6Aug
Pokazali smo, kako lahko daljinsko sprožite WOL s pomočjo »Port Knocking« na vašem usmerjevalniku. V tem članku bomo pokazali, kako jo uporabiti za zaščito storitve VPN.
Slika podjetja Aviad Raviv &bfick.
Predgovor
Če ste uporabili DD-WRT funkcionalnost za VPN ali imate v svojem omrežju drug strežnik VPN, boste morda cenili možnost, da jo zaščitite pred napadi z brutalnim silo, tako da ga skrijete za zaporedje udarcev. S tem boste filtrirali kiddies skript, ki poskušajo pridobiti dostop do vašega omrežja. S tem, kot je navedeno v prejšnjem članku, trkanje vrat ni nadomestilo za dobro geslo in / ali varnostno politiko. Ne pozabite, da lahko napadalec s potrpežljivostjo odkrije zaporedje in izvede napad ponovitve.
Upoštevajte tudi, da je pomanjkanje izvajanja tega, da bi se, če bi se katerikoli VPN odjemalec / i želel povezati, morali vnaprej sprožiti zaporedje knock in da, če ne morejo zapreti zaporedja iz kateregakoli razloga, VPN sploh ne bo mogel.
Pregled
Da bi zaščitili * storitev VPN, najprej onemogočimo vso možno komunikacijo z njim, tako da blokiramo pristaniško pristanišče 1723. Za dosego tega cilja bomo uporabili iptables. To je zato, ker je komunikacija filtrirana na večini sodobnih distribucij Linux / GNU na splošno in zlasti na DD-WRT.Če želite več informacij o iptables checkout svoj wiki vnos, in si oglejte naš prejšnji članek o tej temi. Ko bo storitev zaščitena, bomo ustvarili zaporedno zaporedje, ki bi začasno odprlo VND-je za ustvarjanje pristnosti in ga tudi samodejno zaprlo po nastavljenem času, hkrati pa ohranilo že vzpostavljeno VPN sejo.
Opomba: V tem priročniku kot primer služi storitev PPTP VPN.S tem je mogoče isto metodo uporabiti tudi za druge vrste VPN, samo spremeniti morate blokirano vrata in / ali vrsto komunikacije.
Predpogoji, predpostavke &Priporočila
- Predpostavljamo / zahtevamo, da imate usmerjevalnik DD-WRT, ki je omogočen z Opkg.
- Predpostavlja se / zahteva, da ste že izvedli korake v priročniku »Kako prekleti v svoje omrežje( DD-WRT)«.
- Predpostavlja se nekaj mrežnih znanj.
Omogoča prenehanje.
Privzeto Pravilo "Blokiraj nove VPN-je" na DD-WRT
Medtem ko spodnji del kode "verjetno deluje na vseh samospoštnih iptables, ki uporabljajo Linux / GNU distribucijo, ker obstaja toliko različic, bomo tamsamo pokažejo, kako jo uporabljati na DD-WRT.Nič vas ne ustavi, če želite, da ga neposredno uporabite v VPN oknu. Vendar pa, kako to storiti, je izven področja uporabe tega vodnika.
Ker želimo razširiti požarni zid usmerjevalnika, je logično, da bi dodali skript "Firewall".S tem bi povzročili, da se ukaz iptables izvrši vsakič, ko se požarni zid osveži, in s tem ohranjamo našo povečavo za ohranjanje.
Od spletnega GUI DD-WRT:
- Pojdite na »Upravljanje« - & gt;"Ukazi".
- V besedilno polje vnesite spodnjo "kodo":
inline = "$( iptables -L INPUT -n | grep -n" stanje POVEZANO, USTANOVLJENO | | awk -F:{ 'print $ 1'}) ";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp -dport 1723 -j DROP
- Kliknite na "Shrani požarni zid".
- Končano.
Kaj je ta ukaz "Voodoo"?
Zgornji ukaz "voodoo magic" naredi naslednje:
- Poišče, kje je iptable črta, ki omogoča že vzpostavljeno komunikacijo. To počnemo, ker A. Na usmerjevalnikih DD-WRT, če je storitev VPN omogočena, se bo nahajal tik pod to črto in B. Bistvenega pomena je, da naš cilj še naprej dovoljuje že vzpostavljene seje VPN potrkanje dogodka.
- Odziva dve( 2) iz izhoda ukaza za uvrstitev, da obračuna odmik, ki ga povzročajo podatki z informacijami v stolpcih stolpcev. Ko je to storjeno, doda eno( 1) na zgornjo številko, tako da bo pravilo, ki ga vstavljamo, prišlo šele po pravilu, ki omogoča že vzpostavljeno komunikacijo. Tukaj sem zapustil to zelo preprosto "matematično težavo", samo zato, da bi naredili logiko "zakaj je treba zmanjšati enega od mesta pravil, namesto da bi ga dodali k njej".
Konfiguracija KnockD
Ustvariti moramo novo sprožitveno zaporedje, ki bo omogočilo ustvarjanje novih VPN povezav.Če želite to narediti, uredite datoteko knockd.conf z izdajo v terminalu:
vi /opt/etc/ knockd.conf
Pripona obstoječe konfiguracije:
[enable-VPN]
zaporedje = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp -dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j SPREJEMANJE
Ta konfiguracija bo:
- Nastavite okno priložnosti za dokončanje zaporedja, na 60 sekund.(Priporočljivo je, da to ostane čim krajše)
- Poslušajte zaporedje treh udarcev na vratih 2, 1 in 2010( ta vrstni red je namerno vrgel optične čitalce na progi).
- Ko je zaporedje zaznano, izvedite »start_command«.Ta ukaz "iptables" bo na vrhu pravil požarnega zidu postavil "sprejeti promet, namenjen v pristanišče 1723, od koder so prišli udarci".(Direktiva% IP% obravnava posebej KnockD in se nadomesti z izvorom IP udarcev).
- Počakajte 20 sekund, preden izdate »stop_command«.
- Izvedite »stop_command«.Kjer ta ukaz "iptables" naredi obratno od zgoraj in izbriše pravilo, ki omogoča komunikacijo.
Avtorji Nasveti
Čeprav morate biti vsi nastavljeni, obstaja nekaj točk, ki jih menim, da jih je treba omeniti.
- Odpravljanje težav. Ne pozabite, da je v primeru težav s segmentom "odpravljanje težav" na koncu prvega člena vaš prvi postanek.
- Če želite, imate lahko ukaze za zagon / zaustavitev izvedbo več ukazov tako, da jih ločite s polkrogom( ;) ali celo skriptom. S tem boste lahko naredili nekaj čudovitih stvari. Na primer, knockd mi pošlji * Email, ki mi pove, da je zaporedje sproščeno in od koder.
- Ne pozabite na to, da obstaja "aplikacija za to", in čeprav v tem članku niste omenili, vas spodbujajo, da zgrabite StavFX Android knocker program.
- Medtem ko je na temo Androida, ne pozabite, da je PPTP VPN odjemalec običajno vdelan v OS od proizvajalca.
- Metoda blokiranja nekega začetnega in nato nadaljevanja omogočanja že vzpostavljene komunikacije se lahko uporablja na skoraj vsaki komunikaciji na osnovi TCP.Pravzaprav v filmih Knockd na filmih DD-WRT 1 ~ 6 sem se vrnil, ko sem uporabil protokol za oddaljeni namizni računalnik( RDP), ki na primer uporablja vrata 3389.
Kdo moti moje srce?