Kuidas võrku sattuda, 2. osa VPN-i kaitsmine (DD-WRT)
Oleme näidanud teile, kuidas WOL-i käivitada oma marsruuteri „Port Knocking” abil. Selles artiklis näitame, kuidas seda kasutada VPN-teenuse kaitsmiseks.
Pilt Aviad Raviv & bfickilt.
Eessõna
Kui olete kasutanud DN-WRT-i VPN-i sisseehitatud funktsionaalsust või kui teie võrgus on teine VPN-server, siis võite mõista võimalust kaitsta seda brutse jõu rünnakute eest, peites selle koputamisjärjestuse taga. Sellega filtreerite välja skriptid, mis üritavad teie võrku pääseda. Sellega öeldes, nagu eelmises artiklis öeldud, ei asenda sadama koputamine head parooli ja / või turvapoliitikat. Pidage meeles, et piisava kannatlikkusega saab ründaja leida jada ja teha kordusrünnaku.
Pidage meeles ka seda, et selle rakendamise negatiivne külg on see, et kui ükskõik milline VPN-klient / -ühendused soovivad ühendada, peavad nad käivitama koputusjärjestuse eelnevalt ja et kui nad ei suuda järjestust mingil põhjusel täita, ei saa nad üldse VPN-i kasutada.
Ülevaade
VPN-teenuse kaitsmiseks blokeerime kõigepealt kõik võimalikud sidemed sellega, blokeerides 1723. aasta instantport-pordi. Selle eesmärgi saavutamiseks kasutame iptables'i. Seda seetõttu, et kommunikatsioon filtreeritakse kõige kaasaegsematel Linux / GNU jaotustel üldiselt ja eriti DD-WRT-l. Kui soovite rohkem teavet iptables'i kassasse selle wiki sisestuse kohta ja tutvu meie eelmise artikliga antud teemal. Kui teenus on kaitstud, loome me koputamisjärjestuse, mis avaks ajutiselt VPN-i avaneva pordi ja sulgeb selle ka pärast konfigureeritud aja möödumist, hoides juba loodud VPN-seansi ühendatud.
Märkus: Selles juhendis kasutame näiteks PPTP VPN-teenust. Sellega öeldes võib sama meetodit kasutada ka teiste VPN-tüüpide puhul, peate lihtsalt blokeeritava pordi ja / või sidetüübi muutma.
Eeltingimused, eeldused ja soovitused
- Eeldatakse / vajatakse, et teil oleks Opkgiga lubatud DD-WRT ruuter.
- Eeldatakse / nõutakse, et olete juba läbi viinud juhendi “Kuidas oma võrku sattuda” (DD-WRT) juhised.
- Eeldatakse mõningaid võrgustiku teadmisi.
Võimaldab lõheneda.
Vaikimisi DD-WRT-s reegli „Uus VPN-ide blokeerimine” reegel
Ehkki allpool toodud koodilõik toimiks tõenäoliselt iga, enesest lugupidava, iptables'iga, kasutades Linuxi / GNU levitamist, sest seal on nii palju variante, näitame ainult seda, kuidas seda DD-WRT-s kasutada. Miski ei lase teil, kui soovite, seda VPN-i kasti otse rakendada. Kuid kuidas seda teha, jääb käesoleva juhendi reguleerimisalast välja.
Kuna me tahame ruuteri tulemüüri suurendada, on loogiline, et lisame "tulemüüri" skripti. See tooks kaasa iptables-i käsu käivitamise iga kord, kui tulemüür värskendatakse ja seega säilitaks meie suurendamise paigas.
DD-WRT Web-GUI-st:
- Minge jaotisse „Haldamine” -> „Käsud”.
- Sisestage tekstikasti järgmine kood:
inline = "$ (iptables -L INPUT -n | grep -n" olek RELATED, ESTABLISHED "| awk -F: 'print $ 1')"; inline = $ (($ inline-2 + 1)); iptables -I INPUT "$ inline" -p tcp --port 1723 -j DROP
- Klõpsake „Salvesta tulemüür“.
