6Aug
Показали смо вам како активирати ВОЛ даљински путем "Порт Кноцкинг" на вашем рутеру.У овом чланку ћемо показати како га користити за заштиту ВПН сервиса.
Слика од Авиад Равив & амп;бфицк.
Предговор
Ако сте користили ДД-ВРТ-ову функционалност за ВПН или имате други ВПН сервер у својој мрежи, можда бисте ценили могућност да је заштитите од напада бруте силе тако што ћете је сакрити иза куцне секвенце.Овим ћете филтрирати скрипта који покушавају да приступе вашој мрежи.Како је наведено у претходном чланку, куцање портова није замена за добру лозинку и / или сигурносну политику.Запамтите да са довољно стрпљења нападач може открити секвенцу и извршити реплаи напад.
Такође имајте на уму да је негативна страна имплементације ове чињенице да када било који ВПН клијент / и жели да се повеже, они би требали да активирају секвенцу куцања унапред и да ако не могу довршити редослед из било ког разлога, онинеће уопће имати ВПН.
Преглед
Да би заштитили * ВПН услугу, прво ћемо онемогућити сву могућност комуникације с њим блокирањем инстанцирајућег порта 1723. Да бисмо остварили овај циљ, користићемо иптаблес.То је зато што је комуникација филтрирана на најсавременијим Линук / ГНУ дистрибуцијама уопште и посебно на ДД-ВРТ.Ако желите више информација о иптаблес-у, проверите свој вики унос и погледајте наш претходни чланак о овој теми.Када је услуга заштићена, креирамо секвенцу куцања која би привремено отворила ВПН инстанциони порт, а такођер ће је аутоматски затворити након конфигурисане количине времена, док ће се већ успостављена ВПН сесија повезати.
Напомена: У овом водичу користимо услугу ППТП ВПН као пример.Са наведеном, исти метод се може користити за друге типове ВПН-а, морате само да промените блокирани порт и / или тип комуникације.
Предувјети, претпоставке и амп;Препоруке
- Претпоставља се / захтева да имате рутера ДД-ВРТ са Опкг-ом.
- Претпоставља се да / је потребно да сте већ извршили кораке у водичу "Како куцати у вашу мрежу( ДД-ВРТ)".
- Претпостављено је неко знање умрежавања.
Омогућава пуцање.
Подразумевано Правило "Блокирај нове ВПН-ове" на ДД-ВРТ
Док доњи одломак "кода" вероватно ће радити на свим, самоспоштујући, иптаблес користећи Линук / ГНУ дистрибуцију, јер постоји толико варијанти тамосамо показати како да га користите на ДД-ВРТ.Ништа вам не спречава, ако желите, да га имплементирате директно на ВПН кутију.Међутим, како то учинити, изван оквира овог водича.
Пошто желимо да повећамо заштитни зид рутера, логично је да ћемо додати скрипту "Фиревалл".На тај начин би се наредба иптаблес извршавала сваки пут када се освјежио ватрозид и тиме одржавали нашу потврду за одржавање.
Од Веб-ГУИ-а ДД-ВРТ-а:
- Идите на "Администрација" - & гт;"Команде".
- Унесите текст испод: "
инлине =" $( иптаблес -Л ИНПУТ -н | греп -н "стање РЕЛАТЕД, ЕСТАБЛИСХЕД" | авк -Ф:{ 'принт $ 1'}) ";инлине = $( ($ инлине-2 + 1));иптаблес -И ИНПУТ "$ инлине" -п тцп -дпорт 1723 -ј ДРОП
- Кликните на "Сачувај заштитни зид".
- Готово.
Шта је ова "Воодоо" команда?
Горња команда "воодоо магиц" чини следеће:
- Налази где је иптабле линија која омогућава већ успостављену комуникацију да прође.Ми то радимо, јер А. На ДД-ВРТ рутерима, ако је ВПН услуга омогућена, она ће бити лоцирана одмах испод ове линије и Б. Битно је да наш циљ настави да дозвољава већ успостављеним ВПН сесијама да живи наконКуцни догадјај.
- Одваја два( 2) из излаза команде листе да би одговорила на офсет који су узроковали заглавља информационих ступаца.Када то буде учињено, додаје један( 1) на горе наведени број, тако да правило које убацујемо долази одмах након правила која омогућава већ успостављену комуникацију.Оставио сам овај једноставан "математички проблем" овде, само да направим логику "зашто је потребно смањити један са мјеста правила уместо да га додате" јасно.
Конфигурација КноцкД
Морамо креирати нову секвенцу која активира нове ВПН везе.Да бисте то урадили, уредите кноцкд.цонф датотеку издавањем терминала:
ви /opt/etc/ кноцкд.цонф
Додајте постојећу конфигурацију:
[енабле-ВПН]
секвенца = 02,02,02,01,01,01,2010,2010,2010
сек_тимеоут = 60
старт_цомманд = иптаблес -И ИНПУТ 1 -с% ИП% -п тцп --дпорт 1723 -ј АЦЦЕПТ
цмд_тимеоут = 20
стоп_цомманд = иптаблес -Д ИНПУТ -с% ИП% -птцп --дпорт 1723 -ј АЦЦЕПТ
Ова конфигурација ће:
- Поставити прозор прилике да доврши секвенцу, на 60 секунди.(Препоручује се да ово буде што је могуће краће)
- Слушајте секвенцу од три ударца на портовима 2, 1 и 2010( ово наређење је намјерно бацити скенерове портова на стазу).
- Када је секвенца откривена, извршите "старт_цомманд".Ова наредба "иптаблес" ће поставити "прихватити саобраћај предодређен за порт 1723 одакле потичу" на врху правила заштитног зида.(Директива% ИП% се третира специјално помоћу КноцкД и замењује се са ИП-ом потерница удараца).
- Сачекајте 20 секунди пре издавања "стоп_цомманд".
- Извршите "стоп_цомманд".Тамо где ова команда "иптаблес" ради на супротној страни и брише правило које омогућава комуникацију.
Аутор -ови савети
Док сте требали бити постављени, постоје неколико тачака које сматрам потребним за помињање.Решавање проблема
- .Запамтите да ако имате проблема, сегмент "решавање проблема" на крају првог чланка требало би да буде ваша прва станица.
- Ако желите, можете имати упутства "старт / стоп" извршити више наредби тако што их одвојите полуклином( ;) или чак скриптом.То ће вам омогућити да направите нечувене ствари.На пример, ја сам куцао послао ме * Е-пошту која ми је рекла да је секвенца покренута и одакле.
- Не заборавите на то "Постоји апликација за то", иако је њена није поменута у овом чланку, охрабрујете се да преузмете програм СтавФКС Андроид кноцкер.
- Док сте у питању Андроид-а, не заборавите да постоји ППТП ВПН клијент који се обично уграђује у ОС од произвођача.
- Метод блокирања нечега на почетку, а затим настављања да дозвољава већ успостављену комуникацију, може се користити на практично свакој ТЦП базираној комуникацији.У ствари, у Кноцкд на ДД-ВРТ 1 ~ 6 филмовима, направио сам пут када сам, користио протокол удаљеног рачунара( РДП) који користи порт 3389 као пример.
Ко ме узнемирава?