Kako kucnuti u svoju mrežu (DD-WRT)
Jeste li ikada željeli imati tu posebnu "kucu u spavaonici" s vašim usmjerivačem, kao da je samo "otvorila vrata" kada je tajna kucanje prepoznato? Kako-To Geek objašnjava kako instalirati Knock daemon na DD-WRT.
Slika: Bfick i Aviad Raviv
Ako to već niste učinili, provjerite i provjerite prethodne članke iz serije:
- Pretvorite svoj kućni usmjerivač u super-powered router s DD-WRT
- Kako instalirati dodatni softver na vaš router (DD-WRT)
- Kako ukloniti oglase s Pixelserv na DD-WRT
Pod pretpostavkom da ste upoznati s tim temama, nastavite čitati. Imajte na umu da je ovaj vodič malo više tehnički, a početnici bi trebali biti oprezni kada modding svoj usmjerivač.
Pregled
Tradicionalno, da bi mogli komunicirati s uređajem / uslugom, jedan bi trebao pokrenuti puni mrežna veza s njom. Međutim, na taj način se otkriva, što se naziva u sigurnosnoj dobi, površinu napada. Knock demon je vrsta mrežnog sniffera koji može reagirati kada se promatra unaprijed konfigurirana sekvenca. Budući da se veza ne mora uspostaviti da bi demon kucanja prepoznao konfiguriranu sekvencu, površina napada se smanjuje zadržavajući željenu funkcionalnost. U određenom smislu, uvjetovat ćemo usmjerivač s želji Odgovor "dva bita" (za razliku od jadnog Rogera…).
U ovom članku ćemo:
- Pokažite kako koristiti Knockd da biste na lokalnoj mreži postavili ruter Wake-On-Lan.
- Pokažite kako aktivirati slijed kucanja iz aplikacije za Android, kao i računala.
Napomena: Dok upute za instalaciju više nisu relevantne, možete gledati filmske serije koje sam stvorio “put kad”, da biste vidjeli cijeli niz konfiguriranja do kucanja. (Oprostite samo za grubu prezentaciju).
sigurnosne implikacije
Rasprava o tome "koliko je sigurna je Knockd?", Duga je i datira još od tisućljeća (u internetskim godinama), ali dno je sljedeće:
Knock je sloj sigurnosti zbog nejasnosti, na koji se samo treba naviknuti povećati druga sredstva kao što je enkripcija i ne bi se trebala koristiti na vlastitu kao kraj sve biti sigurnosna mjera.
Preduvjeti, pretpostavke i preporuke
- Pretpostavlja se da imate opkg omogućen DD-WRT usmjerivač.
- Malo strpljenja, jer to može potrajati neko vrijeme za postavljanje.
- Preporučuje se da dobijete DDNS račun za vaš vanjski (obično dinamički) IP.
Omogućujemo pucanje
Instalacija i osnovna konfiguracija
Instalirajte demon Pokušajte otvaranjem terminala usmjerivaču i izdavanjem:
opkg ažuriranje; opkg instalirajte knockd
Sada kada je Knockd instaliran moramo konfigurirati okidačke sekvence i naredbe koje će se izvršiti kada se pokrenu. Da biste to učinili, otvorite datoteku "knockd.conf" u uređivaču teksta. Na ruteru bi to bilo:
vi /opt/etc/knockd.conf
Izgledaj njezin sadržaj:
[Mogućnosti]
logfile = /var/log/knockd.log
UseSyslog
[Wakelaptop]
sekvenca = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
command = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram dobiti lan_ipaddr | cut-d. -f 1,2,3) .255
tcpflags = sync
Da objasnimo gore navedeno:
- Segment "opcije" omogućuje konfiguriranje globalnih parametara za demon. U ovom primjeru uputili smo demona da vodi dnevnik i u syslogu iu datoteci. Iako to ne šteti korištenju obje opcije u kombinaciji, trebali biste razmisliti o zadržavanju samo jedne od njih.
- Segment "wakelaptop" primjer je niza koji će pokrenuti WOL naredbu za LAN za računalo s MAC adresom aa: bb: cc: dd: ee: 22.
Bilješka: Gore navedena naredba pretpostavlja zadano ponašanje podmreže klase C..
Da biste dodali više sekvenci, jednostavno kopirajte i zalijepite segment "wakelaptop" i prilagodite ga novim parametrima i / ili naredbama koje će izvršiti usmjerivač.
Stavljanje u pogon
Da bi usmjerivač pozvao demona prilikom pokretanja, dodajte dolje u skriptu "geek-init" iz vodiča OPKG:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram dobiti wan_ifname)"
To će pokrenuti demon Knock na sučelju "WAN" vašeg usmjerivača, tako da će slušati pakete s interneta.
Udari s Androida
U doba prenosivosti gotovo je neophodno da “imamo aplikaciju za to”… pa je StavFX stvorio jednu za zadatak :)
Ovaj app obavlja kucati sekvence pravo iz vašeg Android uređaja i podržava stvaranje widgete na početnim zaslonima.
- Instalirajte aplikaciju Knocker s Android tržišta (također budite ljubazni i ocijenite je dobro).
