Trang chủ » làm thế nào để » Cách gõ vào mạng của bạn, Phần 2 Bảo vệ VPN của bạn (DD-WRT)

    Cách gõ vào mạng của bạn, Phần 2 Bảo vệ VPN của bạn (DD-WRT)

    Chúng tôi đã chỉ cho bạn cách kích hoạt WOL từ xa bằng cách Cổng Port Knocking trên bộ định tuyến của bạn. Trong bài viết này, chúng tôi sẽ giới thiệu cách sử dụng nó để bảo vệ dịch vụ VPN.

    Hình ảnh của Aviad Raviv & bfick.

    Lời nói đầu

    Nếu bạn đã sử dụng chức năng tích hợp của DD-WRT cho VPN hoặc, có một máy chủ VPN khác trong mạng của bạn, bạn có thể đánh giá cao khả năng bảo vệ nó khỏi các cuộc tấn công vũ phu bằng cách ẩn nó sau chuỗi tiếng gõ. Bằng cách này, bạn sẽ lọc ra các tập lệnh kịch bản đang cố gắng truy cập vào mạng của bạn. Như đã nói, như đã nêu trong bài viết trước, việc gõ cổng không phải là sự thay thế cho một chính sách mật khẩu và / hoặc bảo mật tốt. Hãy nhớ rằng với đủ kiên nhẫn, kẻ tấn công có thể khám phá chuỗi và thực hiện một cuộc tấn công chơi lại.
    Ngoài ra, hãy nhớ rằng nhược điểm của việc triển khai này là khi bất kỳ máy khách VPN nào muốn kết nối, họ sẽ phải kích hoạt chuỗi gõ trước và nếu họ không thể hoàn thành chuỗi vì bất kỳ lý do gì, họ sẽ không thể VPN.

    Tổng quan

    Để bảo vệ * dịch vụ VPN, trước tiên chúng tôi sẽ vô hiệu hóa tất cả các giao tiếp có thể với nó bằng cách chặn cổng khởi tạo 1723. Để đạt được mục tiêu này, chúng tôi sẽ sử dụng iptables. Điều này là do, đó là cách truyền thông được lọc trên hầu hết các bản phân phối Linux / GNU hiện đại nói chung và trên DD-WRT nói riêng. Nếu bạn muốn biết thêm thông tin về iptables, hãy kiểm tra mục wiki của nó và xem bài viết trước của chúng tôi về chủ đề này. Khi dịch vụ được bảo vệ, chúng tôi sẽ tạo một chuỗi tiếng gõ tạm thời mở cổng khởi tạo VPN và cũng tự động đóng nó sau một khoảng thời gian được định cấu hình, trong khi vẫn giữ phiên VPN đã được thiết lập.

    Lưu ý: Trong hướng dẫn này, chúng tôi đang sử dụng dịch vụ PPTP VPN làm ví dụ. Như đã nói, phương pháp tương tự có thể được sử dụng cho các loại VPN khác, bạn sẽ chỉ phải thay đổi cổng và / hoặc loại giao tiếp bị chặn.

    Điều kiện tiên quyết, giả định và khuyến nghị

    • Giả định / bắt buộc là bạn phải có bộ định tuyến DD-WRT được kích hoạt Opkg.
    • Giả định / bắt buộc là bạn đã thực hiện các bước trong Hướng dẫn cách nhập vào mạng của bạn (DD-WRT).
    • Một số kiến ​​thức mạng được giả định.

    Chúng ta hãy nứt.

    Mặc định Chặn chặn các VPN mới Quy tắc của Ethernet trên DD-WRT

    Mặc dù đoạn mã dưới đây của mã Code, có lẽ nó sẽ hoạt động trên mọi, tự tôn trọng, sử dụng iptables, phân phối Linux / GNU, vì có rất nhiều biến thể ngoài đó, chúng tôi sẽ chỉ trình bày cách sử dụng nó trên DD-WRT. Không có gì ngăn cản bạn, nếu bạn muốn, thực hiện nó trực tiếp trên hộp VPN. Tuy nhiên, làm thế nào để làm như vậy, nằm ngoài phạm vi của hướng dẫn này.

    Bởi vì chúng tôi muốn tăng cường Tường lửa của bộ định tuyến, điều hợp lý là chúng tôi sẽ thêm vào tập lệnh Tường lửa Tường lửa. Làm như vậy, sẽ khiến lệnh iptables được thực thi mỗi khi tường lửa được làm mới và do đó giữ cho sự tăng cường của chúng ta ở đúng vị trí để giữ.

    Từ Web-GUI của DD-WRT:

    • Chuyển đến phần quản trị của người dùng -.
    • Nhập mã dưới đây mã vào các hộp văn bản:

      inline = "$ (iptables -L INPUT -n | grep -n" trạng thái LIÊN QUAN, THÀNH LẬP "| awk -F: 'print $ 1')"; nội tuyến = $ (($ nội tuyến-2 + 1)); iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP

    • Nhấp vào trên Save Save Firewall..
    • Làm xong.

    Lệnh Voodoo này là gì?

