Početna » kako da » Kako udariti u vašu mrežu, dio 2 Zaštitite svoj VPN (DD-WRT)

    Kako udariti u vašu mrežu, dio 2 Zaštitite svoj VPN (DD-WRT)

    Pokazali smo vam kako aktivirati WOL daljinski putem "Port Knocking" na vašem usmjerivaču. U ovom članku pokazat ćemo kako ga koristiti za zaštitu VPN usluge.

    Slika Aviad Raviv & bfick.

    Predgovor

    Ako ste koristili ugrađenu funkcionalnost DD-WRT-a za VPN ili imate još jedan VPN poslužitelj u vašoj mreži, možda ćete znati cijeniti mogućnost da ga zaštitite od napada brutalnim silama skrivajući ga iza niza udaraca. Time ćete filtrirati kiddies skripte koji pokušavaju dobiti pristup vašoj mreži. S tim rečeno, kao što je navedeno u prethodnom članku, kucanje luke nije zamjena za dobru lozinku i / ili sigurnosnu politiku. Zapamtite da uz dovoljno strpljenja napadač može otkriti slijed i izvršiti napad ponovnog izvođenja.
    Također, imajte na umu da je loša strana implementacije to da kada se bilo koji VPN klijent / i želi povezati, morali bi pokrenuti sekvencu kucanja unaprijed i ako ne mogu dovršiti slijed iz bilo kojeg razloga, neće uopće moći VPN.

    Pregled

    Kako bismo zaštitili * VPN uslugu, najprije ćemo onemogućiti svu moguću komunikaciju s njom blokirajući instancijski port od 1723. Da bismo postigli taj cilj, koristit ćemo iptables. To je zbog toga što se komunikacija filtrira na najsuvremenijim Linux / GNU distribucijama općenito, a posebno na DD-WRT-u. Ako želite više informacija o iptables-u, provjerite njegov wiki unos i pogledajte naš prethodni članak o toj temi. Nakon što je usluga zaštićena, stvorit ćemo sekvencu kucanja koja će privremeno otvoriti VPN instancijski port i automatski ga zatvoriti nakon konfiguriranog vremena, a istovremeno održati već uspostavljenu VPN sesiju.

    Napomena: U ovom vodiču kao primjer koristimo PPTP VPN uslugu. S tim rečeno, ista se metoda može koristiti i za druge vrste VPN-ova, samo trebate promijeniti blokirani port i / ili vrstu komunikacije.

    Preduvjeti, pretpostavke i preporuke

    • Pretpostavlja se / zahtijeva da imate Opkg DD-WRT usmjerivač.
    • Pretpostavlja se / zahtijeva da ste već izvršili korake u vodiču "Kako kucnuti u vašu mrežu (DD-WRT)".
    • Pretpostavlja se određeno znanje o umrežavanju.

    Omogućujemo pucanje.

    Zadano Pravilo “Blokiraj nove VPN-ove” na DD-WRT

    Dok bi u nastavku isječak "koda" vjerojatno funkcionirao na svakom, samopoštovanju, iptables korištenju, Linux / GNU distribucije, jer postoji toliko mnogo varijanti tamo ćemo samo pokazati kako ga koristiti na DD-WRT. Ništa vas ne zaustavlja, ako želite, da ga implementirate izravno u VPN kutiju. Međutim, kako to učiniti, izvan je opsega ovog vodiča.

    Budući da želimo povećati vatrozid usmjerivača, logično je da bismo dodali skriptu "Vatrozid". Ako to učinite, naredba iptables će se izvršiti svaki put kada se vatrozid osvježi i na taj način održava naše povećanje na mjestu za čuvanje.

    Iz web-GUI-ja DD-WRT-a:

    • Idite na "Administracija" -> "Naredbe".
    • Unesite sljedeći "kod" u okvir za tekst:

      inline = "$ (iptables -L INPUT -n | grep -n" stanje RELATED, ESTABLISHED "| awk -F: 'print $ 1')"; inline = $ (($ inline-2 + 1)); iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP

    • Kliknite na "Spremi vatrozid".
    • Gotovo.

    Što je to "Voodoo" naredba?

