6Aug
Oleme näidanud, kuidas käivitada WOL kaugjuhtimisega ruuteri "Port Knocking" abil. Selles artiklis näeme, kuidas seda VPN-teenuse kaitsmiseks kasutada.
pilt Aviad Raviv &bfick
eessõna
Kui olete oma VPN-i jaoks kasutanud DD-WRT sisseehitatud funktsionaalsust või kui teil on oma võrgust veel üks VPN-server, võite hinnata võime seda kaitsta rütmisjõu rünnakute eest, varjates seda koputamiskoha taga. Seda tehes filtreerite välja skriptiketid, kes püüavad oma võrku pääseda. Nagu eespool öeldud, pole sadama koputamine hea parooli ja / või turvapoliitikat asendada. Pidage meeles, et piisavalt kannatlikkusega saab ründaja leida järjestuse ja teha replay rünnaku.
Samuti pidage meeles, et selle rakendamise puuduseks on see, et kui mõni VPN-klient soovib ühendada, peaksid nad eelnevalt aktiveerima ja et kui nad ei saa mingil põhjusel jada lõpule viia, siisei saa VPN-i üldse.
Ülevaade
Selleks, et kaitsta VPN-teenust *, eemaldame esmalt kõik võimalikud kommunikatsioonid, blokeerides 1723 instantiatsiooni porti. Selle eesmärgi saavutamiseks kasutame iptablesit. Seda seetõttu, et kommunikatsioon filtreeritakse kõige kaasaegsemate Linuxi / GNU distributsioonide ja eelkõige DD-WRT-i puhul. Kui soovite iptablesi kohta lisateavet oma wiki sisestuse kohta, vaadake meie eelmist artiklit selle teema kohta. Kui teenus on kaitstud, loome kopeerimisjärjestuse, mis ajutiselt avab VPN-i instantierivat porti ja sulgeb selle automaatselt ka pärast määratud aja möödumist, säilitades samas juba loodud VPN-seansi.
Märkus: selles juhendis kasutame näitena PPTP VPN-teenust. Sellest tulenevalt saab sama meetodit kasutada ka muude VPN-tüüpide puhul, peate lihtsalt muutma blokeeritud porti ja / või side tüübi.
eeltingimused, eeldused &Soovitused
- Eeldatakse / nõudis, et teil oleks Opqg-enabled DD-WRT ruuter.
- Eeldatakse / nõuti, et olete juba sooritanud juhendi "Kuidas teie võrku koputama( DD-WRT)" samme.
- Eeldatakse mõningaid võrgustike teadmisi.
Võimaldab murda.
Vaikimisi "Blokeeri uusi VPN-sid" reegel DD-WRT
-reeglile Kuigi allpool olev koodipaketi töötab ilmselt iga Linuxi / GNU distributsiooni kasutades iptablesi kasutades, kuna seal on nii palju variantenäitavad vaid seda, kuidas seda kasutada DD-WRT-is. Miski ei peata teid, kui soovite, selle rakendamisel otse VPN-i kasti. Kuid kuidas seda teha, ei kuulu selle juhendi ulatus.
Kuna me tahame tõsta ruuteri tulemüüri, on ainult loogiline, et lisame tulemüüri skripti. Seda tehes peaks iptablesi käsk käivituma iga kord, kui tulemüüri värskendatakse, ning hoiab seejuures meie suurendamine paigal hoitud.
Alates DD-WRT veebi-GUI-st:
- Minge menüüsse "Administration" - & gt;"Käsud".
- Sisestage tekstikasti all alltoodud kood:
inline = "$( iptables-L INPUT -n | grep -n" olek seotud, kinnitatud "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP
- Vajuta "Salvesta tulemüür".
- Valmis.
Mis on see käsk "Voodoo"?
Eespool toodud käsk "voodoo magic" teeb järgmist:
- Leiab, kus on iptable liin, mis võimaldab juba loodud sidet läbida. Me teeme seda, sest A. DD-WRT-ruuteritel, kui VPN-teenus on lubatud, asetseb see just selle rea alla ja B. See on meie eesmärgiks jätkuvalt lubada juba loodud VPN-seansid pärastkoputab sündmus.
- Väljendab kaks( 2) kirje käsku väljundist informatsiooni veerupäistete põhjustatud nihke arvestamiseks. Kui see on tehtud, lisab ülalolevale numbrile ühe( 1), nii et reegel, mille me sisestame, läheneb kohe pärast reeglit, mis võimaldab juba loodud suhtlemist. Olen jätnud selle väga lihtsa matemaatika probleemi siia, lihtsalt selleks, et muuta loogika "miks tuleb üks reegli kohast vähendada, selle asemel, et seda ühele lisada" oleks selge.
KnockD konfiguratsioon
Peame looma uue käivitamise jada, mis võimaldab luua uusi VPN-ühendusi. Selleks redigeerige knockd.conf-faili väljastades terminali:
vi /opt/etc/ knockd.conf
Lisage olemasolev konfiguratsioon:
[enable-VPN]
järjestus = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp -dport 1723 -j VÕTTES
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j ACCEPT
See konfiguratsioon:
- Määrab jada lõpuleviimise akna 60 sekundiks.(Soovitav on seda võimalikult lühikeseks ajaks hoida)
- Kuulake pordide 2, 1 ja 2010 kolme löögi järjestust( see järjekord on sihilik, et visata porti skannerid välja rajal).
- Kui järjestus on tuvastatud, käivitage käsk "start_command".See käsk "iptables" paneb tulemüüri reeglite ülaosale "vastuvõetava liikluse, mis on ette nähtud sadamasse 1723, kust see tuli tuli".(Direktiivi% IP% käsitleb spetsiaalselt KnockD-d ja see asendatakse IP-ga).
- Oota 20 sekundit enne "stop_command" väljaandmist.
- Käivita stop_command. Kui see iptablesi käsk teeb ülaltoodud tagakülje ja kustutab kommunikatsiooni lubava reegli.
Autor näpunäited
Kuigi peaksite olema kõik seatud, on paar asja, mida tunnen vajadust mainida.
- tõrkeotsing. Pidage meeles, et kui teil on probleeme, peaks esimese peatüki lõpus asuv segment "tõrkeotsingu" olema esimene peatamine.
- Kui soovite, saate käivitada / käivitada mitmed käsklused, eraldades need koos semi-colen( ;) või isegi skriptiga. See võimaldab teil teha mõnusat kraami. Näiteks mul on koputama saatke mulle * e-post, milles mulle öeldakse, et järjestus on käivitatud ja kust.
- Ärge unustage, et "Selle jaoks on olemas rakendus" ja isegi kui see pole selles artiklis mainitud, soovitatakse teil StavFXi Android-koputamise programmi haarata.
- Android-i teemal, ärge unustage, et tootja on tavaliselt OS-i sisse ehitanud PPTP VPN-klient.
- Meetodit, mille abil esialgu blokeeritakse ja seejärel jätkatakse lubatavat sidepidamist, saab kasutada peaaegu mis tahes TCP-põhise kommunikatsiooni jaoks. Tegelikult olen DD-WRT-i 1 ~ 6 filmiga löönud, ma olen tagasi pöördunud, kui kasutasin kaugtöölaua protokolli( RDP), mis näitena kasutab porti 3389.
, kes häirib mu uinutamist?
