6Aug

Kako udariti u mrežu, dio 2: zaštititi svoj VPN( DD-WRT)

click fraud protection

Pokazali smo vam kako daljinski pokrenuti WOL pomoću "Port Knocking" na vašem usmjerivaču. U ovom ćemo članku pokazati kako ga koristiti za zaštitu VPN usluge.

Slika tvrtke Aviad Raviv &bfick.

Predgovor

Ako ste koristili ugrađenu funkcionalnost DD-WRT-a za VPN ili imate drugi VPN poslužitelj u svojoj mreži, možda ćete cijeniti sposobnost da ga zaštitite od napada brutalne sile tako što ćete je sakriti iza niza šumova. Na taj ćete način filtrirati skriptne kiddies koji pokušavaju dobiti pristup vašoj mreži. Uz to, kao što je navedeno u prethodnom članku, kopiranje lutaka nije zamjena za dobru lozinku i / ili sigurnosnu politiku. Ne zaboravite da s dovoljno strpljenja napadač može otkriti slijed i izvršiti napad. Također, imajte na umu da je nedostatak implementacije to da kada se bilo koji VPN klijent želi spojiti, oni bi trebali prethodno pokrenuti naredbu nokautiranja i da ako ne mogu dovršiti slijed iz bilo kojeg razloga, oniuopće neće moći VPN.

Pregled

Da bismo zaštitili * VPN uslugu, prvo ćemo onemogućiti svu moguću komunikaciju s njom blokiranjem instantirajuće luke 1723. Za postizanje tog cilja koristit ćemo iptables. To je zato što je komunikacija filtrirana na najsuvremenijim Linux / GNU distribucijama općenito i osobito na DD-WRT-u. Ako biste željeli više informacija o iptablesu, pogledajte njegov unos wikija i pogledajte naš prethodni članak o toj temi. Nakon što je usluga zaštićena, izradit ćemo naredbu za nakupljanje koji bi privremeno otvorio VPN instancirajući priključak i automatski ga zatvorio nakon konfiguriranog vremena, pričvršćenjem već uspostavljene VPN sesije.

instagram viewer

Napomena: U ovom vodiču koristimo PPTP VPN uslugu kao primjer. Uz to, isti postupak se može koristiti za druge vrste VPN-a, samo ćete morati promijeniti blokiranu luka i / ili vrstu komunikacije.

Preduvjeti, Pretpostavke &Preporuke

  • Pretpostavlja se / zahtijeva da imate opcionalni DD-WRT usmjerivač opcije.
  • Pretpostavlja se / zahtijeva da ste već izvršili korake u vodiču "Kucanje u vašu mrežu( DD-WRT)".
  • Pretpostavlja se neka mrežna znanja.

Omogućuje pucanje.

Default "Block new VPNs" pravilo na DD-WRT-u

Dok ispod isječak "koda" vjerojatno radi na svakom, samo-poštujući, iptables koristeći Linux / GNU distribuciju, jer postoji toliko varijanti vani ćemosamo pokazati kako ga koristiti na DD-WRT-u. Ništa vas ne sprečava, ako želite, da ga implementirate izravno na VPN okvir. Međutim, kako to učiniti, izvan opsega ovog vodiča.

Budući da želimo povećati vatrozid usmjerivača, logično je da ćemo dodati skriptu "Firewall".Učinivši to, uzrokovalo bi izvršavanje naredbe iptables svaki put kada se vatrozid osvježuje i na taj način čuvanje našeg povećanja na mjestu za čuvanje.

Iz web-GUI-a DD-WRT:

  • Idite na "Administracija" - & gt;„Naredbe”.Unesite dolje navedeni kod u tekstualni okvir:

    inline = "$( iptables -L INPUT -n | grep -n" stanje RELATED, ESTABLISHED "| awk -F:{ print $ 1 '});";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp --port 1723 -j DROP

  • Kliknite na "Spremi vatrozid".Izvršeno je
  • .

Što je to "Voodoo" naredba?

