דף הבית » איך ל » כיצד לדפוק לתוך הרשת שלך, חלק 2 הגן על ה- VPN שלך (DD-WRT)

    כיצד לדפוק לתוך הרשת שלך, חלק 2 הגן על ה- VPN שלך (DD-WRT)

    הראינו לך כיצד להפעיל WOL מרחוק על ידי "פורט Knocking" בנתב שלך. במאמר זה, נציג כיצד להשתמש בו כדי להגן על שירות VPN.

    תמונה מאת אביעד רביב & bfick.

    הקדמה

    אם השתמשת DD-WRT של פונקציונליות מובנית עבור VPN או, יש עוד שרת VPN ברשת שלך, אתה יכול להעריך את היכולת להגן עליו מפני התקפות כוח הזרוע על ידי הסתרת אותו מאחורי רצף לדפוק. על ידי ביצוע פעולה זו, תוכל לסנן את קובצי script המנסים להשיג גישה לרשת שלך. עם זאת, כאמור במאמר הקודם, נמל דפיקות אינו תחליף סיסמה טובה ו / או מדיניות אבטחה. האם לזכור כי עם מספיק סבלנות התוקף יכול לגלות את רצף ולבצע התקפה החוזר.
    כמו כן יש לזכור, כי downside של יישום זה כי כאשר כל לקוח VPN / s רוצה להתחבר, הם היו צריכים להפעיל את רצף לדפוק לפני כן וכי אם הם לא יכולים להשלים את רצף מכל סיבה שהיא, הם לא יוכלו VPN בכלל.

    סקירה כללית

    על מנת להגן על שירות ה- VPN, אנו נשבית תחילה את כל התקשורת האפשרית על-ידי חסימת היציאה המייצגת של 1723. כדי להשיג מטרה זו, נשתמש ב- iptables. הסיבה לכך היא, כי כך התקשורת מסוננת על רוב המודרנית לינוקס / גנו הפצות בכלל על DD-WRT בפרט. אם אתה רוצה מידע נוסף על iptables checkout הכניסה ויקי שלה, יש להסתכל על המאמר הקודם שלנו על הנושא. לאחר השירות מוגן, אנו ניצור רצף לדפוק כי באופן זמני לפתוח את יציאת VPN מייצג וגם לסגור אותו באופן אוטומטי לאחר כמות מוגדרת של זמן, תוך שמירה על הפגישה VPN הוקמה כבר מחובר.

    הערה: במדריך זה, אנו משתמשים בשירות VPN של PPTP כדוגמה. עם זאת, באותה שיטה ניתן להשתמש עבור סוגים אחרים VPN, אתה רק צריך לשנות את היציאה חסומה ו / או סוג התקשורת.

    תנאים מוקדמים, הנחות והמלצות

    • ההנחה / נדרש כי יש לך נתב אופקי DD-WRT.
    • ההנחה / נדרש כי ביצעת כבר את השלבים במדריך "כיצד לדפוק את הרשת שלך (DD-WRT)".
    • כמה ידע ברשת הוא הניח.

    בואו לקבל פיצוח.

    ברירת מחדל "חסום חדש VPNs" על DD-WRT

    בעוד קטע הקוד של "קוד" היה כנראה לעבוד על כל, כבוד עצמי, iptables שימוש, לינוקס / גנו הפצה, כי יש כל כך הרבה גרסאות שם אנו רק להראות איך להשתמש בו על DD-WRT. שום דבר לא יעצור אותך, אם תרצה, מיישומה ישירות על תיבת VPN. עם זאת, כיצד לעשות זאת, הוא מעבר לתחום של מדריך זה.

    כי אנחנו רוצים להגדיל את חומת האש של הנתב, זה רק הגיוני כי היינו להוסיף את "חומת אש" סקריפט. פעולה זו, תגרום הפקודה iptables להיות מבוצע בכל פעם חומת האש מתרענן ובכך שמירה על הגדלת שלנו במקום עבור שומר.

    מתוך האינטרנט של DD-WRT של GUI:

    • עבור אל "ניהול" -> "פקודות".
    • הזן את "קוד" להלן לתוך תיבת הטקסט:

      inline = "$ $ (iptables -L INPUT -n | grep-n" מצב ", אופק -F: 'print $ 1'); inline = $ (($ inline-2 + 1)); iptables-INPUT "$ inline" -pc tcp - dport 1723-drop

    • לחץ על "שמור חומת אש".
    • בוצע.

    מה זה "וודו" הפקודה?

