6Aug

Ağınıza Nasıl Katlanır, Bölüm 2: VPN'inizi Koruyun( DD-WRT)

Yönlendiricinizdeki "Port Knocking" ile uzaktan WOL'u nasıl tetikleyeceğinizi gösterdik. Bu makalede, bir VPN hizmetini korumak için nasıl kullanılacağını göstereceğiz.

Image by Aviad Raviv &bfick.

Önsöz

DD-WRT'nin VPN için geliştirdiği işlevselliği kullandıysanız veya ağınızda başka bir VPN sunucunuz varsa, bunu bir saldırı dizisinin arkasına gizleyerek kaba kuvvet saldırılarına karşı koruma yeteneğini takdir edebilirsiniz. Bunu yaparak, ağınıza erişmeye çalışan komut dosyası çocuklarını filtreleyeceksiniz. Bununla birlikte, bir önceki makalede belirtildiği gibi, kapıyı çalmak, iyi bir şifre ve / veya güvenlik politikasının yerine geçmez. Yeterli sabırlı bir saldırganın diziyi keşfedebileceğini ve bir tekrarlama saldırısı yapabileceğini unutmayın.
Ayrıca şunu aklınızda bulundurun: VPN istemcisinin herhangi bir VPN müşterisinin bağlanmasını istemesi durumunda önce kodunu koduyla tetiklemek zorunda kalacaklarını ve herhangi bir sebepten dolayı kod dizisini tamamlayamazlarsa, VPN'i hiç kullanamayacak.

'ya Genel Bakış

* VPN hizmetini korumak için öncelikle 1723'ün başlatma bağlantı noktasını engelleyerek onunla olası tüm iletişimi devre dışı bırakacağız. Bu amaca ulaşmak için, iptables'ı kullanacağız. Bunun nedeni, iletişimin çoğu modern Linux / GNU dağıtımları genelde ve özellikle DD-WRT'de süzülmesidir. Iptables hakkında daha fazla bilgi edinmek isterseniz, wiki girişini kontrol edin ve konuyla ilgili daha önceki makalemize göz atın. Hizmet korunmaya başlandıktan sonra, VPN başlatma portunu geçici olarak açacak ve önceden yapılandırılmış bir VPN oturumunu bağlı tutarak, yapılandırılmış bir süre sonra otomatik olarak kapatabilecek bir el koyma dizisi oluşturacağız.

Not: Bu kılavuzda, örnek olarak PPTP VPN hizmetini kullanıyoruz. Bununla birlikte, aynı yöntem diğer VPN türleri için de kullanılabilir, yalnızca engellenen bağlantı noktası ve / veya iletişim türünü değiştirmeniz gerekir.

Ön Koşullar, Varsayımlar &Öneriler

  • Opkg özellikli bir DD-WRT yönlendiriciniz olduğu varsayılır / istenir.
  • "Ağınıza Nasıl Katlanır( DD-WRT)" kılavuzundaki adımları zaten gerçekleştirmiş olduğunuz varsayılır / istenir.
  • Bazı ağ bilgisi varsayılır.

Çatlama yapalım.

DD-WRT

'de Varsayılan "Yeni VPN'leri Engelle" kuralı Aşağıdaki "kod" snippet'imiz muhtemelen Linux / GNU dağıtımını kullanan her kendine saygılı, iptables üzerinde çalışırken, orada pek çok varyasyon var çünküyalnızca DD-WRT'de nasıl kullanılacağını gösterin.İsterseniz, doğrudan VPN kutusunda uygulamaktan başka şey sizi durdurmaz. Bununla birlikte, nasıl yapılacağı bu rehberin kapsamı dışındadır.

Yönlendiricinin Güvenlik Duvarı'nı genişletmek istediğimizden, yalnızca "Güvenlik Duvarı" komut dosyasına ekleyeceğimiz mantıklı.Bunu yaparsanız, güvenlik duvarı her yenilendiğinde iptables komutunun çalıştırılmasına ve dolayısıyla artırmaya devam etmemize yardımcı olur.

DD-WRT'nin Web-GUI'sinden:

  • "Yönetim" e gidin - & gt;“Komutları”.
  • Metin kutusuna aşağıdaki "kodu" giriniz:

    inline = "$( iptables -L INPUT -n | grep -n" durumu İLGİLİ, KURULDU "| awk -F:{ 'print $ 1'})";içi = $( ($ inline 2 + 1));iptables -I INPUT "$ satır içi" -p tcp --devre 1723 -j DROP

  • "Güvenlik Duvarı Kaydet" i tıklayın.
  • Bitti.

Bu "Voodoo" komutu nedir?

Yukarıdaki "voodoo büyüsü" komutu aşağıdakileri yapar:

  • Bulunduğu iletişimin geçmesine izin veren iptable satırı nerede bulur. Bunu yapmaktayız, çünkü A. DD-WRT yönlendiricilerinde, VPN hizmeti etkinse, bu hat ve B'nin hemen altında yer alacaktır. Daha önce kurulmuş olan VPN oturumlarının oturumun bitiminden sonra da devam etmesine izin vermeye devam etmekçalma olayı.
  • Bilgi sütun başlıklarının neden olduğu ofseti hesaba katmak için liste komutu çıktısından iki( 2) çıkarır.İşlem tamamlandıktan sonra yukarıdaki sayıya bir( 1) ekler, böylece ekleyeceğimiz kural önceden kurulmuş iletişimi sağlayan kuralın ardından gelecektir. Bu basit "matematik problemi" ni burada bıraktım, sadece "neden birinin yerine bir tane koymak yerine kuralın yerine koyması gerek" mantığını netleştirdim.

KnockD yapılandırması

Yeni VPN bağlantılarının oluşturulmasını sağlayacak yeni bir tetikleyici sıralama oluşturmamız gerekiyor. Bunu yapmak için knockd.conf dosyasını bir terminalde yayınlayarak düzenleyin:

vi /opt/etc/ knockd.conf

Varolan yapılandırmaya ekleyin:

[enable-VPN]
sequence = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I GİRİŞ 1 -s% IP% -p tcp --devre 1723 -j
KAPATIN cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --dport 1723 -j

KABUL EDİN Bu konfigürasyon:

  • Sıralamayı tamamlamak için fırsat penceresini 60 saniye olarak ayarlayın.(Bunu mümkün olduğunca kısa tutmanızı öneririz)
  • 2, 1 ve 2010 numaralı bağlantı noktaları üzerinde üç darbeyi dinleyin( bu sipariş, limanlardaki tarayıcıları parkurdan atmak için tasarlanmıştır).
  • Sekans tespit edildikten sonra "start_command" komutunu yürütün. Bu "iptables" komutu, güvenlik duvarı kurallarının üst kısmında "darbelerin geldiği yerden 1723 numaralı bağlantı noktasına giden trafiği kabul et" mesajını gönderecektir.(% IP% yönergesi KnockD tarafından özel olarak ele alınır ve vuruntu kaynağının IP ile değiştirilir).
  • "stop_command" komutunu vermeden önce 20 saniye bekleyin.
  • "stop_command" ı yürütün. Bu "iptables" komutu yukarıdaki işlemi tersine çevirir ve iletişimi sağlayan kuralı siler.
Bu kadar, VPN hizmetiniz artık yalnızca başarılı bir "kilit" sonrasında bağlanabilir olmalıdır.

Yazar 'nin ipuçları

Her şey hazır olsanız da, bahsedilmesi gereken birkaç nokta var.

  • Sorun Giderme. Sorun yaşıyorsanız, ilk makalenin sonundaki "sorun giderme" segmentinin ilk durağınız olması gerektiğini unutmayın.
  • İsterseniz, "başlat / durdur" yönergelerini, yarı-çizgi( ;) veya bir komut dosyası ile ayırarak birden fazla komutu çalıştırabilirsiniz. Bunu yapmak, bazı şık şeyler yapmanızı sağlayacaktır.Örneğin bana bir e-posta gönderip, bir dizinin tetiklendiğini ve nereden geldiğini bildirdim.
  • "Bunun için bir uygulama" olduğunu unutmayın ve bu makalede belirtilmese de, StavFX'in Android eline alıcısı programını kapmaya teşvik edilirsiniz.
  • Android konusunda çalışırken, genellikle üretici tarafından üretilen bir PPTP VPN istemcisinin olduğunu unutmayın.
  • Başlangıçta bir şey engelleme yöntemi, daha sonra kurulu iletişimi sürdürmeye devam etme yöntemi hemen her TCP tabanlı iletişimde kullanılabilir. Aslında DD-WRT 1 ~ 6 filmlerindeki Knockd'da, 3389 numaralı portu bir örnek olarak kullanan uzak masaüstü protokolünü( RDP) kullandığım zaman geri döndüm.
Not: Bunu yapmak için yönlendiricinizde E-posta işlevselliği edinmeniz gerekir; bu da OpenWRT'nin opkg paketlerinin SVN anlık görüntüsünün bozulmasından dolayı şu anda çalışmayan bir özelliktir. Bu nedenle knockd'u doğrudan VPN kutusunda kullanmanızı öneririm; bu sayede Linux / GNU'da bulunan, SSMTP ve sendEmail gibi e-posta gönderme seçeneklerinden birçoğunu da kullanabilirsiniz.

Kimim Uykumumu Kaybeder?