Kép: Aviad Raviv & bfick.
Előszó
Ha a DD-WRT beépített VPN-funkcióit használta, vagy egy másik VPN-kiszolgálót használ a hálózatban, akkor értékelni tudja, hogy megvédheti a brute force támadásoktól a kopogás mögött. Ezzel kiszűri azokat a szkriptet, akik megpróbálják elérni a hálózatot. Ezzel azt mondta, hogy az előző cikkben leírtak szerint a port kopogása nem helyettesíti a megfelelő jelszót és / vagy biztonsági politikát. Ne feledje, hogy elég türelemmel a támadó felfedezheti a szekvenciát, és végrehajtja a visszajátszási támadást. Emlékezzünk arra is, hogy a végrehajtás hátránya, hogy ha bármelyik VPN-kliens akar csatlakozni, akkor meg kell indítania a kopogás sorrendetelőzetesen és ha semmilyen okból nem tudják befejezni a sorozatot, egyáltalán nem tudnak VPN-t használni.
Áttekintés
A VPN szolgáltatás védelme érdekében először letiltjuk az összes lehetséges kommunikációt azzal, hogy blokkoljuk az 1723-as instantiáló portot. E cél elérése érdekében az iptables-t használjuk. Ez azért van így, mert a kommunikáció szűri a legmodernebb Linux / GNU disztribúciókat és különösen a DD-WRT-t. Ha szeretne több információt kapni az iptables-ről a wiki bejegyzéséről, nézze meg korábbi cikkünket a témáról. A szolgáltatás védelme után olyan kopogtatási sorozatot hozunk létre, amely ideiglenesen megnyitja a VPN-példány portot, és azt is automatikusan bezárja egy beállított idő elteltével, miközben megtartja a már létrehozott VPN-munkamenet kapcsolódását.
Megjegyzés: Ebben az útmutatóban példaként a PPTP VPN szolgáltatást használjuk. Ezzel azt mondhatjuk, hogy ugyanaz a módszer más VPN típusokhoz is használható, csak a blokkolt portot és / vagy kommunikációs típust kell megváltoztatnod.
Előfeltételek, feltevések és ajánlások
- Feltételezzük, hogy szükség van egy Opkg engedélyezett DD-WRT routerre.
- Feltételezhető / szükséges, hogy már elvégezte a "Hogyan viselkedni fog a hálózatba (DD-WRT)" útmutató lépéseket.
- Néhány hálózati ismeret feltételezhető.
Lazítson.
Alapértelmezett "Új VPN-ek blokkolása" szabály a DD-WRT-re
Bár a "code" alatti kódrészlet valószínűleg minden, önmagát tiszteletben tartó iptables használatával dolgozik Linux / GNU disztribúcióval, mert annyi változat létezik, csak azt mutatjuk be, hogyan kell használni a DD-WRT-n. Semmi sem akadályozza meg Önt, ha azt akarja, közvetlenül a VPN-fiókban. Azonban, hogyan kell ezt tenni, túlmutat ezen útmutatóban.
Mivel szeretnénk növelni az útválasztó tűzfalát, csak logikus, hogy hozzáadnánk a "tűzfal" szkriptet. Így az iptables parancs végrehajtása minden alkalommal végrehajtódik, amikor a tűzfal frissítésre kerül, és ezáltal megtartja az augmentáció helyét.
A DD-WRT Web GUI-járól:
-
Menjen az "Adminisztráció" -> "Parancsok" menüpontra.
-
Adja meg az alábbi "kódot" a szövegdobozba:
inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
- Kattintson a "Tűzfal mentése" lehetőségre.
- Kész.
Mi ez a "Voodoo" parancs?
A fenti "voodoo magic" parancs a következőket teszi:
- Megtudja, hol van az iptable vonal, amely lehetővé teszi a már meglévő kommunikáció áthaladását. Mi ezt csináljuk, mert A. A DD-WRT routereken, ha a VPN szolgáltatás engedélyezve van, akkor ez a sor és a B alatt található. Alapvető fontosságú célunk, hogy továbbra is engedélyezzük a már megalapozott VPN-munkamenetek használatát a kopogtató esemény.
