Image od Aviad Raviv & bfick.
Predslov
Ak ste použili vstavanú funkčnosť DD-WRT pre VPN alebo máte iný server VPN vo vašej sieti, oceníte ju schopnosť chrániť ju pred útokmi hrubej silou tým, že ju skryjete za sekvenciou klepania. Vykonáte to tak, že odfiltrovate skriptové deti, ktoré sa pokúšajú získať prístup do vašej siete. S tým povedal, ako je uvedené v predchádzajúcom článku, klepanie na port nie je náhradou za dobré heslo a / alebo bezpečnostnú politiku. Pamätajte, že s dostatočnou trpezlivosťou môže útočník objaviť sekvenciu a vykonať replay útok. Majte tiež na pamäti, že nevýhodou implementácie je, že ak sa chce ktorýkoľvek klient VPN pripojiť, museli spustiť sekvenciu zaklopaniavopred a ak nemôžu dokončiť sekvenciu z akéhokoľvek dôvodu, nebudú môcť VPN vôbec.
Prehľad
V záujme ochrany * služby VPN najskôr zablokujeme všetku možnú komunikáciu s tým, že zablokujeme inštančný port z roku 1723. Na dosiahnutie tohto cieľa budeme používať iptables. Je to preto, že komunikácia je filtrovaná na väčšine distribucií Linuxu / GNU vo všeobecnosti a najmä na DD-WRT. Ak by ste chceli získať viac informácií o iptables, skontrolujte si jeho wiki položku a pozrite sa na náš predchádzajúci článok o tejto téme. Akonáhle je služba chránená, vytvoríme sekvenciu zaklopania, ktorá dočasne otvorí port pre inštaláciu VPN a automaticky ju uzavrie aj po nakonfigurovanom množstve času, pričom zachová už pripojenú pripojenie VPN.
Poznámka: V tejto príručke používame službu PPTP VPN ako príklad. S tým, že rovnaká metóda môže byť použitá pre iné typy VPN, stačí zmeniť blokovaný port a / alebo typ komunikácie.
Predpoklady, predpoklady a odporúčania
- Predpokladá sa, že máte router DD-WRT s podporou Opkg.
- Predpokladá sa, že ste už vykonali kroky uvedené v príručke "Ako načrtnúť do siete (DD-WRT)".
- Niektoré znalosti o sieti sa predpokladajú.
Dovoľte, aby ste sa rozbili.
štandardné Pravidlo "Blokovať nové VPN" na DD-WRT
Zatiaľ čo nasledujúci úryvok kódu by pravdepodobne fungoval na každom, rešpektujúcom sa, iptables, distribúciu Linuxu / GNU, pretože tam je toľko variantov, budeme len ukazovať, ako ho použiť na DD-WRT. Nič vás nezastaví, ak chcete, aby ste ho priamo implementovali do poľa VPN. Avšak, ako to urobiť, je mimo rozsah tejto príručky.
Pretože chceme rozšíriť firewall brány smerovača, je logické, že by sme pridali skript "Firewall". V takom prípade by príkaz iptables mohol byť vykonaný pri každom obnovení firewallu a tým by sa naše rozšírenie udržalo na mieste.
Z Web-GUI DD-WRT:
-
Prejdite na položku "Administrácia" -> "Príkazy".
Image -
Do textového poľa zadajte nižšie uvedený kód:
inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
- Kliknite na "Uložiť bránu firewall".
- Hotový.
Čo je to príkaz "Voodoo"?
Vyššie uvedený príkaz "voodoo magic" urobí nasledovné:
- Zistí, kde je iptable linka, ktorá umožňuje prepojenie už zavedenej komunikácie. Robíme to preto, lebo A. Na smerovačoch DD-WRT, ak je služba VPN zapnutá, bude umiestnená tesne pod touto čiarou a B. Je nevyhnutné, aby sme naďalej umožňovali pokračovať v už existujúcich reláciách VPN. klepanie udalosť.
- Odpočítava dva (2) z výstupu príkazu na zápis, aby sa zohľadnil posun spôsobený hlavičkami informačných stĺpcov. Akonáhle je to hotové, pridá sa k vyššie uvedenému číslu jedno (1), takže pravidlo, ktoré vkladáme, príde hneď po pravidle, ktoré umožňuje už zavedenú komunikáciu. Zanechal som tu veľmi jednoduchý "matematický problém", aby som urobil logiku "prečo je potrebné znížiť miesto z pravidla, namiesto toho, aby sa k nemu pridal jeden" jasné.
Konfigurácia KnockD
Musíme vytvoriť novú spúšťaciu sekvenciu, ktorá umožní vytvorenie nových pripojení VPN. Ak to chcete urobiť, upravte súbor knockd.conf vydaním v termináli:
vi /opt/etc/knockd.conf
Pripojiť k existujúcej konfigurácii:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
Táto konfigurácia bude:
- Nastavte okno príležitosti na dokončenie sekvencie na 60 sekúnd. (Odporúča sa, aby to bolo čo najkratšie)
- Počúvajte sekvenciu troch knockov na portoch 2, 1 a 2010 (táto objednávka je zámerom hádzať porty skenery mimo dráhu).
- Po zistení sekvencie spustite "start_command". Tento príkaz "iptables" umiestni v hornej časti pravidiel brány firewall "akceptovať návštevnosť určenú portu 1723, odkiaľ pochádza klepanie". (Direktíva% IP% sa spracováva špeciálne KnockD a nahrádza sa IP pôvodu zaklopení).
- Počkajte 20 sekúnd pred vydaním príkazu stop_command.
- Vykonajte "stop_command". Kde tento príkaz "iptables" urobí opačnú stranu a vymaže pravidlo, ktoré umožňuje komunikáciu.
To je to, že vaša služba VPN by mala byť teraz pripojiteľná až po úspešnom "knock".
autor Rady
Zatiaľ čo by ste mali byť všetci nastavený, existuje niekoľko bodov, ktoré podľa mňa potrebujú spomenúť.
- Riešenie problémov. Nezabudnite, že ak máte problémy, segment "odstraňovanie problémov" na konci prvého článku by mal byť vašou prvou zastávkou.
- Ak chcete, môžete mať smernice "štart / stop" vykonať viacero príkazov tým, že ich oddelíte pomocou semi-colen (;) alebo dokonca skriptu. To vám umožní urobiť nejaké šikovné veci. Napríklad, som knockd poslať mi * E-mail mi povedať, že sekvencia bola spustená a odkiaľ.
- Nezabudnite na to, že je tu aplikácia a aj keď to nie je uvedené v tomto článku, odporúčame vám uchopiť program Android klepača systému Android.
- Pokiaľ ide o Android, nezabudnite, že od výrobcu je zabudovaný klient PPTP VPN, ktorý je zvyčajne zabudovaný do operačného systému.
- Metóda, čo najskôr blokovať a potom pokračovať v umožňovaní už zavedenej komunikácie, sa dá použiť prakticky pre každú komunikáciu založenú na TCP. V skutočnosti som vo filme Knockd on DD-WRT 1 ~ 6 som sa vrátil, keď som použil protokol vzdialenej pracovnej plochy (RDP), ktorý používa port 3389 ako príklad.
Poznámka: Aby ste to mohli urobiť, budete potrebovať funkciu e-mailu vo vašom smerovači, ktorý v súčasnosti naozaj nie je ten, ktorý funguje, pretože snímka SVN balíčkov optok OpenWRT je v neporiadku. Preto navrhujem, aby ste použili knockd priamo na VPN box, ktorý vám umožní použiť všetky možnosti odosielania e-mailov, ktoré sú k dispozícii v systéme Linux / GNU, ako SSMTP a sendEmail.
Kto ruší môj spánok?
