6Aug

Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN( DD-WRT)

Mes parodėme, kaip paleisti WOL nuotoliniu būdu "Port Knocking" jūsų maršrutizatoriuje.Šiame straipsnyje mes parodysime, kaip jį naudoti VPN paslaugos apsaugai.

Image by Aviad Raviv &bfick

Pratarmė

Jei naudojate "DD-WRT" įmontuotą VPN funkciją arba turite savo tinklo kito VPN serverio, galėtumėte suvokti galimybę apsaugoti ją nuo brute force atakas, paslėpdami jį už bangavimo sekos. Tokiu būdu filtruosite scenarijų kiddies, bandančias pasiekti jūsų tinklą.Tai sakydamas, kaip nurodyta ankstesniame straipsnyje, uosto beldimas nėra gero slaptažodžio ir( arba) saugumo politikos pakeitimas. Atminkite, kad pakankamai kantriai užpuolikas gali atrasti seką ir atlikti atkūrimo ataką.
Taip pat turėkite omenyje, kad šio įgyvendinimo nepakankamumas yra tas, kad kai bet kuris VPN klientas / -ai norės prisijungti, jie turėtų anksčiau pradėti pokalbį su ir kad jei jie negali užbaigti seka dėl kokios nors priežasties, jievis tiek negalės VPN.

apžvalga

Siekiant apsaugoti * VPN paslaugą, mes pirmiausia išjungsime visą įmanomą ryšį su juo, užblokuojant 1723 m. Instancijos uostą. Norint pasiekti šį tikslą, mes naudosime iptables. Taip yra todėl, kad bendravimas yra filtruojamas daugelyje modernių Linux / GNU distribucijų apskritai ir ypač DD-WRT.Jei norite gauti daugiau informacijos apie "iptables", patikrinkite savo "wiki" įrašą ir pažiūrėkite į ankstesnį straipsnį apie temą.Kai paslauga bus apsaugota, mes sukursime pokalbio seką, kuri laikinai atidarys VPN instancijos prievadą, taip pat automatiškai uždarys ją po nustatytos trukmės, išlaikydama jau įtvirtintą VPN seansą.

Pastaba: šiame vadove, kaip pavyzdys, naudojame PPTP VPN paslaugą.Tai sakydamas, tas pats metodas gali būti naudojamas ir kitiems VPN tipams, jums reikės pakeisti blokuojamą prievadą ir / arba ryšio tipą.

Būtinos sąlygos, prielaidos &Rekomendacijos

  • Manoma, kad turite DK-WRT maršrutizatorių su "Opkg".
  • Manoma, kad jau atlikote žingsnius, pateiktus vadove "Kaip sugrįžti į jūsų tinklą( DD-WRT)".
  • Prielaida yra tam tikrų žinių apie tinklus.

Leidžia įtrūkti.

Numatytasis "Blokuoti naujus VPN" taisyklę DD-WRT

Nors toliau pateiktas "kodo" fragmentas, greičiausiai, dirbs su visomis savarankiškomis iptables naudojant "Linux / GNU" paskirstymą, nes ten yra tiek daug variantųtik parodyti, kaip jį naudoti DD-WRT.Jei norite, tai nieko nedaro, jei norite jį įdiegti tiesiai VPN laukelyje. Tačiau, kaip tai padaryti, šis vadovas nėra taikomas.

Kadangi mes norime padidinti maršrutizatoriaus užkardą, tai logiška, kad mes pridėtume prie "Firewall" scenarijų.Tokiu atveju kiekvieną kartą, kai užkarda atnaujinama, vykdoma iptables komanda, taigi mūsų palaikymas išliks nepakitęs.

Iš DD-WRT žiniatinklio GUI:

  • Eikite į "Administration" - & gt;"Komandos".
  • Įeikite žemiau esantį kodą į teksto laukelį:

    inline = "$( iptables-L INPUT -n | grep -n" statusas SUSIJĘS, NUSTATYTA "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP

  • Paspauskite "Save Firewall".
  • Atlikta.

Kas tai yra "Voodoo" komanda?

