας μπορεί να ανακαλύψει την ακολουθία και να εκτελέσει μια επίθεση επανάληψης.
Έχετε επίσης κατά νου ότι το μειονέκτημα της υλοποίησης αυτού είναι ότι όταν οποιοσδήποτε πελάτης VPN επιθυμεί να συνδεθεί θα πρέπει να προκαλέσει την

instagram viewer
πριν την και αν δεν μπορούν να ολοκληρώσουν την ακολουθία για οποιονδήποτε λόγο,δεν θα είναι σε θέση να VPN καθόλου.

Επισκόπηση

Για την προστασία * της υπηρεσίας VPN, θα απενεργοποιήσουμε πρώτα όλες τις πιθανές επικοινωνίες με αυτό, αποκλείοντας την παράκαμψη της θύρας του 1723. Για να επιτύχουμε αυτόν το στόχο, θα χρησιμοποιήσουμε το iptables.Αυτό οφείλεται στο γεγονός ότι, έτσι φιλτράρεται η επικοινωνία στις πιο σύγχρονες κατανομές Linux / GNU γενικά και ειδικότερα στο DD-WRT.Εάν θέλετε περισσότερες πληροφορίες σχετικά με το iptables checkout η καταχώρησή του στο wiki και δείτε το προηγούμενο άρθρο μας για το θέμα.Μόλις προστατευθεί η υπηρεσία, θα δημιουργήσουμε μια ακολουθία χτυπήματος που θα ανοίξει προσωρινά τη θύρα εμφάνισης VPN και θα την κλείσει αυτόματα μετά από ένα καθορισμένο χρονικό διάστημα, διατηρώντας παράλληλα τη σύνδεση της ήδη εγκατεστημένης σύνδεσης VPN.

Σημείωση: Σε αυτόν τον οδηγό, χρησιμοποιούμε την υπηρεσία PPTP VPN ως παράδειγμα.Με αυτό είπε, η ίδια μέθοδος μπορεί να χρησιμοποιηθεί για άλλους τύπους VPN, θα πρέπει απλά να αλλάξετε την αποκλεισμένη θύρα ή / και τον τύπο επικοινωνίας.

Προϋποθέσεις, υποθέσεις &Συστάσεις

  • Υποτίθεται ότι απαιτείται ένας δρομολογητής DD-WRT με δυνατότητα Opkg.
  • Υποτίθεται / απαιτείται ότι έχετε ήδη εκτελέσει τα βήματα στον οδηγό "Πώς να χτυπήσετε στο Δίκτυο( DD-WRT)".
  • Υπολογίζεται κάποια γνώση δικτύωσης.

Ας πάρουμε ρωγμές.

Προκαθορισμένο "Αποκλεισμός νέου VPNs" κανόνα σε DD-WRT

Ενώ το παρακάτω απόσπασμα του "κώδικα" θα λειτουργούσε πιθανότατα σε κάθε, αυτοσχεδιασμό, iptables χρησιμοποιώντας τη διανομή Linux / GNU, επειδή υπάρχουν τόσες πολλές παραλλαγές εκεί έξωδείχνουν μόνο πώς να το χρησιμοποιήσετε στο DD-WRT.Τίποτα δεν σας εμποδίζει, εάν το επιθυμείτε, από την εφαρμογή του απευθείας στο πλαίσιο VPN.Ωστόσο, πώς να το κάνετε αυτό είναι πέρα ​​από το πεδίο εφαρμογής αυτού του οδηγού.

Επειδή θέλουμε να αυξήσουμε το Τείχος προστασίας του δρομολογητή, είναι λογικό να προσθέσουμε το σενάριο "Firewall".Κάνοντας αυτό, θα μπορούσε να προκαλέσει την εκτέλεση της εντολής iptables κάθε φορά που ανανεώνεται το τείχος προστασίας και διατηρώντας έτσι την επέκτασή μας στη θέση μας.

Από το Web-GUI του DD-WRT:

  • Πηγαίνετε στο "Administration" - & gt;"Εντολές".
  • Πληκτρολογήστε τον παρακάτω "κώδικα" στο πλαίσιο κειμένου:

    inline = "$( iptables -L INPUT -n | grep -n κατάσταση" ΣΥΝΔΕΔΕΜΕΝΟ, ESTABLISHED "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1)).iptables -I INPUT "$ inline" -p tcp -dport 1723 -j DROP

  • Κάντε κλικ στο "Αποθήκευση τείχους προστασίας".
  • Τέλος.

Τι είναι αυτή η εντολή "Voodoo";

Η παραπάνω εντολή "voodoo magic" κάνει τα εξής:

  • Βρίσκει πού είναι η iptable γραμμή που επιτρέπει την διέλευση ήδη καθιερωμένης επικοινωνίας.Αυτό συμβαίνει, επειδή Α. Στις δρομολογητές DD-WRT, εάν η υπηρεσία VPN είναι ενεργοποιημένη, θα βρίσκεται ακριβώς κάτω από αυτή τη γραμμή και Β. Είναι ουσιαστικό για το στόχο μας να συνεχίσουμε να επιτρέπουμε τις ήδη καθιερωμένες συνεδρίες VPN να ζουν μετάχτυπώντας το συμβάν.Το
  • αφαιρεί δύο( 2) από την έξοδο της εντολής καταχώρισης για να υπολογίσει την μετατόπιση που προκαλείται από τις κεφαλίδες των ενημερωτικών στηλών.Μόλις γίνει αυτό, προσθέτει ένα( 1) στον παραπάνω αριθμό, έτσι ώστε ο κανόνας που εισάγουμε θα έρθει αμέσως μετά τον κανόνα που επιτρέπει την ήδη καθιερωμένη επικοινωνία.Έχω αφήσει αυτό το πολύ απλό "μαθηματικό πρόβλημα" εδώ, απλώς να κάνω τη λογική του "γιατί κάποιος πρέπει να μειώσει έναν από τον τόπο του κανόνα αντί να προσθέσει ένα σε αυτό" σαφές.Διαμόρφωση

