6Aug

Cara Mengetuk Jaringan Anda, Bagian 2: Lindungi VPN Anda( DD-WRT)

click fraud protection

Kami telah menunjukkan kepada Anda bagaimana cara memicu WOL dari jarak jauh dengan "Port Knocking" di router Anda. Pada artikel ini, kami akan menunjukkan bagaimana cara menggunakannya untuk melindungi layanan VPN.

Gambar oleh Aviad Raviv &bfick

Kata Pengantar

Jika Anda menggunakan fungsionalitas VPN DD-WRT untuk VPN atau memiliki server VPN lain di jaringan Anda, Anda mungkin menghargai kemampuan untuk melindunginya dari serangan brutal dengan menyembunyikannya di balik urutan ketukan. Dengan melakukan ini, Anda akan menyaring script kiddies yang mencoba mengakses jaringan Anda. Dengan mengatakan bahwa, seperti yang dinyatakan dalam artikel sebelumnya, pengetikan port bukanlah pengganti untuk kata sandi dan / atau kebijakan keamanan yang baik. Ingatlah bahwa dengan cukup sabar penyerang bisa menemukan urutannya dan melakukan serangan replay.
Juga perlu diingat, bahwa kelemahan penerapannya adalah bahwa ketika ada klien VPN yang ingin terhubung, mereka harus memicu urutan ketukan

instagram viewer
sebelumnya dan jika mereka tidak dapat menyelesaikan urutannya dengan alasan apapun, merekatidak akan bisa VPN sama sekali

Overview

Untuk melindungi * layanan VPN pertama-tama kita akan menonaktifkan semua kemungkinan komunikasi dengannya dengan memblokir port instantiating 1723. Untuk mencapai tujuan ini, kita akan menggunakan iptables. Ini karena, begitulah cara komunikasi disaring pada distribusi Linux / GNU paling modern pada umumnya dan pada DD-WRT pada khususnya. Jika Anda ingin informasi lebih lanjut tentang iptables checkout entri wiki, dan lihat artikel sebelumnya tentang masalah ini. Setelah layanan terlindungi, kami akan membuat urutan ketukan yang sementara akan membuka port instantiate VPN dan juga menutupnya secara otomatis setelah jumlah waktu yang dikonfigurasi, sambil menjaga sesi VPN yang sudah ada terhubung.

Catatan: Dalam panduan ini, kami menggunakan layanan PPTP VPN sebagai contoh. Dengan kata itu, metode yang sama dapat digunakan untuk jenis VPN lain, Anda hanya perlu mengubah port dan / atau tipe komunikasi yang diblokir.

Prasyarat, Asumsi &Rekomendasi

  • Diasumsikan / mengharuskan Anda memiliki router DD-WRT Opkg yang diaktifkan.
  • Diasumsikan / mengharuskan Anda telah melakukan langkah-langkah dalam panduan "How To Knock Into Your Network( DD-WRT)".
  • Beberapa pengetahuan jaringan diasumsikan.

Mari kita mulai cracking. Aturan

Default "Block new VPNs" pada DD-WRT

Sementara cuplikan "kode" di bawah mungkin akan bekerja pada setiap distribusi iptables, self-respecting, iptables, distribusi Linux / GNU, karena ada banyak varian di luar sana, kita akanhanya menunjukkan bagaimana menggunakannya pada DD-WRT.Tidak ada yang menghentikan Anda, jika Anda menginginkannya, untuk menerapkannya langsung di kotak VPN.Namun, bagaimana melakukannya, berada di luar cakupan panduan ini.

Karena kita ingin menambah Firewall router, hanya logis kita akan menambahkan script "Firewall".Dengan melakukan hal tersebut, akan menyebabkan perintah iptables dijalankan setiap kali firewall disegarkan dan dengan demikian menjaga pembesaran kami agar tetap terjaga.

Dari Web-GUI DD-WRT:

  • Pergi ke "Administrasi" - & gt;"Perintah".
  • Masukkan "kode" di bawah ini ke dalam kotak teks:

    inline = "$( iptables -L INPUT -n | grep -n" state RELATED, ESTABLISHED "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP

  • Klik "Save Firewall".
  • Selesai

Apa ini "Voodoo" perintah?

