Hogyan üsd be a hálózatodat, 2. rész: Védje a VPN-t (DD-WRT)

Tartalomjegyzék:

Hogyan üsd be a hálózatodat, 2. rész: Védje a VPN-t (DD-WRT)
Hogyan üsd be a hálózatodat, 2. rész: Védje a VPN-t (DD-WRT)

Videó: Hogyan üsd be a hálózatodat, 2. rész: Védje a VPN-t (DD-WRT)

Videó: Hogyan üsd be a hálózatodat, 2. rész: Védje a VPN-t (DD-WRT)
Videó: How to: Fix "My Removable Device" shortcut virus from USB external HDD and Pendrive - YouTube 2024, Március
Anonim
Megmutattuk Önnek, hogyan kell a WOL-ot távirányítani a "Port Knocking" segítségével az útválasztón. Ebben a cikkben megmutatjuk, hogyan használjuk fel a VPN szolgáltatás védelmére.
Megmutattuk Önnek, hogyan kell a WOL-ot távirányítani a "Port Knocking" segítségével az útválasztón. Ebben a cikkben megmutatjuk, hogyan használjuk fel a VPN szolgáltatás védelmére.

Kép: Aviad Raviv & bfick.

Előszó

Ha a DD-WRT beépített VPN-funkcióit használta, vagy egy másik VPN-kiszolgálót használ a hálózatban, akkor értékelni tudja, hogy megvédheti a brute force támadásoktól a kopogás mögött. Ezzel kiszűri azokat a szkriptet, akik megpróbálják elérni a hálózatot. Ezzel azt mondta, hogy az előző cikkben leírtak szerint a port kopogása nem helyettesíti a megfelelő jelszót és / vagy biztonsági politikát. Ne feledje, hogy elég türelemmel a támadó felfedezheti a szekvenciát, és végrehajtja a visszajátszási támadást. Emlékezzünk arra is, hogy a végrehajtás hátránya, hogy ha bármelyik VPN-kliens akar csatlakozni, akkor meg kell indítania a kopogás sorrendetelőzetesen és ha semmilyen okból nem tudják befejezni a sorozatot, egyáltalán nem tudnak VPN-t használni.

Áttekintés

A VPN szolgáltatás védelme érdekében először letiltjuk az összes lehetséges kommunikációt azzal, hogy blokkoljuk az 1723-as instantiáló portot. E cél elérése érdekében az iptables-t használjuk. Ez azért van így, mert a kommunikáció szűri a legmodernebb Linux / GNU disztribúciókat és különösen a DD-WRT-t. Ha szeretne több információt kapni az iptables-ről a wiki bejegyzéséről, nézze meg korábbi cikkünket a témáról. A szolgáltatás védelme után olyan kopogtatási sorozatot hozunk létre, amely ideiglenesen megnyitja a VPN-példány portot, és azt is automatikusan bezárja egy beállított idő elteltével, miközben megtartja a már létrehozott VPN-munkamenet kapcsolódását.

Megjegyzés: Ebben az útmutatóban példaként a PPTP VPN szolgáltatást használjuk. Ezzel azt mondhatjuk, hogy ugyanaz a módszer más VPN típusokhoz is használható, csak a blokkolt portot és / vagy kommunikációs típust kell megváltoztatnod.

Előfeltételek, feltevések és ajánlások

  • Feltételezzük, hogy szükség van egy Opkg engedélyezett DD-WRT routerre.
  • Feltételezhető / szükséges, hogy már elvégezte a "Hogyan viselkedni fog a hálózatba (DD-WRT)" útmutató lépéseket.
  • Néhány hálózati ismeret feltételezhető.

Lazítson.

Alapértelmezett "Új VPN-ek blokkolása" szabály a DD-WRT-re

Bár a "code" alatti kódrészlet valószínűleg minden, önmagát tiszteletben tartó iptables használatával dolgozik Linux / GNU disztribúcióval, mert annyi változat létezik, csak azt mutatjuk be, hogyan kell használni a DD-WRT-n. Semmi sem akadályozza meg Önt, ha azt akarja, közvetlenül a VPN-fiókban. Azonban, hogyan kell ezt tenni, túlmutat ezen útmutatóban.

Mivel szeretnénk növelni az útválasztó tűzfalát, csak logikus, hogy hozzáadnánk a "tűzfal" szkriptet. Így az iptables parancs végrehajtása minden alkalommal végrehajtódik, amikor a tűzfal frissítésre kerül, és ezáltal megtartja az augmentáció helyét.

A DD-WRT Web GUI-járól:

  • Menjen az "Adminisztráció" -> "Parancsok" menüpontra.

