Како ударити у вашу мрежу, дио 2 Заштитите свој ВПН (ДД-ВРТ)
Показали смо вам како да покренете ВОЛ даљински помоћу „Порт Кноцкинг“ на вашем рутеру. У овом чланку ћемо показати како га користити за заштиту ВПН сервиса.
Слика од Авиад Равив & бфицк.
Предговор
Ако сте користили уграђену функционалност ДД-ВРТ-а за ВПН или имате још један ВПН сервер у вашој мрежи, можда ћете ценити могућност да га заштитите од напада бруталним силама тако што ћете га сакрити иза низа удараца. Тиме ћете филтрирати киддиес скрипте који покушавају да приступе вашој мрежи. С тим у вези, као што је наведено у претходном чланку, куцање портова није замена за добру лозинку и / или безбедносну политику. Запамтите да уз довољно стрпљења нападач може да открије секвенцу и изведе напад поновљене игре.
Такође, имајте на уму да је лоша страна имплементације то да када било који ВПН клијент / е жели да се повеже, морали би да покрену секвенцу куцања пре и да ако не могу да испуне секвенцу из било ког разлога, неће моћи уопште да ВПН.
Преглед
Да бисмо заштитили * ВПН услугу, прво ћемо онемогућити сву могућу комуникацију са њом блокирањем порта за инстантирање од 1723. Да бисмо постигли тај циљ, користићемо иптаблес. То је зато што се комуникација филтрира на већини модерних Линук / ГНУ дистрибуција уопште, а посебно на ДД-ВРТ. Ако желите више информација о иптаблес-у, преузмите вики унос и погледајте наш претходни чланак о тој теми. Када је услуга заштићена, направићемо секвенцу куцања која ће привремено отворити ВПН инстанциони порт и аутоматски га затворити након конфигурираног времена, а истовремено одржати већ успостављену ВПН сесију.
Напомена: У овом водичу користимо ППТП ВПН услугу као примјер. Са тим речима, исти метод се може користити и за друге ВПН типове, само ћете морати да промените блокирани порт и / или тип комуникације.
Предуслови, претпоставке и препоруке
- Претпоставља се / захтијева да имате опкг ДД-ВРТ рутер.
- Претпоставља се да сте већ извршили кораке у водичу “Како куцнути у вашу мрежу (ДД-ВРТ)”..
- Нека знања о умрежавању се претпостављају.
Хајде да се разбијемо.
Уобичајено “Блокирај нове ВПН” правило на ДД-ВРТ
Док би у наставку исечак "кода" вероватно функционисао на свакој, самопоштовању, иптаблес употреби, Линук / ГНУ дистрибуције, јер постоји толико много варијанти тамо ћемо само показати како га користити на ДД-ВРТ. Ништа вас не зауставља, ако желите, да га имплементирате директно у ВПН кутију. Међутим, како то учинити, је изван оквира овог водича.
Будући да желимо повећати Фиревалл за рутер, логично је да додамо скрипту "Фиревалл". На тај начин би се наредба иптаблес извршавала сваки пут када би се заштитни зид освјежио и на тај начин задржао наше повећање на мјесту за чување.
Из Веб-ГУИ-ја ДД-ВРТ-а:
- Идите у “Администрација” -> “Команде”.
- У доњи текст унесите "код" испод:
инлине = "$ (иптаблес -Л ИНПУТ -н | греп -н" стате РЕЛАТЕД, ЕСТАБЛИСХЕД "| авк -Ф: 'принт $ 1')"; инлине = $ (($ инлине-2 + 1)); иптаблес -И ИНПУТ "$ инлине" -п тцп --дпорт 1723 -ј ДРОП - Кликните на „Сачувај ватрозид“.
- Готово.
Шта је то "Воодоо" команда?
Горе наведена "воодоо магиц" наредба:
- Налази где је иптабле линија која омогућава да већ успостављена комуникација прође. Ми то радимо, јер А. На ДД-ВРТ рутерима, ако је ВПН услуга омогућена, она ће се налазити одмах испод ове линије и Б. Од суштинске је важности за наш циљ да наставимо да дозвољавамо већ успостављене ВПН сесије да живе после куцање.
- Одузима два (2) из излаза команде за унос да би се приказао помак узрокован заглављем информативне колоне. Када се то заврши, додаје се један (1) горе наведеном броју, тако да ће правило које уносимо доћи одмах након правила које дозвољава већ успостављену комуникацију. Оставио сам овај веома једноставан "математички проблем" овде, само да би направио логику "зашто треба да се смањи један са места правила, уместо да се дода један".
КноцкД цонфигуратион
Морамо да креирамо нову секвенцу окидања која ће омогућити креирање нових ВПН веза. Да бисте то урадили, уредите датотеку кноцкд.цонф издавањем у терминалу:
ви /опт/етц/кноцкд.цонф
Додајте постојећој конфигурацији:
[омогући-ВПН]
секуенце = 02,02,02,01,01,01,2010,2010,2010
сек_тимеоут = 60
старт_цомманд = иптаблес -И ИНПУТ 1 -с% ИП% -п тцп --дпорт 1723 -ј АЦЦЕПТ
цмд_тимеоут = 20
стоп_цомманд = иптаблес -Д ИНПУТ -с% ИП% -п тцп --дпорт 1723 -ј АЦЦЕПТ
Ова конфигурација ће:
- Поставите прозор могућности да довршите секвенцу, на 60 секунди. (Препоручује се да ово буде што краће)
- Послушајте секвенцу од три ударца на портовима 2, 1 и 2010 (ова наредба је намерна да се скенирају портови изван стазе).
- Када је секвенца откривена, извршите “старт_цомманд”. Ова "иптаблес" команда ставиће "прихвати саобраћај који је намењен порту 1723 одакле долази ударац" на врху правила заштитног зида. (Директива% ИП% је посебно третирана од стране КноцкД-а и замењена је ИП-ом извора порива).
- Сачекајте 20 секунди пре издавања "стоп_цомманд".
- Извршите "стоп_цомманд". Где ова “иптаблес” команда ради обрнуто од горе наведеног и брише правило које дозвољава комуникацију.
Аутхор'с типс
Иако би требало да будете спремни, постоји неколико ствари које сматрам да треба споменути.
- Решавање проблема. Запамтите да ако имате проблема, сегмент "отклањања проблема" на крају првог чланка би требао бити ваша прва станица.
- Ако желите, можете имати "старт / стоп" директиве које извршавају вишеструке команде раздвајањем са полу-коленом (;) или чак скриптом. То ће вам омогућити да урадите нешто дивно. На пример, ја сам послао ми * е-маил који ми говори да је секвенца покренута и одакле.
- Не заборавите да “постоји апликација за то” и иако није споменута у овом чланку, охрабрујемо вас да узмете СтавФКС-ов Андроид кноцкер програм.
- Док на тему Андроида, не заборавите да постоји ППТП ВПН клијент који је обично уграђен у ОС од произвођача.
- Метода, блокирање нечега на почетку и затим наставак омогућавања већ успостављене комуникације, може се користити на практично било којој комуникацији заснованој на ТЦП-у. У ствари у филму Кноцкд на ДД-ВРТ 1 ~ 6 филмовима, ја сам се вратио када сам користио протокол за удаљену радну површину (РДП) који користи порт 3389 као пример.
Вхо Дистурбс Ми Слумбер?
