6Aug

Hogyan ütögess be a hálózatodba, 2. rész: Védje a VPN-t( DD-WRT)

Megmutattuk Önnek, hogyan kell a WOL-ot távirányítani a "Port Knocking" segítségével az útválasztón. Ebben a cikkben megmutatjuk, hogyan használjuk fel a VPN szolgáltatás védelmére.

Az Aviad Raviv &bfick.

Előszó

Ha a DD-WRT beépített funkcionalitását a VPN-hez használta, vagy egy másik VPN-kiszolgálót használ a hálózatban, akkor értékelni tudja, hogy megvédheti a nyers erőszakos támadásoktól a kopogás mögött. Ezzel kiszűri azokat a szkriptet, akik megpróbálják elérni a hálózatot. Ezzel azt mondta, hogy az előző cikkben leírtak szerint a port kopogása nem helyettesíti a megfelelő jelszót és / vagy biztonsági politikát. Ne feledje, hogy elég türelemmel a támadó felfedezheti a szekvenciát, és végrehajtja a visszajátszási támadást.
Ne feledje, hogy a végrehajtás hátránya, hogy ha bármelyik VPN ügyfél akar csatlakozni, az kopogtatási sorozatot előzetesen -t kell indítani, és ha nem tudják befejezni a szekvenciát semmilyen okbóla VPN egyáltalán nem lesz képes.

Áttekintés

A VPN szolgáltatás védelme érdekében először letiltjuk az összes lehetséges kommunikációt azzal, hogy blokkoljuk az 1723-as instantiáló portot. E cél elérése érdekében az iptables-t használjuk. Ez azért van így, mert a kommunikáció szűri a legmodernebb Linux / GNU disztribúciókat és különösen a DD-WRT-t. Ha szeretne több információt kapni az iptables-ről a wiki bejegyzéséről, nézze meg korábbi cikkünket a témáról. A szolgáltatás védelme után olyan kopogtatási sorozatot hozunk létre, amely ideiglenesen megnyitja a VPN-példány portot, és azt is automatikusan bezárja egy beállított idő elteltével, miközben megtartja a már létrehozott VPN-munkamenet kapcsolódását.

Megjegyzés: Ebben az útmutatóban példaként a PPTP VPN szolgáltatást használjuk. Ezzel azt mondhatjuk, hogy ugyanaz a módszer más VPN típusokhoz is használható, csak a blokkolt portot és / vagy kommunikációs típust kell megváltoztatnod.

Előfeltételek, feltételezések &Ajánlások

  • Feltételezhető / szükséges, hogy rendelkezzen egy Opkg engedélyezett DD-WRT routerrel.
  • Feltételezhető / szükséges, hogy már elvégezte a "Hogyan viselkedni fog a hálózatba( DD-WRT)" útmutató lépéseit.
  • Néhány hálózati ismeret feltételezhető.

Lecsavarni.

Alapértelmezett "Új VPN-ek blokkolása" szabály a DD-WRT

-re Mialatt az alábbi "code" kódrészlet valószínűleg minden, önmagát tiszteletben tartó, iptables-et használ a Linux / GNU disztribúcióval, mert olyan sok változat létezikcsak mutassa meg, hogyan kell használni a DD-WRT-en. Semmi sem akadályozza meg Önt, ha azt akarja, közvetlenül a VPN-fiókban. Azonban, hogyan kell ezt tenni, túlmutat ezen útmutatóban.

Mivel szeretnénk növelni az útválasztó tűzfalát, csak logikus, hogy hozzáadnánk a "tűzfal" szkriptet.Így az iptables parancs végrehajtása minden alkalommal végrehajtódik, amikor a tűzfal frissítésre kerül, és ezáltal megtartja az augmentáció helyét.

A DD-WRT Web GUI-járól:

  • Ugrás az "Adminisztráció" - & gt;„Parancsok”.
  • Adja meg az alábbi "kódot" a szövegdobozba:

    inline = "$( iptables -L INPUT -n | grep -n" állapot KAPCSOLÓDÓ, LÉTREHOZOTT "| awk -F:{ 'print $ 1'})";inline = $( ($ inline-2 + 1));iptables -I INPUT "$ inline" -p tcp --port 1723 -j DROP

  • Kattintson a "Tűzfal mentése" gombra.
  • Kész.

Mi ez a "Voodoo" parancs?

