6Aug

כיצד לדפוק לתוך הרשת שלך, חלק 2: הגן על ה- VPN שלך( DD-WRT)

click fraud protection

הראינו לך כיצד להפעיל WOL מרחוק על ידי "פורט Knocking" בנתב שלך.במאמר זה, נציג כיצד להשתמש בו כדי להגן על שירות VPN.

תמונה מאת אביעד רביב &bfick.

מבוא

אם השתמשת ב- DD-WRT של פונקציונליות מובנית עבור VPN או, יש עוד שרת VPN ברשת שלך, אתה עשוי להעריך את היכולת להגן עליו מפני התקפות כוח הזרוע על ידי הסתרת אותו מאחורי רצף דפיקה.על ידי ביצוע פעולה זו, תוכל לסנן את קובצי script המנסים להשיג גישה לרשת שלך.עם זאת, כאמור במאמר הקודם, נמל דפיקות אינו תחליף סיסמה טובה ו / או מדיניות אבטחה.האם לזכור כי עם מספיק סבלנות התוקף יכול לגלות את רצף ולבצע התקפה החוזר.
כמו כן יש לזכור, כי downside של יישום זה כי כאשר כל לקוח VPN / s רוצה להתחבר, הם היו צריכים להפעיל את רצף דפיקה מראש מראש, וכי אם הם לא יכולים להשלים את רצף מכל סיבה שהיא, הםלא יוכל VPN בכלל.

סקירה כללית

על מנת להגן על שירות ה- VPN, אנו נשבית תחילה את כל התקשורת האפשרית על-ידי חסימת היציאה המייצגת של 1723. כדי להשיג מטרה זו, נשתמש ב- iptables.הסיבה לכך היא שכך התקשורת מסוננת על רוב ההפצות המודרניות של לינוקס / GNU בכלל ועל DD-WRT בפרט.אם אתה רוצה מידע נוסף על iptables checkout הכניסה ויקי שלה, יש להסתכל על המאמר הקודם שלנו על הנושא.לאחר השירות מוגן, אנו ניצור רצף לדפוק כי באופן זמני לפתוח את יציאת VPN מייצג וגם לסגור אותו באופן אוטומטי לאחר כמות מוגדרת של זמן, תוך שמירה על הפגישה VPN הוקמה כבר מחובר.

instagram viewer

הערה: במדריך זה, אנו משתמשים בשירות VPTP VPN כדוגמה.עם זאת, באותה שיטה ניתן להשתמש עבור סוגים אחרים VPN, אתה רק צריך לשנות את היציאה חסומה ו / או סוג התקשורת.

תנאים מוקדמים, הנחות &המלצות

  • ההנחה / נדרש כי יש לך נתב אופקי DD-WRT.
  • ההנחה / נדרש שכבר ביצעת את השלבים במדריך "כיצד לדפוק את הרשת שלך( DD-WRT)".
  • מניחים ידע ברשת.

מאפשר לקבל פיצוח.

ברירת מחדל

D "חסום חדש VPNs" על DD-WRT

בעוד קטע הקוד הבא של "קוד" היה כנראה לעבוד על כל, כבוד עצמי, iptables שימוש, לינוקס / GNU ההפצה, כי יש כל כך הרבה גרסאות שם אנורק להראות כיצד להשתמש בו על DD-WRT.שום דבר לא יעצור אותך, אם תרצה, מיישומה ישירות על תיבת VPN.עם זאת, איך לעשות זאת, הוא מעבר לתחום של מדריך זה.

כי אנחנו רוצים להגדיל את חומת האש של הנתב, זה רק הגיוני כי היינו להוסיף את "חומת אש" סקריפט.פעולה זו, תגרום הפקודה iptables להיות מבוצע בכל פעם חומת האש מתרענן ובכך שמירה על הגדלת שלנו במקום עבור שומר.

מתוך האינטרנט של DD-WRT-GUI:

  • עבור אל "ניהול" - & gt;"פקודות".
  • הזן את הקוד הבא לתוך תיבת הטקסט:

    inline = "$( iptables -L INPUT -n | grep-n" מצב "," הוקם ", אופק:{ 'print $ 1'});inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -pc tcp - dport 1723-J DROP

  • לחץ על "שמור חומת אש".
  • בוצע.

מה זה פקודת "וודו"?