    הפקודה "voodoo magic" הנ"ל מבצעת את הפעולות הבאות:

    • מצא היכן הוא קו iptable המאפשר תקשורת כבר הוקמה לעבור. אנחנו עושים זאת, כי א על DD-WRT נתבים, אם שירות VPN מופעל, זה יהיה ממוקם ממש מתחת לקו זה ו B. זה חיוני למטרה שלנו להמשיך לאפשר לאפשר כבר הפעלות VPN לחיות על אחרי דופק אירוע.
    • Deducts שני (2) מתוך הפלט של הפקודה הרישום כדי להסביר את קיזוז שנגרם על ידי כותרות טור מידע. ברגע שזה נעשה, מוסיף אחד (1) למספר לעיל, כך הכלל שאנחנו מכניסים יבוא רק אחרי הכלל המאפשר תקשורת כבר הוקמה. עזבתי את "בעיה מתמטית" פשוטה מאוד כאן, רק כדי להפוך את ההיגיון של "למה צריך לצמצם אחד מן הכלל במקום במקום להוסיף אחד אליו" ברור.

    תצורה KnockD

    אנחנו צריכים ליצור רצף מופעלות חדש שיאפשר ליצור חיבורי VPN חדשים. לשם כך, ערוך את הקובץ knockd.conf על ידי הנפקת מסוף:

    vi /opt/etc/knockd.conf

    הוסף לתצורה הקיימת:

    [לאפשר-VPN]
    רצף = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables-INPUT 1-s% IP% -p tcp - dport 1723 -JCEPT
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp - dport 1723 -JCEPT

    תצורה זו:

    • הגדר את חלון ההזדמנות כדי להשלים את הרצף, עד 60 שניות. (מומלץ לשמור את זה קצר ככל האפשר)
    • להקשיב רצף של שלוש דופק על יציאות 2, 1 ו 2010 (הזמנה זו היא מכוונת לזרוק יציאות סורקים מן המסלול).
    • לאחר שהרצף זוהה, בצע את "start_command". זה "iptables" הפקודה יהיה מקום "לקבל את התנועה המיועדת ליציאה 1723 שממנו דופק הגיע" על גבי כללי חומת האש. (ההנחיה% IP% מטופלת במיוחד על ידי KnockD ומוחלפת ב- IP של המקור לדפיקות).
    • המתן 20 שניות לפני הנפקת "stop_command".
    • בצע את "stop_command". איפה זה "iptables" הפקודה עושה את ההפך של האמור לעיל ומחק את הכלל המאפשר תקשורת.
    זהו זה, שירות VPN שלך צריך להיות עכשיו רק לאחר חיבור "לדפוק".

    מחברשל עצות

    בזמן שאתה צריך להיות מוכן, יש כמה נקודות שאני מרגיש צורך להזכיר.

    • פתרון תקלות. זכור כי אם אתה נתקל בבעיות, את "פתרון בעיות" קטע בסוף המאמר הראשון צריך להיות התחנה הראשונה שלך.
    • אם אתה רוצה, אתה יכול לקבל את "להתחיל / להפסיק" הוראות לבצע פקודות מרובות על ידי הפרדת אותם עם חצי colen (;) או אפילו סקריפט. פעולה זו תאפשר לך לעשות דברים nifty. לדוגמה, יש לי knockd לשלוח לי * דוא"ל אומר לי רצף הופעל ומאיפה.
    • אל תשכח כי "יש App עבור זה" ואף על פי שלא הוזכר במאמר זה, אתה מוזמן לתפוס את התוכנה של אנדרואיד StackFX של נוק.
    • בעוד בנושא אנדרואיד, לא לשכוח כי יש לקוח VPTP VPTP מובנה בדרך כלל לתוך מערכת ההפעלה של היצרן.
    • השיטה של, חסימת משהו בהתחלה ולאחר מכן להמשיך לאפשר תקשורת הוקמה כבר, ניתן להשתמש על כמעט כל תקשורת מבוססת TCP. למעשה ב Knockd על DD-WRT 1 ~ 6 סרטים, עשיתי את הדרך חזרה כאשר, השתמשתי בפרוטוקול שולחן עבודה מרוחק (RDP) אשר משתמשת יציאה 3389 כדוגמה.
    הערה: כדי לעשות זאת, יהיה עליך לקבל פונקציונליות דוא"ל על הנתב שלך, אשר כרגע יש באמת לא אחד שעובד כי תמונת מצב SVN של OPGRT של חבילות opkg הוא בסכסוך. לכן אני מציע להשתמש knockd ישירות על תיבת VPN אשר מאפשר לך להשתמש בכל האפשרויות של שליחת דוא"ל הזמינים לינוקס / GNU, כמו SSMTP ו SendEmail להזכיר כמה.

    מי מפריע לישון שלי?