- A listázási parancs kimenetéből két (2) levonja az információs oszlopfejlécek által okozott eltolás számláját. Amint ez megtörtént, hozzáad egy (1) számot a fenti számhoz, így az a szabály, amelyet beillesztünk, közvetlenül a szabálynak megfelelően jön létre, amely lehetővé teszi a már megalapozott kommunikációt. Itt hagytam ezt a nagyon egyszerű "matematikai problémát", csak azért, hogy "miért kell csökkentenünk egyet a szabály helyéről anélkül, hogy hozzá kellene adnunk hozzá" világos.
KnockD konfiguráció
Új triggering szekvenciát kell létrehoznunk, amely lehetővé teszi új VPN-kapcsolatok létrehozását. Ehhez módosítsa a knockd.conf fájlt egy terminál kiadásával:
vi /opt/etc/knockd.conf
A meglévő konfiguráció hozzáadásához:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
Ez a konfiguráció:
- Állítsa be a lehetőséget, hogy befejezze a sorozatot, 60 másodpercig. (Ajánlott a lehető legrövidebb ideig tartani)
- Hallgassa meg a három ütközéssorozatot a 2., 1. és 2010. porton (ez a sorrend szándékosan kikapcsolja a portszkennereket a pályáról).
- Miután észlelte a szekvenciát, hajtsa végre a "start_command" parancsot. Ez az "iptables" paranccsal "elfogadja a 1723-as porthoz rendelt forgalmat, ahonnan a kopogás származik" a tűzfalszabályok tetején. (A% IP% direktívet kifejezetten a KnockD kezeli, és helyébe a kopogás eredetének IP-je van).
- Várjon 20 másodpercet a "stop_command" kiadása előtt.
- Végezze el a "stop_command" parancsot. Ahol ez az "iptables" parancs a fentiek fordítottja, és törli azt a szabályt, amely lehetővé teszi a kommunikációt.
Ez az, hogy a VPN szolgáltatás csak sikeres "kopogás" után érhető el.
Szerző Tippjei
Míg mindannyian be kell állítanunk, van néhány olyan pont, amit érdemes megemlíteni.
- Hibaelhárítás. Ne feledje, hogy ha problémái vannak, a "hibaelhárítási" szegmens az első cikk végén legyen az első leállítása.
- Ha akarod, akkor a "start / stop" direktívák több parancsot is végrehajthatnak, ha félig colen (;) vagy akár egy szkriptet különítenek el. Ezzel lehetővé teszi, hogy csinálj valami csinos dolgot. Például, knockd küldött nekem egy e-mailt, amelyben elmondta, hogy egy sorozatot indítottak és honnan.
- Ne felejtsük el, hogy "van egy alkalmazás ehhez", és bár ez a cikk nem említi, akkor biztattuk, hogy megragadja a StavFX Android knocking programját.
- Bár az Android témakörben, ne felejtsük el, hogy van egy PPTP VPN-ügyfél, amelyet rendszerint beépítettek az operációs rendszerbe a gyártótól.
- A gyakorlatban bármely TCP-alapú kommunikáció során először is megakadályozzák valamit, majd folytatják a már meglévő kommunikációt. Valójában a Knockd-on a DD-WRT 1 ~ 6 filmet, már megtettem, amikor, használtam a távoli asztali protokollt (RDP), amely a port 3389 példát használ.
Megjegyzés: Ehhez az e-mail funkciót az útválasztón kell megkapnia, amely jelenleg valóban nem működik, mert az OpenWRT opkg csomagok SVN pillanatképe zavarban van. Ezért javaslom a knockd használatát közvetlenül a VPN-fiókban, amely lehetővé teszi, hogy a Linux / GNU-ban elérhető e-mailek, például az SSMTP és a sendEmail elérhetőségét is használhassa.
Ki zavarja az én álmom?