- Valmis.
Mis on see “Voodoo” käsk?
Ülaltoodud "voodoo magic" käsklus toimib järgmiselt:
- Leiab, kus on iptable liin, mis võimaldab juba loodud suhtlemist läbida. Teeme seda, sest A. DD-WRT-marsruuteritel, kui VPN-teenus on lubatud, asub see just selle joone all ja B. Meie eesmärk on jätkata juba loodud VPN-seansside lubamist pärast koputab.
- Vähendab kaks (2) noteerimiskäskluse väljundist, et arvestada informatiivse veeru päiste põhjustatud kompenseerimisega. Kui see on tehtud, lisab üks (1) ülaltoodud numbrile, nii et reegel, mille sisestame, saabub kohe pärast reeglit, mis võimaldab juba loodud suhtlust. Ma jätsin selle väga lihtsa „matemaatika probleemi” siia, et teha loogika „miks on vaja vähendada reegli koha asemel, et lisada sellele üks”.
KnockD konfiguratsioon
Peame looma uue käivitusjärjestuse, mis võimaldab luua uusi VPN-ühendusi. Selleks redigeerige knockd.conf-faili, väljastades terminalis:
vi /opt/etc/knockd.conf
Lisage olemasolevale konfiguratsioonile:
[võimalda-VPN]
järjestus = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 s% IP% -p tcp --port 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -p tcp --port 1723 -j ACCEPT
See konfiguratsioon:
- Seadistage järjestuse lõpuleviimise võimalus 60 sekundiks. (See on soovitatav hoida võimalikult lühike)
- Kuulake kolme koputuse jada 2., 1. ja 2010. aasta sadamates (see tellimus on tahtlik, et sadamakannerid lugu ära visata).
- Kui järjestus on tuvastatud, käivitage “start_command”. See "iptables" käsk paneb tulemüüri reeglite ülaosas "aktsepteerima liikluse, mis on mõeldud sadamasse 1723, kust kopud tulid". (% IP% direktiivi käsitletakse spetsiaalselt KnockD poolt ja see asendatakse löögi alguse IP-ga).
- Oodake 20 sekundit enne "stop_command" väljastamist.
- Käivita “stop_command”. Kui see „iptables” käsk teeb ülaltoodud tagurpidi ja kustutab reegli, mis võimaldab suhtlemist.
Autornõuanded
Kuigi te peaksite olema kõik seatud, on paar punkti, mida ma tunnen vajavat.
- Tõrkeotsing. Pidage meeles, et kui teil tekib probleeme, peaks esimese artikli lõpus olema „tõrkeotsingu” segment.
- Kui soovid, siis on võimalik, et „start / stop” juhised täidavad mitu käsku, eraldades need poolkolonniga (;) või isegi skriptiga. See võimaldab teil teha mõningaid mõnusaid asju. Näiteks olen ma saatnud mulle e-kirja, mis ütleb mulle, et järjestus on käivitatud ja kust.
- Ärge unustage, et „Seal on rakendus selle jaoks” ja kuigi seda pole käesolevas artiklis mainitud, soovitatakse teil StavFXi Android-koputajaprogrammi haarata.
- Androidi teema kohta ärge unustage, et tootja on tavaliselt operatsioonisüsteemi sisse ehitatud PPTP VPN-klient.
- Meetodit, mis algselt blokeerib midagi ja seejärel jätkab juba loodud suhtluse lubamist, saab kasutada praktiliselt igal TCP-põhisel kommunikatsioonil. Tegelikult on DD-WRT 1 ~ 6 filmi Knockdis teinud tagasi, kui olen kasutanud kaugtöölaua protokolli (RDP), mis kasutab näite 3389 portina..
Kes häirib minu uinumist?