Gore navedena "voodoo magija" naredba čini sljedeće:

  • Pronalaženje gdje je iptable linija koja omogućava već uspostavljenu komunikaciju da prođe. Radi se o tome jer A. Na DD-WRT usmjerivačima, ako je VPN usluga omogućena, bit će smještena neposredno ispod te linije i B. Bitno je da naš cilj bude nastavak dopuštanja postojećih VPN sjednica da žive nakondogađaj kucanja.
  • Odvaja dva( 2) od izlaza naredbe za unos na račun za offset uzrokovan zaglavljima informacijskih stupaca. Jednom kada se to učini, dodaje se jedan( 1) na gornji broj, tako da pravilo koje ubacujemo dolazi neposredno nakon pravila koja omogućuju već uspostavljenu komunikaciju. Ovdje sam ostavio ovaj vrlo jednostavan "matematički problem", samo kako bih napravio logiku "zašto netko treba smanjiti jedan od pravilnika umjesto da ga dodate".

KnockD konfiguracija

Moramo stvoriti novu sekvencu pokretanja koja će omogućiti kreiranje novih VPN veza. Da biste to učinili, uredite datoteku knockd.conf izdavanjem u terminalu:

vi /opt/etc/ knockd.conf

Dodavanje postojećoj konfiguraciji:

[enable-VPN]
slijed = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp --port 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -S% IP% -ptcp --port 1723 -j ACCEPT

Ova konfiguracija će:

  • Postaviti prozor prilike za dovršetak slijeda, na 60 sekundi.(Preporuča se da ovo bude što kraće)
  • Slušajte niz od tri kucanja na priključcima 2, 1 i 2010( ova narudžba namjerno skida skenirane luke).
  • Kada je otkrivena sekvenca, izvršite "start_command".Ova naredba "iptables" stavit će "prijem promet koji je predodređen za priključak 1723 odakle je došlo kucanje" na vrhu pravila vatrozida.(Direktiva% IP% obrađuje posebno KnockD i zamjenjuje se IP-om porijekla udaraca).
  • Pričekajte 20 sekundi prije izdavanja "stop_command".
  • Izvršite "stop_command".Gdje je ova naredba "iptables" obrnuta od gore navedenog i briše pravilo koje dopušta komunikaciju.
To je to, vaša VPN usluga sada bi trebala biti povezana tek nakon uspješnog "kucanja".

Autor savjeti

Dok bi trebali biti sve postavljeni, postoji nekoliko točaka koje osjećam da treba spomenuti.

  • Rješavanje problema. Imajte na umu da ako imate problema, segment "rješavanja problema" na kraju prvog članka trebao bi biti vaš prvi prestanak.
  • Ako želite, možete imati "start / stop" direktive izvršiti više naredbi razdvajanjem ih s polu-colen( ;) ili čak skripta. To će vam omogućiti da napravite neke divne stvari. Na primjer, šaljem mi poruku e-pošte koja mi je rekla da je pokrenut slijed i odakle.
  • Nemojte zaboraviti da "postoji aplikacija za to" i, iako nije spomenuta u ovom članku, preporučujemo da iskoristite StavFX Android program za prevrtanje.
  • Dok ste na temu Androida, ne zaboravite da postoji PPTP VPN klijent obično ugrađen u OS od proizvođača.
  • Metoda, koja prvo blokira nešto i nastavlja dopustiti već uspostavljenu komunikaciju, može se koristiti na praktički bilo kojoj komunikaciji temeljenoj na TCP-u. Zapravo u filmu Knockd na DD-WRT 1 ~ 6, napravio sam put natrag kad sam koristio protokol za udaljeni radni stol( RDP) koji koristi port 3389 kao primjer.
Napomena: Da biste to učinili, morat ćete dobiti funkcionalnost e-pošte na vašem usmjerivaču, koji trenutačno zaista ne djeluje jer je SVN snimak OpenWRT-ovih opkg paketa u neredu. Zato predlažem da koristite knockd izravno na VPN okviru koji vam omogućuje korištenje svih mogućnosti slanja e-pošte dostupnih u Linux / GNU-u, kao što je SSMTP i sendEmail da spomenemo nekoliko.

Tko smeta moju sna?