    Image
    Image
  • Adja meg az alábbi "kódot" a szövegdobozba:

    inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP

  • Kattintson a "Tűzfal mentése" lehetőségre.
  • Kész.

Mi ez a "Voodoo" parancs?

A fenti "voodoo magic" parancs a következőket teszi:

  • Megtudja, hol van az iptable vonal, amely lehetővé teszi a már meglévő kommunikáció áthaladását. Mi ezt csináljuk, mert A. A DD-WRT routereken, ha a VPN szolgáltatás engedélyezve van, akkor ez a sor és a B alatt található. Alapvető fontosságú célunk, hogy továbbra is engedélyezzük a már megalapozott VPN-munkamenetek használatát a kopogtató esemény.
  • A listázási parancs kimenetéből két (2) levonja az információs oszlopfejlécek által okozott eltolás számláját. Amint ez megtörtént, hozzáad egy (1) számot a fenti számhoz, így az a szabály, amelyet beillesztünk, közvetlenül a szabálynak megfelelően jön létre, amely lehetővé teszi a már megalapozott kommunikációt. Itt hagytam ezt a nagyon egyszerű "matematikai problémát", csak azért, hogy "miért kell csökkentenünk egyet a szabály helyéről anélkül, hogy hozzá kellene adnunk hozzá" világos.

KnockD konfiguráció

Új triggering szekvenciát kell létrehoznunk, amely lehetővé teszi új VPN-kapcsolatok létrehozását. Ehhez módosítsa a knockd.conf fájlt egy terminál kiadásával:

vi /opt/etc/knockd.conf

A meglévő konfiguráció hozzáadásához:

[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT

Ez a konfiguráció:

  • Állítsa be a lehetőséget, hogy befejezze a sorozatot, 60 másodpercig. (Ajánlott a lehető legrövidebb ideig tartani)
  • Hallgassa meg a három ütközéssorozatot a 2., 1. és 2010. porton (ez a sorrend szándékosan kikapcsolja a portszkennereket a pályáról).
  • Miután észlelte a szekvenciát, hajtsa végre a "start_command" parancsot. Ez az "iptables" paranccsal "elfogadja a 1723-as porthoz rendelt forgalmat, ahonnan a kopogás származik" a tűzfalszabályok tetején. (A% IP% direktívet kifejezetten a KnockD kezeli, és helyébe a kopogás eredetének IP-je van).
  • Várjon 20 másodpercet a "stop_command" kiadása előtt.
  • Végezze el a "stop_command" parancsot. Ahol ez az "iptables" parancs a fentiek fordítottja, és törli azt a szabályt, amely lehetővé teszi a kommunikációt.

Ez az, hogy a VPN szolgáltatás csak sikeres "kopogás" után érhető el.

Szerző Tippjei

Míg mindannyian be kell állítanunk, van néhány olyan pont, amit érdemes megemlíteni.

  • Hibaelhárítás. Ne feledje, hogy ha problémái vannak, a "hibaelhárítási" szegmens az első cikk végén legyen az első leállítása.
  • Ha akarod, akkor a "start / stop" direktívák több parancsot is végrehajthatnak, ha félig colen (;) vagy akár egy szkriptet különítenek el. Ezzel lehetővé teszi, hogy csinálj valami csinos dolgot. Például, knockd küldött nekem egy e-mailt, amelyben elmondta, hogy egy sorozatot indítottak és honnan.
  • Ne felejtsük el, hogy "van egy alkalmazás ehhez", és bár ez a cikk nem említi, akkor biztattuk, hogy megragadja a StavFX Android knocking programját.
  • Bár az Android témakörben, ne felejtsük el, hogy van egy PPTP VPN-ügyfél, amelyet rendszerint beépítettek az operációs rendszerbe a gyártótól.
  • A gyakorlatban bármely TCP-alapú kommunikáció során először is megakadályozzák valamit, majd folytatják a már meglévő kommunikációt. Valójában a Knockd-on a DD-WRT 1 ~ 6 filmet, már megtettem, amikor, használtam a távoli asztali protokollt (RDP), amely a port 3389 példát használ.

Megjegyzés: Ehhez az e-mail funkciót az útválasztón kell megkapnia, amely jelenleg valóban nem működik, mert az OpenWRT opkg csomagok SVN pillanatképe zavarban van. Ezért javaslom a knockd használatát közvetlenül a VPN-fiókban, amely lehetővé teszi, hogy a Linux / GNU-ban elérhető e-mailek, például az SSMTP és a sendEmail elérhetőségét is használhassa.

Ki zavarja az én álmom?

Ajánlott: