Mājas lapa » » Kā nokļūt tīklā, 2. daļa Aizsargājiet savu VPN (DD-WRT)

    Kā nokļūt tīklā, 2. daļa Aizsargājiet savu VPN (DD-WRT)

    Mēs esam parādījuši, kā aktivizēt WOL attālināti ar maršrutētāja “Port Knocking” palīdzību. Šajā rakstā mēs parādīsim, kā to izmantot, lai aizsargātu VPN pakalpojumu.

    Attēls no Aviad Raviv & bfick.

    Priekšvārds

    Ja esat izmantojis DD-WRT iebūvēto funkcionalitāti VPN vai, ja tīklā ir cits VPN serveris, jūs varat novērtēt spēju aizsargāt to no brutālu spēku uzbrukumiem, slēpjot to aiz klauvēšanas secības. To darot, jūs filtrējat skriptu kiddies, kas mēģina piekļūt jūsu tīklam. Līdz ar to, kā minēts iepriekšējā rakstā, ostas klauvēšana neaizstāj labu paroli un / vai drošības politiku. Atcerieties, ka ar pietiekamu pacietību uzbrucējs var atklāt secību un veikt atkārtotu uzbrukumu.
    Tāpat paturiet prātā, ka šī procesa īstenošanas negatīvie ir tas, ka tad, kad kāds VPN klients / -i vēlas izveidot savienojumu, viņiem būtu jāaktivizē kopēšanas secība iepriekš un, ja viņi nevar pabeigt secību kāda iemesla dēļ, viņi nevarēs VPN vispār.

    Pārskats

    Lai aizsargātu * VPN pakalpojumu, mēs vispirms atslēgsim visu iespējamo saziņu ar to, bloķējot momentāno 1723. portu. Lai sasniegtu šo mērķi, mēs izmantosim iptables. Tas ir tāpēc, ka komunikācija tiek filtrēta vismodernākajos Linux / GNU sadalījumos kopumā un jo īpaši DD-WRT. Ja vēlaties iegūt vairāk informācijas par iptables izrakstīšanos, tā wiki ierakstu un apskatiet mūsu iepriekšējo rakstu par šo tēmu. Kad pakalpojums ir aizsargāts, mēs izveidosim kopēšanas secību, kas uz laiku atvērtu VPN tūlītējo portu un automātiski aizvertu to arī pēc konfigurēta laika, saglabājot jau izveidoto VPN sesiju.

    Piezīme. Šajā rokasgrāmatā kā piemērs izmantojam PPTP VPN pakalpojumu. Ar to sakot, to pašu metodi var izmantot arī citiem VPN tipiem, jums tikai jāmaina bloķētais ports un / vai saziņas veids.

    Priekšnosacījumi, pieņēmumi un ieteikumi

    • Tiek pieņemts / nepieciešams, lai jums būtu Opkg iespējots DD-WRT maršrutētājs.
    • Tiek pieņemts / nepieciešams, ka jūs jau esat izpildījis norādījumus, kas norādīti sadaļā “Kā nokļūt tīklā (DD-WRT)”.
    • Tiek pieņemtas zināmas zināšanas par tīklu.

    Ļauj iegūt plaisāšanu.

    Noklusējums “Bloķēt jaunu VPN” noteikums DD-WRT

    Lai gan zemāk redzamais “koda” fragments, iespējams, strādātu ar katru, pašcieņu, iptables, izmantojot Linux / GNU izplatīšanu, jo tur ir tik daudz variantu, ka mēs tikai parādīsim, kā to izmantot DD-WRT. Nekas netraucē, ja vēlaties, to tieši īstenot VPN lodziņā. Tomēr, kā to izdarīt, šī rokasgrāmata neietilpst.

    Tā kā mēs vēlamies paplašināt maršrutētāja ugunsmūri, ir tikai loģiski, ka mēs pievienojam skriptu “Ugunsmūris”. To darot, komanda iptables tiktu izpildīta katru reizi, kad tiek atjaunots ugunsmūris, un tādējādi saglabājot mūsu papildinājumu, lai saglabātu.

    No DD-WRT Web-GUI:

    • Dodieties uz “Administrācija” -> “Komandas”.
    • Teksta lodziņā ievadiet šādu kodu:

      inline = "$ (iptables -L INPUT -n | grep -n" stāvoklis SAISTĪTS, IZVEIDOT "| awk -F: 'print $ 1')"; inline = $ (($ inline-2 + 1)); iptables -I INPUT "$ inline" -p tcp --dokuments 1723 -j DROP

    • Noklikšķiniet uz “Saglabāt ugunsmūri”.
    • Gatavs.

    Kas ir šī “Voodoo” komanda?

    Iepriekš minētā “voodoo magic” komanda veic šādas darbības:

    • Atrod, kur ir iptable līnija, kas ļauj jau izveidotai komunikācijai iziet cauri. Mēs to darām, jo ​​A. DD-WRT maršrutētājiem, ja VPN pakalpojums ir iespējots, tas atrodas tieši zem šīs līnijas un B. Mūsu mērķim ir turpināt atļaut jau izveidotām VPN sesijām dzīvot pēc klauvē.
    • Lai uzskaitītu kompensāciju, ko izraisījusi informācijas kolonnu virsraksti, no saraksta komandas izejas atdala divas (2). Kad tas ir paveikts, iepriekš minētajam numuram pievieno vienu (1), lai noteikums, ko mēs ievietojam, nonāks tieši pēc noteikuma, kas pieļauj jau izveidotu komunikāciju. Esmu atstājis šo ļoti vienkāršo „matemātikas problēmu” šeit, lai padarītu loģiku „kāpēc viens ir jāsamazina no noteikuma vietas, nevis jāpievieno tam viena”.

    KnockD konfigurācija

    Mums jāizveido jauna aktivizēšanas secība, kas ļaus izveidot jaunus VPN savienojumus. Lai to izdarītu, rediģējiet failu knockd.conf, izsniedzot terminālā:

    vi /opt/etc/knockd.conf

    Pievienojiet esošajai konfigurācijai:

    [iespējot-VPN]
    secība = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I INPUT 1 s% IP% -p tcp - dots 1723 -j ACCEPT
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp --dokuments 1723 -j ACCEPT

    Šī konfigurācija:

    • Iestatiet iespēju, lai pabeigtu secību, līdz 60 sekundēm. (Ieteicams to saglabāt pēc iespējas īsākā laikā)
    • Klausieties virkni trīs triecieniem 2., 1. un 2010. gada ostās (šis rīkojums ir apzināts, lai izmestu ostas skenerus no ceļa).
    • Kad secība ir atklāta, izpildiet “start_command”. Šī “iptables” komanda izvietos ugunsmūra noteikumu augšpusē “pieņemto satiksmi, kas paredzēta ostai 1723, no kurienes nokļuva no triecieniem”. (% IP% direktīva tiek īpaši apstrādāta ar KnockD, un tā tiek aizstāta ar IP sitienu sākuma punktu).
    • Pagaidiet 20 sekundes, pirms izsniedzat “stop_command”.
    • Izpildiet “stop_command”. Ja šī “iptables” komanda veic iepriekšminēto un dzēš noteikumu, kas ļauj sazināties.
    Tādā gadījumā jūsu VPN pakalpojums tagad ir jāpieslēdz tikai pēc veiksmīgas „knock”.

    Autorspadomi

    Lai gan jums vajadzētu būt visiem, ir daži punkti, kas man šķiet vajadzīgi.

    • Problēmu novēršana. Atcerieties, ka, ja jums ir problēmas, pirmā raksta beigās vajadzētu būt segmentam „traucējummeklēšana”.
    • Ja vēlaties, varat sākt “start / stop” direktīvas izpildīt vairākas komandas, atdalot tās ar puskolēnu (;) vai pat skriptu. Šādi rīkojoties, jūs varēsiet veikt dažas izsmalcinātas lietas. Piemēram, es esmu nosūtījis man * e-pasta ziņojumu, kas man paziņo, ka secība ir aktivizēta un no kurienes.
    • Neaizmirstiet, ka “Ir piemērota lietojumprogramma”, un, pat ja tā nav minēta šajā rakstā, jūs tiekat aicināti paņemt StavFX Android kopšanas programmu.
    • Neskatoties uz Android jautājumiem, neaizmirstiet, ka PPTP VPN klients parasti ir iebūvēts OS no ražotāja.
    • Metode, kā kaut ko sākotnēji bloķēt un pēc tam turpināt atļaut jau izveidotu saziņu, var tikt izmantota praktiski jebkurā TCP balstītā komunikācijā. Faktiski Knockd DD-WRT 1 ~ 6 filmās, es esmu darījis ceļu atpakaļ, kad esmu izmantojis attālo darbvirsmas protokolu (RDP), kas kā piemēru izmanto 3389 portu..
    Piezīme: Lai to paveiktu, maršrutētājam būs jāsaņem e-pasta funkcionalitāte, kas pašlaik patiešām nav tāda, kas darbojas, jo SVN momentuzņēmums no OpenWRT opkg paketēm ir nesakārtots. Tāpēc es iesaku izmantot knockd tieši VPN lodziņā, kas ļauj izmantot visas iespējas sūtīt e-pastu, kas ir pieejams Linux / GNU, piemēram, SSMTP un sendEmail, lai minētu dažus.

    Kas traucē manu miegu?

    Kā zināt, vai jūsu parole ir noplūdusi tiešsaistē
    Kā zināt, kad ir pienācis laiks nomainīt klēpjdatora akumulatoru
    Kā nogalināt vai aizvērt visas operētājsistēmas Windows ātri
    Nākamais raksts
    Kā nokļūt tīklā (DD-WRT)
    Iepriekšējais raksts
    Kā nogalināt savu Facebook atkarību no jūsu iPhone