Aukščiau pateikta "voodoo magic" komanda atlieka šiuos veiksmus:

  • Randa, kur yra iptable linija, leidžianti jau sukurtą ryšį pereiti. Mes tai darome, nes "A. On" DD-WRT maršrutizatoriuose, jei VPN paslauga įjungta, ji bus tiesiai žemiau šios linijos ir B. Svarbu, kad mūsų tikslas būtų toliau leisti jau sukurtas VPN sesijas gyventi pobeldžiasi renginys.
  • išskleidžia du( 2) iš komandų sąrašo išvesties, kad būtų galima apskaičiuoti kompensaciją, kurią sukelia informacijos stulpelių antraštės. Kai tai padaroma, pridedamas vienas( 1) prie pirmiau nurodyto numerio, taigi taisyklė, kurią mes įtraukiame, pateks tiesiai po to, kai leidžiama jau sukurta bendravimas. Aš palikau šią labai paprastą "matematikos problemą" čia, tik norėdamas išaiškinti logiką "kodėl reikia jį sumažinti iš taisyklės vietos, o ne pridėti prie jos".

"KnockD" konfigūracija

Turime sukurti naują paleidimo seką, kuri leis sukurti naujus VPN jungtys. Norėdami tai padaryti, redaguokite failą knockd.conf, išleidžiant į terminalą:

vi /opt/etc/ knockd.conf

Pridėkite prie esamos konfigūracijos:

[enable-VPN]
sequence = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables-I INPUT 1 -s% IP% -p tcp -dport 1723 -j ATIDARYTA
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j ACCEPT

Ši konfigūracija bus tokia:

  • Nustatykite galimybę užbaigti seką iki 60 sekundžių.(Rekomenduojama, kad tai būtų kuo trumpesni)
  • Klausykite trijų smūgių seką, esančią 2, 1 ir 2010 m. Uostuose( šis užsakymas yra sąmoningas, jei norite išmesti uostuose esančius skenerius).
  • Kai seka buvo aptikta, paleiskite "start_command".Ši komanda "iptables" nustatys ugniasienės taisyklių viršuje esantį "priimtiną srautą, skirtą 1723 m. Uostui, iš kurio nukentėjo".(Direktorius% IP% yra specialiai apdorojamas "KnockD" ir pakeičiamas nukreipimo tašku IP).
  • Palaukite 20 sekundžių prieš išduodant "stop_command".
  • Vykdyti "stop_command".Kur ši komanda "iptables" atlieka priešingą iš aukščiau nurodyto ir ištrina taisyklę, leidžiančią bendrauti.
Štai, jūsų VPN paslauga turėtų būti jungiama tik sėkmingai "trankydami".

Autorius patarimai

Nors jums turėtų būti visi nustatyti, yra keletas dalykų, kuriuos manau, reikia paminėti.

  • trikčių šalinimas. Atminkite, kad jei turite problemų, pirmojo straipsnio pabaigoje segmentas "trikčių šalinimas" turėtų būti jūsų pirmasis sustojimas.
  • Jei norite, galite turėti "start / stop" direktyvas vykdyti kelias komandas, atskiriant jas su pusiau kolen( ;) ar netgi su scenarijau. Tokiu būdu galėsite atlikti keletą puikių dalykų.Pavyzdžiui, aš turiu pakliuvęs išsiųsti man * E-mail, kuriame sakoma, kad seka buvo suaktyvinta ir iš kur.
  • Nepamirškite, kad "yra tam skirta programa" ir net jei ji šiame straipsnyje nenurodyta, jums raginama patraukti "StavFX" "Android" pokalbių programą.
  • Nors dėl "Android" dalykų, nepamirškite, kad iš gamintojo įprastai įdiegta PPTP VPN klientas.
  • Pradinio ir kažko užblokavimo metodas, leidžiantis leisti jau sukurtą ryšį, gali būti naudojamas praktiškai bet kokiam TCP ryšiui. Tiesą sakant, DD-WRT 1 ~ 6 filmuose "Knocked" aš padariau kelią atgal, kai aš naudoju nuotolinio darbalaukio protokolą( RDP), kuris naudoja uostą 3389 kaip pavyzdį.
Pastaba: norint tai padaryti, turėsite gauti el. Pašto funkciją savo maršrutizatoriuje, o šiuo metu iš tikrųjų tai nėra tas, kuris veikia, nes "OpenWRT" opkg paketų SVN fotografavimas yra sutrikdytas.Štai kodėl aš siūlau naudoti iškvietą tiesiai VPN dėžutėje, kuri leidžia jums naudoti visas "Linux / GNU" el. Pašto siuntimo parinktis, pvz., SSMTP ir sendEmail, norėdami paminėti keletą.

Kas kenkia mano miegui?