KnockD

Πρέπει να δημιουργήσουμε μια νέα ακολουθία ενεργοποίησης που θα επιτρέψει τη δημιουργία νέων συνδέσεων VPN.Για να το κάνετε αυτό, επεξεργαστείτε το αρχείο knockd.conf εκδίδοντας σε ένα τερματικό:

vi /opt/etc/ knockd.conf

Προσάρτηση στην υπάρχουσα διαμόρφωση:

[enable-VPN]
ακολουθία = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp -dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j ACCEPT

Αυτή η διαμόρφωση θα είναι:

  • Ρυθμίστε το παράθυρο ευκαιρίας για να ολοκληρώσετε την ακολουθία, στα 60 δευτερόλεπτα.(Συνιστάται να το κρατήσετε όσο το δυνατόν πιο σύντομο)
  • Ακούστε μια ακολουθία τριών χτυπημάτων στις θύρες 2, 1 και 2010( αυτή η παραγγελία είναι σκόπιμη για να ρίξει τους λιμενικούς σαρωτές εκτός δρόμου).
  • Μόλις εντοπιστεί η ακολουθία, εκτελέστε την εντολή "start_command".Αυτή η εντολή "iptables" θα τοποθετήσει μια "αποδοχή κίνησης που προορίζεται για τη θύρα 1723 από όπου προέρχονται τα χτυπήματα" στην κορυφή των κανόνων του τείχους προστασίας.(Η οδηγία% IP% αντιμετωπίζεται ειδικά από το KnockD και αντικαθίσταται με την IP της προέλευσης κτυπήματος).
  • Περιμένετε 20 δευτερόλεπτα πριν εκδώσετε το "stop_command".
  • Εκτελέστε το "stop_command".Όπου αυτή η εντολή "iptables" κάνει αντίστροφη την παραπάνω και διαγράφει τον κανόνα που επιτρέπει την επικοινωνία.
Αυτό είναι, η υπηρεσία VPN θα πρέπει πλέον να συνδεθεί μόνο μετά από επιτυχημένο "χτύπημα".

Συγγραφέας συμβουλές

Ενώ θα πρέπει να είναι όλα σετ, υπάρχουν μερικά σημεία που νιώθω ανάγκη να αναφερθεί.

  • Αντιμετώπιση προβλημάτων.Θυμηθείτε ότι εάν αντιμετωπίζετε προβλήματα, το τμήμα "αντιμετώπισης προβλημάτων" στο τέλος του πρώτου άρθρου πρέπει να είναι η πρώτη σας στάση.
  • Εάν θέλετε, μπορείτε να έχετε τις οδηγίες "start / stop" να εκτελούν πολλαπλές εντολές, χωρίζοντάς τις με ένα semi-colen( ;) ή ακόμα και ένα σενάριο.Κάνοντας αυτό θα σας επιτρέψει να κάνετε κάποια κομψά πράγματα.Για παράδειγμα, έχω knockd μου στείλετε ένα * Email που μου λέει ότι μια ακολουθία έχει ενεργοποιηθεί και από πού.
  • Μην ξεχνάτε ότι "Υπάρχει μια εφαρμογή για αυτό" και παρόλο που δεν αναφέρεται σε αυτό το άρθρο, σας ενθαρρύνονται να τραβήξετε το πρόγραμμα ρόλων Android του StavFX.
  • Ενώ είστε στο θέμα του Android, μην ξεχνάτε ότι υπάρχει ένα PPTP VPN client συνήθως ενσωματωμένο στο λειτουργικό σύστημα από τον κατασκευαστή.
  • Η μέθοδος της, το να μπλοκάρει κάτι αρχικά και στη συνέχεια να συνεχίσει να επιτρέπει την ήδη καθιερωμένη επικοινωνία, μπορεί να χρησιμοποιηθεί σε σχεδόν οποιαδήποτε επικοινωνία βασισμένη στο TCP.Στην πραγματικότητα, στις ταινίες Knockd on DD-WRT 1 ~ 6, έκανα δρόμο πίσω, όταν χρησιμοποίησα το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας( RDP) το οποίο χρησιμοποιεί το παράδειγμα 3389.
Σημείωση: Για να γίνει αυτό, θα χρειαστεί να αποκτήσετε λειτουργικότητα ηλεκτρονικού ταχυδρομείου στο δρομολογητή σας, ο οποίος αυτή τη στιγμή πραγματικά δεν είναι εκείνη που λειτουργεί επειδή το στιγμιότυπο SVN των πακέτων opkg του OpenWRT βρίσκεται σε αταξία.Αυτός είναι ο λόγος για τον οποίο προτείνω να χρησιμοποιήσετε το knockd απευθείας στο πλαίσιο VPN που σας δίνει τη δυνατότητα να χρησιμοποιήσετε όλες τις επιλογές αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου που είναι διαθέσιμα στο Linux / GNU, όπως SSMTP και sendEmail για να αναφέρουμε μερικά.

Ποιος διαταράσσει το βραχίονα μου;