A fenti "voodoo magic" parancs a következőket teszi:

  • Megtalálja, hol van az iptable vonal, amely lehetővé teszi a már létrehozott kommunikáció áthaladását. Mi ezt csináljuk, mert A. A DD-WRT routereken, ha a VPN szolgáltatás engedélyezve van, akkor ez a sor és a B alatt található. Alapvető fontosságú célunk, hogy továbbra is engedélyezzük a már megalapozott VPN-munkamenetek használatát akopogtató esemény.
  • A listázási parancs kimenetétől két( 2) levonja az információs oszlopfejlécek által okozott eltolás számláját. Amint ez megtörtént, hozzáad egy( 1) számot a fenti számhoz, így az a szabály, amelyet beillesztünk, közvetlenül a szabálynak megfelelően jön létre, amely lehetővé teszi a már létrehozott kommunikációt. Itt hagytam ezt a nagyon egyszerű "matematikai problémát", csak azért, hogy "miért kell csökkentenünk egyet a szabály helyéről anélkül, hogy hozzá kellene adnunk hozzá" világos.

KnockD konfiguráció

Olyan új indítási sorozatot kell létrehoznunk, amely lehetővé teszi új VPN-kapcsolatok létrehozását. Ehhez módosítsa a knockd.conf fájlt egy terminál kiadásával:

vi /opt/etc/ knockd.conf

Hozzáfűzés a meglévő konfigurációhoz:

[enable-VPN]
szekvencia = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -ptcp --port 1723 -j ACCEPT

Ez a konfiguráció:

  • Állítsa be a lehetőséget, hogy befejezze a sorozatot 60 másodpercig.(Javasoljuk, hogy ez a lehető legrövidebb legyen.)
  • Hallgassa meg a három, a 2., a 1. és a 2010-es portok ütközését( ez a sorrend szándékosan kikapcsolja a portszkennereket a sávról).
  • A szekvencia felismerése után hajtsa végre a "start_command" parancsot. Ez az "iptables" paranccsal "elfogadja a 1723-as porthoz rendelt forgalmat, ahonnan a kopogás érkezett" a tűzfalszabályok tetején.(A% IP% direktívet kifejezetten a KnockD kezeli, és helyébe a kopogás eredetének IP-je van).
  • Várjon 20 másodpercet a "stop_command" kiadása előtt.
  • Végezze el a "stop_command" parancsot. Ahol ez az "iptables" parancs a fentiek fordítottja, és törli azt a szabályt, amely lehetővé teszi a kommunikációt.
Ez az, a VPN szolgáltatásnak csak sikeres "kopogás" után kell csatlakoznia.

Szerző tippjei

Míg mindent meg kell adnod, vannak olyan pontok, amelyekre úgy érzem, hogy meg kell említeni.

  • Hibaelhárítás. Ne feledje, hogy ha problémái vannak, a "hibaelhárítás" szegmens az első cikk végén legyen az első leállítása.
  • Ha szeretné, akkor a "start / stop" irányelvek több parancsot is végrehajthatnak, ha félkolences( ;) vagy akár szkriptet különítenek el. Ezzel lehetővé teszi, hogy csinálj valami csinos dolgot. Például, knockd küldött nekem egy e-mailt, amelyben elmondta, hogy egy sorozatot indítottak és honnan.
  • Ne felejtsük el, hogy "van egy alkalmazás ehhez", és bár ez a cikk nem említi, arra biztatják, hogy megragadják a StavFX Android knocker programját.
  • Az Android témakörei mellett ne felejtsük el, hogy van egy PPTP VPN-ügyfél, amelyet rendszerint beépítettek az operációs rendszerbe a gyártótól.
  • A gyakorlatban bármely TCP-alapú kommunikációban valamilyen módon blokkolva valamit kezdetben, majd folytatni a már meglévő kommunikációt. Valójában a Knockd-on a DD-WRT 1 ~ 6 filmet, már megtettem, amikor, használtam a távoli asztali protokollt( RDP), amely a port 3389 példát használ.
Megjegyzés: Annak érdekében, hogy ezt megtehesse, az e-mail funkciót az útválasztójánál kell megadnia, amely jelenleg valóban nem működik, mert az OpenWRT opkg csomagok SVN pillanatképe zavarban van. Ezért ajánlom a knockd használatát közvetlenül a VPN-fiókban, amely lehetővé teszi, hogy a Linux / GNU-ban elérhető e-mailek, például az SSMTP-t és a sendEmail-t tartalmazó összes e-mail lehetőségét is használhassa.

Ki zavarja az én álmom?