הפקודה "voodoo magic" לעיל עושה את הפעולות הבאות:

  • מציאת היכן נמצא הקו היחידי שמאפשר תקשורת שכבר קיימת.אנחנו עושים זאת, כי א על DD-WRT נתבים, אם שירות VPN מופעל, זה יהיה ממוקם ממש מתחת לקו זה ו B. זה חיוני למטרה שלנו להמשיך לאפשר לאפשר כבר הפעלות VPN לחיות על אחרידפיקות האירוע.
  • מחלק שני( 2) מהפקודה של פקודת הרישום כדי להסביר את הקיזוז שנגרם על ידי כותרות העמודות מידע.ברגע שזה נעשה, מוסיף אחד( 1) למספר לעיל, כך הכלל שאנחנו מכניסים יבוא רק אחרי הכלל המאפשר תקשורת כבר הוקמה.עזבתי את "בעיה מתמטית" פשוטה מאוד כאן, רק כדי להפוך את ההיגיון של "למה אחד צריך לצמצם אחד מן הכלל במקום במקום להוסיף אחד אליו" ברור.

KnockD תצורה

אנחנו צריכים ליצור רצף מפעיל חדש שיאפשר חיבורי VPN חדשים כדי ליצור.כדי לעשות זאת, לערוך את הקובץ knockd.conf על ידי הנפקת מסוף:

vi /opt/etc/ knockd.conf

לצרף את התצורה הקיימת:

[לאפשר- VPN] רצף
= 02,02,02,01,01,01,2010 20100,2010
seq_timeout = 60
start_command = iptables -I INPUT 1-s% IP% -p tcp - dport 1723 -J ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp - dport 1723 -J ACCEPT

תצורה זו תהיה:

  • הגדר את חלון ההזדמנויות להשלמת הרצף, ל -60 שניות.(מומלץ לשמור את זה קצר ככל האפשר)
  • להקשיב רצף של שלוש דופק על יציאות 2, 1 ו 2010( צו זה בכוונה לזרוק יציאות סורקים מן המסלול).
  • לאחר שהרצף זוהה, בצע את "start_command".זה "iptables" הפקודה יהיה מקום "לקבל את התנועה המיועדת ליציאה 1723 מאיפה דופק הגיע" על גבי כללי חומת האש.(ההנחיה% IP% מטופלת במיוחד על ידי KnockD ומוחלפת ב- IP של המקור לדפיקות).
  • המתן 20 שניות לפני הנפקת "stop_command".
  • בצע את "stop_command".איפה זה "iptables" הפקודה עושה את ההפך של האמור לעיל ומחק את הכלל המאפשר תקשורת.
זהו זה, שירות ה- VPN שלך צריך להיות עכשיו רק לאחר "לדפוק" מוצלח.

מחבר עצות

בזמן שאתה צריך להיות מוכן, יש כמה נקודות שאני מרגיש צורך להזכיר.פתרון בעיות של

  • .זכור כי אם אתה נתקל בבעיות, את "פתרון בעיות" קטע בסוף המאמר הראשון צריך להיות התחנה הראשונה שלך.
  • אם אתה רוצה, אתה יכול לקבל את "להתחיל / להפסיק" הוראות לבצע פקודות מרובות על ידי הפרדת אותם עם חצי colen( ;) או אפילו סקריפט.פעולה זו תאפשר לך לעשות דברים nifty.לדוגמה, יש לי knockd לשלוח לי * דוא"ל אומר לי רצף הופעל ומאיפה.
  • אל תשכח כי "יש אפליקציה עבור זה" ולמרות שלה לא הוזכר במאמר זה, אתה מוזמן לתפוס את התוכנה של אנדרואיד נוקף StavFX.
  • אמנם בנושא אנדרואיד, אל תשכח שיש לקוח VPTP VPTP שנבנה בדרך כלל לתוך מערכת ההפעלה של היצרן.
  • השיטה של, חסימת משהו בהתחלה ולאחר מכן להמשיך לאפשר תקשורת הוקמה כבר, ניתן להשתמש על כמעט כל תקשורת מבוססת TCP.למעשה ב Knockd על DD-WRT 1 ~ 6 סרטים, עשיתי את הדרך חזרה כאשר, השתמשתי בפרוטוקול שולחן עבודה מרוחק( RDP) אשר משתמש יציאת 3389 כדוגמה.
הערה: כדי לעשות זאת, יהיה עליך לקבל פונקציונליות דוא"ל על הנתב שלך, אשר כרגע יש באמת לא אחד שעובד בגלל תמונת מצב של SVN של חבילות OPGRT של OPWRT הוא בסכסוך.בגלל זה אני מציע להשתמש knockd ישירות על תיבת VPN המאפשר לך להשתמש בכל האפשרויות של שליחת דוא"ל הזמינים לינוקס / גנו, כמו SSMTP ו SendEmail להזכיר כמה.

מי מפריע לישון שלי?