6Aug

Kā nobloķēt jūsu tīklā, 2.daļa: aizsargāt savu VPN( DD-WRT)

Esam parādījuši, kā jūs attālināti aktivizēt WOL, izmantojot maršrutētāju, izmantojot "port knocking".Šajā rakstā mēs parādīsim, kā to izmantot, lai aizsargātu VPN pakalpojumu.

Attēls pēc Aviad Raviv &bfick

Priekšvārds

Ja esat izmantojis DD-WRT iebūvēto funkcionalitāti VPN vai arī savā tīklā ir cits VPN serveris, jūs varētu novērtēt spēju to aizsargāt no brutāla spēka uzbrukumiem, slēpjot to aiz izslēgšanas secības. Tādā veidā jūs filtrēsiet skriptu kiddies, kas mēģina piekļūt jūsu tīklam. Tas nozīmē, ka, kā norādīts iepriekšējā rakstā, ostas klauvēšana nav labas paroles un / vai drošības politikas aizstāšana. Vai atcerieties, ka ar pietiekamu pacietību uzbrucējs var atklāt secību un veikt atkārtotu uzbrukumu.
Ņemiet vērā arī to, ka, ja kāds VPN klients vēlas pieslēgties, tā ir jāuzstāda tā, ka, ja kāds VPN klients vēlas pieslēgties, viņam vajadzētu iepriekš aktivizēt klauzulu un, ja viņi nevar pabeigt secību kāda iemesla dēļ, tieVPN nebūs iespējams vispār.

Pārskats

Lai aizsargātu VPT pakalpojumu, mēs vispirms atspējosim visu iespējamo saziņu ar to, bloķējot 1723. instanču portu. Lai sasniegtu šo mērķi, mēs izmantosim iptables. Tas notiek tādēļ, ka saziņa tiek filtrēta lielākajā daļā moderno Linux / GNU sadalījumu kopumā un it īpaši DD-WRT.Ja vēlaties iegūt vairāk informācijas par iptables izraksta savu wiki ierakstu un apskatīt mūsu iepriekšējo rakstu par šo tēmu. Pēc tam, kad pakalpojums būs aizsargāts, mēs izveidosim klauzulas secību, kas īslaicīgi atvērs VPN instancio portu, kā arī automātiski aizvērsim to pēc konfigurēta laika, vienlaikus saglabājot jau izveidoto VPN sesiju.

Piezīme. Šajā rokasgrāmatā mēs izmantojam PPTP VPN pakalpojumu kā piemēru. Ar to teica, to pašu metodi var izmantot citiem VPN veidiem, jums vienkārši būs jāmaina bloķētais ports un / vai sakaru veids.

priekšnosacījumi, pieņēmumi &Ieteikumi

  • Pieņemts / pieprasīts, ka jums ir Opcg iespējots DD-WRT maršrutētājs.
  • Tiek pieņemts / pieprasīts, ka esat jau izpildījis soļus, kas norādītas ceļvedī "Kā ieliec jūsu tīklā( DD-WRT)".
  • Daži zināšanas par tīklu tiek pieņemti.

Ļauj izšķīst.

Pēc noklusējuma "Block new VPNs" noteikums uz DD-WRT

Lai gan zemāk minētā koda fragmenta darbība, visticamāk, darbosies ar visiem cienīgiem, iptables, izmantojot Linux / GNU izplatīšanu, jo tur būs tik daudz variantutikai parāda, kā to izmantot DD-WRT.Nekas neaizkavē jūs, ja vēlaties, to īstenot tieši VPN lodziņā.Tomēr, kā to izdarīt, šī rokasgrāmata neattiecas.

Tā kā mēs vēlamies paplašināt maršrutētāja ugunsmūri, ir loģiski, ka mēs pievienotu skriptu "Firewall".To darot, ikreiz, kad ugunsmūris tiek atsvaidzināta, tiek izpildīta iptables komanda, tādējādi saglabājot mūsu paplašināšanu.

No DD-WRT Web-GUI:

  • Atveriet sadaļu "Administration" - & gt;"Komandas".
  • Ievadiet tekstlodziņā zemāk redzamo kodu:

    inline = "$( iptables-L INPUT -n | grep -n" stāvoklis SAISTĪTS, IESTATĪT "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1));iptables-I INPUT "$ inline" -p tcp --dport 1723 -j DROP

  • Noklikšķiniet uz "Saglabāt ugunsmūri".
  • pabeigts.

Kas ir šī komanda "Voodoo"?