Perintah "voodoo magic" di atas melakukan hal berikut:

  • Menemukan di mana garis iptable yang memungkinkan komunikasi yang sudah mapan melewatinya. Kami melakukan ini, karena A. Pada router DD-WRT, jika layanan VPN diaktifkan, maka akan berada tepat di bawah garis ini dan B. Hal ini penting untuk tujuan kami melanjutkan memungkinkan sesi VPN yang sudah mapan untuk hidup setelahmengetuk acara
  • Mengurangi dua( 2) dari output perintah daftar untuk memperhitungkan offset yang disebabkan oleh header kolom informasi. Setelah itu selesai, tambahkan satu( 1) ke angka di atas, sehingga aturan yang kita masukkan akan datang tepat setelah aturan yang memungkinkan komunikasi sudah mapan. Saya telah meninggalkan "masalah matematika" yang sangat sederhana ini di sini, hanya untuk membuat logika "mengapa seseorang perlu mengurangi satu dari tempat kekuasaan alih-alih menambahkannya" jelas.

Konfigurasi KnockD

Kita perlu membuat urutan pemicu baru yang memungkinkan koneksi VPN baru dibuat. Untuk melakukan ini, edit file knockd.conf dengan mengeluarkan di terminal:

vi /opt/etc/ knockd.conf

Tambahkan ke konfigurasi yang ada:

[enable-VPN] Urutan
= 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp - dport 1723 -j ACCEPT

Konfigurasi ini akan:

  • Mengatur jendela kesempatan untuk menyelesaikan urutan, sampai 60 detik.(Sebaiknya simpan ini sesingkat mungkin)
  • Dengarkan urutan tiga pukulan pada port 2, 1 dan 2010( pesanan ini disengaja untuk membuang pemindai port di luar jalur).
  • Setelah urutannya terdeteksi, jalankan "start_command".Perintah "iptables" ini akan menempatkan "menerima lalu lintas yang ditujukan ke port 1723 dari mana terjadi pukulan dari" di bagian atas aturan firewall.(Perintah% IP% diperlakukan khusus oleh KnockD dan diganti dengan IP dari kata kunci knocks).
  • Tunggu 20 detik sebelum mengeluarkan "stop_command".
  • Jalankan "stop_command".Dimana perintah "iptables" ini melakukan kebalikan dari hal di atas dan menghapus aturan yang memungkinkan komunikasi.
Itu saja, layanan VPN Anda sekarang harus dapat disambung hanya setelah "ketukan" yang berhasil.

Penulis tips

Meskipun Anda harus siap, ada beberapa poin yang perlu saya sebutkan.

  • Troubleshooting. Ingat bahwa jika Anda mengalami masalah, segmen "pemecahan masalah" di akhir artikel pertama harus menjadi pemberhentian pertama Anda.
  • Jika Anda mau, Anda dapat memiliki perintah "start / stop" menjalankan beberapa perintah dengan memisahkannya dengan tanda semi-colen( ;) atau bahkan skrip. Melakukan hal itu akan memungkinkan Anda melakukan beberapa hal bagus. Sebagai contoh, saya telah mengirim saya sebuah * Email yang memberi tahu saya bahwa sebuah urutan telah dipicu dan dari mana.
  • Jangan lupa bahwa "Ada aplikasi untuk itu" dan meskipun tidak disebutkan dalam artikel ini, Anda dianjurkan untuk memanfaatkan program pengetuk Android StavFX.
  • Sementara pada subjek Android, jangan lupa bahwa ada klien VPN PPTP yang biasanya masuk ke OS dari pabrikan.
  • Metode, memblokir sesuatu pada awalnya dan kemudian terus memungkinkan komunikasi yang sudah mapan, dapat digunakan pada komunikasi berbasis TCP secara praktis. Sebenarnya di film Knockd on DD-WRT 1 ~ 6, saya telah melakukan perjalanan kembali ketika, saya telah menggunakan protokol remote desktop( RDP) yang menggunakan port 3389 sebagai contoh.
Catatan: Untuk melakukan ini, Anda perlu mendapatkan fungsionalitas Email di router Anda, yang saat ini sebenarnya tidak ada yang bekerja karena snapshot SVN dari paket opkg OpenWRT berantakan. Itu sebabnya saya sarankan menggunakan knockd langsung di kotak VPN yang memungkinkan Anda menggunakan semua pilihan pengiriman email yang tersedia di Linux / GNU, seperti SSMTP dan sendEmail untuk menyebutkan beberapa.

Siapa yang Mengganggu Saya Tidur?