- Kada ga instalirate na uređaj, pokrenite ga. Trebalo bi vas dočekati nešto poput:
- Možete dugo pritisnuti ikonu primjera da biste je uredili ili kliknite “menu” da biste dodali novi unos. Novi bi unos izgledao ovako:
- Dodajte linije i ispunite podatke potrebne za vaš Kucanje. Za primjer WOL konfiguraciju odozgo to bi bilo:
- Po želji promijenite ikonu dugim pritiskom na ikonu pored imena Knock.
- Spremite Knock.
- Jednom dodirnite novi Knock u glavnom zaslonu da biste ga aktivirali.
- Po želji stvorite widget za njega na početnom zaslonu.
Imajte na umu da, iako smo konfigurirali primjer konfiguracijske datoteke s grupama od 3 za svaki port (zbog odjeljka Telnet u nastavku), s ovom aplikacijom ne postoji ograničenje količine ponavljanja (ako uopće) za port.
Zabavite se pomoću aplikacije koju je StavFX donirao :-)
Kucanje iz sustava Windows / Linux
Iako je moguće izvršiti Knocking s najjednostavnijim mrežnim uslužnim programom a.k.a “Telnet”, Microsoft je odlučio da je Telnet “sigurnosni rizik” i da ga više ne instalira prema zadanim postavkama na modernim prozorima. Ako mene pitate: “Oni koji mogu odustati od bitne slobode za postizanje privremene sigurnosti, ne zaslužuju ni slobodu ni sigurnost. ~ Benjamin Franklin, ali ja odstupam.
Razlog zbog kojeg smo postavili primjer slijeda za grupe od 3 za svaki port, je da kada se telnet ne može spojiti na željeni port, automatski će pokušati još 2 puta. To znači da će telnet zapravo pokucati 3 puta prije odustajanja. Dakle, sve što trebamo učiniti je izvršiti telnet naredbu jednom za svaki port u grupi portova. To je ujedno i razlog zbog kojeg je odabran interval od 30 sekundi, jer moramo čekati vremenski interval telneta za svaki port sve dok ne izvršimo sljedeću skupinu portova. Preporučuje se da, kada završite s fazom testiranja, automatizirate ovu proceduru pomoću jednostavne Batch / Bash skripte.
Pomoću našeg primjera slijedi:
- Ako je vaš na Windows, slijedite MS upute za instalaciju Telnet.
- Ispustite u naredbeni redak i izdajte:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Ako je sve prošlo dobro, to bi trebalo biti to.
Rješavanje problema
Ako vaš usmjerivač ne reagira na sekvence, slijedi nekoliko koraka za rješavanje problema:
- Pogledajte zapisnik - Knockd će zadržati dnevnik u realnom vremenu kako biste vidjeli jesu li sekvence kucanja stigle do demona i je li naredba ispravno izvršena.
Pod pretpostavkom da barem koristite log-datoteku kao u gornjem primjeru, da biste je vidjeli u stvarnom vremenu, izdajte u terminalu:tail -f /var/log/knockd.log
- Budite svjesni vatrozida - ponekad vaš ISP, radno mjesto ili internetski kafić slobodno blokiraju komunikaciju za vas. U takvom slučaju, dok vaš usmjerivač možda sluša, udarci na portovima koji su blokirani bilo kojim dijelom lanca neće doći do usmjerivača i teško će reagirati na njih. Zato je preporučljivo isprobati kombinacije koje koriste poznate portove kao što su 80, 443, 3389 i tako dalje prije nego pokušate s više slučajnih. Opet, možete pogledati dnevnik kako biste vidjeli koji portovi dosežu WAN sučelje usmjerivača.
- Isprobajte interne intervencije - Prije uključivanja gornje složenosti koju drugi dijelovi lanca mogu uvesti, preporučujemo da pokušate interno izvršiti sekvence da biste vidjeli da su A. udarili ruter kao što mislite da bi trebali B. izvršiti naredbu / kao što se i očekivalo. Da biste to postigli, možete pokrenuti Knockd dok ste vezani za LAN sučelje s:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Kada se gore navedeno izvrši, možete usmjeriti Knocking klijenta na unutarnji IP usmjerivača umjesto na njegov vanjski.
Savjet: Budući da knockd sluša na razini "sučelja", a ne na razini IP-a, možda ćete željeti stalno pokretati instancu KnockD na LAN sučelju. Kako je "Knocker" ažuriran kako bi podržao dva domaćina za kucanje, to će učiniti kako bi se pojednostavili i učvrstili vaši profili.. - Zapamtite na kojoj strani je vaša - Nije moguće kucati WAN sučelje s LAN sučelja u gore navedenoj konfiguraciji. Ako želite biti u stanju pokucati bez obzira na to "na kojoj ste strani", možete jednostavno pokrenuti demona dvaput, Jednom vezan za WAN kao u članku i jednom vezan za LAN kao u koraku otklanjanja pogrešaka odozgo. Nijedan problem ne pokreće se u kombinaciji jednostavnim dodavanjem naredbe odozgo na istu geek-init skriptu.
Opaske
Iako se gornji primjer može postići različitim drugim metodama, nadamo se da ga možete upotrijebiti da naučite kako postići više naprednih stvari. Drugi dio ovog članka koji skriva VPN uslugu iza kucanja dolazi, zato ostanite s nama.Kroz kucanje moći ćete: Dinamički otvoriti portove, onemogućiti / omogućiti usluge, daljinski WOL računala i još mnogo toga ...