    Lệnh Ma thuật voodoo trên đây thực hiện như sau:

    • Tìm vị trí của dòng iptable cho phép truyền thông đã được thiết lập đi qua. Chúng tôi làm điều này, bởi vì A. Trên các bộ định tuyến DD-WRT, nếu dịch vụ VPN được bật, nó sẽ nằm ngay dưới dòng này và B. Mục tiêu của chúng tôi là tiếp tục cho phép các phiên VPN đã được thiết lập tồn tại sau khi sự kiện gõ cửa.
    • Trích hai (2) từ đầu ra của lệnh liệt kê để tính toán phần bù gây ra bởi các tiêu đề cột thông tin. Khi đã xong, thêm một (1) vào số trên, để quy tắc mà chúng tôi đang chèn sẽ xuất hiện ngay sau quy tắc cho phép giao tiếp đã được thiết lập. Tôi đã để lại vấn đề toán học rất đơn giản này ở đây, chỉ để làm cho logic của Tại sao người ta cần giảm một từ vị trí của quy tắc thay vì thêm một vào nó rõ ràng.

    Cấu hình KnockD

    Chúng ta cần tạo một chuỗi kích hoạt mới sẽ cho phép tạo các kết nối VPN mới. Để thực hiện việc này, hãy chỉnh sửa tệp knd.conf bằng cách phát hành trong một thiết bị đầu cuối:

    vi /opt/etc/knockd.conf

    Nối vào cấu hình hiện có:

    [bật-VPN]
    trình tự = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j CHẤP NHẬN
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp --dport 1723 -j CHẤP NHẬN

    Cấu hình này sẽ:

    • Đặt cửa sổ cơ hội để hoàn thành chuỗi, đến 60 giây. (Chúng tôi khuyên bạn nên giữ điều này càng ngắn càng tốt)
    • Nghe một chuỗi ba tiếng gõ trên các cổng 2, 1 và 2010 (thứ tự này có chủ ý để ném các máy quét cổng ra khỏi đường ray).
    • Khi trình tự đã được phát hiện, hãy thực hiện các start start_command. Lệnh iptables này sẽ đặt một lưu lượng truy cập được chấp nhận vào cổng 1723 từ nơi các tiếng gõ xuất phát từ trên đỉnh của các quy tắc tường lửa. (Chỉ thị% IP% được KnockD xử lý đặc biệt và được thay thế bằng IP của nguồn gốc gõ cửa).
    • Đợi trong 20 giây trước khi phát hành stop_command '.
    • Thực hiện lệnh dừng stop_command. Trường hợp này, lệnh iptables này thực hiện ngược lại ở trên và xóa quy tắc cho phép giao tiếp.
    Vậy đó, dịch vụ VPN của bạn giờ chỉ có thể kết nối được sau khi gõ thành công.

    Tác giảlời khuyên của

    Trong khi bạn nên đặt tất cả, có một vài điểm mà tôi cảm thấy cần đề cập đến.

    • Xử lý sự cố. Hãy nhớ rằng nếu bạn gặp sự cố, phân đoạn xử lý sự cố trên mạng ở cuối bài viết đầu tiên sẽ là điểm dừng đầu tiên của bạn.
    • Nếu bạn muốn, bạn có thể yêu cầu các lệnh bắt đầu / dừng của người Viking thực thi nhiều lệnh bằng cách tách chúng bằng dấu chấm phẩy (;) hoặc thậm chí là một tập lệnh. Làm như vậy sẽ cho phép bạn làm một số công việc tiện lợi. Ví dụ: tôi đã gõ cửa gửi cho tôi một * Email cho tôi biết rằng một chuỗi đã được kích hoạt và từ đâu.
    • Đừng quên rằng, Có một ứng dụng dành cho điều đó và mặc dù nó không được đề cập trong bài viết này, bạn được khuyến khích lấy chương trình gõ Android của StavFX.
    • Mặc dù về chủ đề Android, đừng quên rằng có một máy khách PPTP VPN thường được tích hợp trong HĐH từ nhà sản xuất.
    • Phương pháp, chặn một cái gì đó ban đầu và sau đó tiếp tục cho phép giao tiếp đã được thiết lập, có thể được sử dụng trên thực tế bất kỳ giao tiếp dựa trên TCP nào. Thực tế trong Knockd trên phim DD-WRT 1 ~ 6, tôi đã quay trở lại khi, tôi đã sử dụng giao thức máy tính để bàn từ xa (RDP) sử dụng cổng 3389 làm ví dụ.
    Lưu ý: Để thực hiện việc này, bạn sẽ cần có chức năng Email trên bộ định tuyến của mình, hiện tại thực sự không có chức năng nào hoạt động vì ảnh chụp nhanh SVN của các gói opkg của OpenWRT bị xáo trộn. Đó là lý do tại sao tôi khuyên bạn nên sử dụng gõ trực tiếp trên hộp VPN cho phép bạn sử dụng tất cả các tùy chọn gửi email có sẵn trong Linux / GNU, như SSMTP và sendEmail để đề cập đến một số.

    Ai làm phiền giấc ngủ của tôi?