Iepriekš minētā "voodoo magic" komanda veic šādu darbību:

  • Atrod, kur ir iptable līnija, kas ļauj jau izveidotajai saziņai iziet. Mēs to darām, jo ​​A. uz DD-WRT maršrutētājiem, ja ir aktivizēts VPN pakalpojums, tas atrodas tieši zem šīs līnijas un B. Ir svarīgi, lai mēs turpinātu atļaut jau izveidotajiem VPN sesijas dzīvot pēcklauvējošs notikums.
  • Izņem divus( 2) no saraksta komandu produkcijas, lai norādītu informatīvo sleju galvenes izraisīto nobīdi. Kad tas ir izdarīts, pievieno vienu( 1) iepriekšminēto numuru, lai mūsu ievietotais noteikums nonāktu tūlīt pēc noteikuma, kas pieļauj jau izveidotu saziņu. Es esmu atstājis šo ļoti vienkāršo "matemātikas problēmu" šeit, lai izveidotu loģiku "kāpēc vajadzētu samazināt vienu no noteikuma vietas, nevis pievienot tam vienu" skaidrs.

KnockD konfigurācija

Mums ir jāizveido jauna aktivizēšanas secība, kas ļaus izveidot jaunus VPN savienojumus. Lai to paveiktu, rediģējiet failu knockd.conf, izlaižot terminālā:

vi /opt/etc/ knockd.conf

Pievienot esošajai konfigurācijai:

[enable-VPN]
secība = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp -dport 1723 -j pieņem
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j PIEŅEMT

Šī konfigurācija:

  • Uzstādiet iespēju logu pabeigt secību līdz 60 sekundēm.(Ieteicams to saglabāt pēc iespējas īsākā laikā.)
  • Klausieties trīs secīgu secību secību ostās 2, 1 un 2010( šis pasūtījums ir apzināts, lai izsmidzinātu portu skenerus).
  • Tiklīdz secība ir konstatēta, izpildiet "start_command".Šī komanda "iptables" izvietos ugunsmūra noteikumu augšpusē "pieņemt satiksmi, kas paredzēta 1723. gada ostam no kurienes notika ielaušanās".(Direktorija% IP% tiek īpaši apstrādāta ar KnockD un tiek aizstāta ar izsaukumu izcelsmes IP).
  • Pagaidiet 20 sekundes pirms "stop_command" izsniegšanas.
  • Izpildīt "stop_command".Ja šī komanda "iptables" veic iepriekšminēto reversu un dzēš noteikumu, kas ļauj sazināties.
Tas ir, jūsu VPN pakalpojums tagad ir savienojams tikai pēc veiksmīgas "klauvē".

Autors padomi

Kamēr jums vajadzētu būt visiem iestatījumiem, ir daži punkti, kurus es uzskatu, ka ir nepieciešams pieminēt.

  • traucējummeklēšana. Atcerieties, ka, ja jums rodas problēmas, segmenta "traucējummeklēšana" pirmā raksta beigās ir jābūt pirmajai pieturvietai.
  • Ja vēlaties, varat izmantot "sākuma / pārtraukšanas" direktīvas, izpildot vairākas komandas, atdalot tās ar daļēji kolonu( ;) vai pat skriptu. To darot, jūs varēsiet paveikt kādu jauku stuff. Piemēram, man ir knocked nosūtīt man * E-pasts stāsta man, ka secība ir aktivizēta un no kurienes.
  • Neaizmirstiet, ka "tam ir lietojumprogramma", un pat ja tā nav minēta šajā rakstā, jūs esat ieteicams uztvert StavFX Android ielaušanās programmu.
  • Lai gan Android jautājumā neaizmirstiet, ka no ražotāja parasti tiek iebūvēts PPTP VPN klients.
  • Metode, sākotnēji bloķējot kaut ko un pēc tam turpinot atļaut jau izveidotu saziņu, var tikt izmantota praktiski jebkurai TCP sakariem. Patiesībā DD-WRT 1 ~ 6 filmas uzbrukumā esmu paveicis ceļu atpakaļ, kad esmu izmantojis attālās darbvirsmas protokolu( RDP), kas kā piemēru izmanto portu 3389.
Piezīme. Lai to paveiktu, maršrutētājā jums būs jāiegūst e-pasta funkcionalitāte, kas šobrīd patiešām patiešām nav tā, kas darbojas, jo OpenWRT opkg pakotņu SVN momentuzņēmums ir izkropļots. Tāpēc es iesaku izmantot klēpjdatoru tieši VPN lodziņā, kas ļauj jums izmantot visas iespējas, kā nosūtīt e-pastu, kas ir pieejami Linux / GNU, piemēram, SSMTP un sendEmail, lai pieminētu dažus.

Kas traucē manu miegu?