    Gore navedena naredba "voodoo magic" čini sljedeće:

    • Nalazi gdje je iptable linija koja omogućuje da već uspostavljena komunikacija prođe. To radimo, jer A. Na DD-WRT usmjerivačima, ako je VPN usluga omogućena, ona će se nalaziti odmah ispod te linije i B. Bitno je da naš cilj da nastavimo dopuštati da se već uspostavljene VPN sesije održavaju nakon kucanje.
    • Oduzima dva (2) iz izlaza naredbe za unos u račun za pomak uzrokovan zaglavljima informacijskog stupca. Kada to učinite, dodaje se jedan (1) gore navedenom broju, tako da će pravilo koje umećemo doći odmah nakon pravila koje dopušta već uspostavljenu komunikaciju. Ovdje sam ostavio ovaj vrlo jednostavan "matematički problem", samo da bih napravio logiku "zašto treba smanjiti broj s mjesta pravila, umjesto da ga doda".

    KnockD konfiguracija

    Moramo stvoriti novu okidnu sekvencu koja će omogućiti stvaranje novih VPN veza. Da biste to učinili, uredite datoteku knockd.conf izdavanjem u terminalu:

    vi /opt/etc/knockd.conf

    Dodajte postojećoj konfiguraciji:

    [Omogućuju-VPN]
    sekvenca = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j ACCEPT
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp --dport 1723 -j ACCEPT

    Ova će konfiguracija:

    • Postavite prozor mogućnosti da dovršite slijed, na 60 sekundi. (Preporučuje se da ovo bude što kraće)
    • Poslušajte niz od tri pokucanja na portovima 2, 1 i 2010 (ova narudžba je namjerna kako bi se skenirali portovi izvan staze).
    • Kada je slijed otkriven, izvršite “start_command”. Ova naredba "iptables" postavit će "prihvaćeni promet namijenjen luci 1723 odakle dolazi udarac" na vrhu pravila vatrozida. (Direktiva o IP%% posebno se tretira pomoću KnockD-a i zamjenjuje se s IP-om izvora porijekla).
    • Pričekajte 20 sekundi prije izdavanja "stop_command".
    • Izvršite "stop_command". Gdje ova "iptables" naredba radi obrnuto od gore i briše pravilo koje dopušta komunikaciju.
    To je to, vaša VPN usluga sada bi se trebala moći povezati tek nakon uspješnog "kucanja".

    Autorsavjete

    Dok bi trebao biti sve postavljeno, postoji nekoliko točaka koje smatram potrebnim spomenuti.

    • Rješavanje problema. Zapamtite da ako imate problema, segment "rješavanje problema" na kraju prvog članka trebao bi biti vaša prva stanica.
    • Ako želite, možete imati naredbe "start / stop" izvršiti više naredbi tako da ih razdvojite s polu-colen (;) ili čak skriptom. To će vam omogućiti da napravite nešto divno. Na primjer, imam knockd poslati mi * E-mail mi govori da je sekvenca je pokrenuta i odakle.
    • Ne zaboravite da “postoji aplikacija za to”, iako se ne spominje u ovom članku, ohrabrujemo vas da uzmete StavFX-ov Android knocker program.
    • Dok na temu Androida, ne zaboravite da postoji PPTP VPN klijent koji je obično ugrađen u OS od proizvođača.
    • Metoda, blokiranje nečega na početku i nastavak dopuštanja već uspostavljene komunikacije, može se koristiti na praktički bilo kojoj komunikaciji utemeljenoj na TCP-u. U stvari u filmu Knockd na DD-WRT 1 ~ 6 filmovima, učinio sam put kad sam koristio protokol udaljene radne površine (RDP) koji koristi primjer 3389 kao primjer.
    Napomena: Da biste to učinili, trebate dobiti funkcionalnost e-pošte na usmjerivaču, što trenutno ne postoji, jer SVN snimka OpenWRT opkg paketa je u neredu. Zato predlažem da koristite knockd izravno na VPN kutiji koja vam omogućuje da koristite sve opcije slanja e-pošte koje su dostupne u Linuxu / GNU-u, kao što je SSMTP i sendEmail da spomenete nekoliko.

    Tko ometa moj san?

    Kako znati ako je Vaša lozinka procurila online
    Kako znati kada je vrijeme da zamijenite bateriju vašeg laptopa
    Kako ubiti ili zatvoriti sve pokrenute programe u sustavu Windows brzo
    Sljedeći članak
    Kako kucnuti u svoju mrežu (DD-WRT)
    Prethodni članak
    Kako ubiti svoju ovisnost o Facebooku na vašem iPhoneu