Начална » как да » Как да чукаш в мрежата си, част 2 Защити своя VPN (DD-WRT)

    Как да чукаш в мрежата си, част 2 Защити своя VPN (DD-WRT)

    Ние ви показахме как да задействате WOL дистанционно от „Port Knocking” на вашия рутер. В тази статия ще покажем как да я използваме за защита на VPN услуга.

    Изображение от Aviad Raviv & bfick.

    предговор

    Ако сте използвали вградена функционалност на DD-WRT за VPN, или имате друг VPN сървър в мрежата си, може да оцените способността да я защитите от груби атаки, като ги скриете зад поредицата. По този начин ще филтрирате скриптовете, които се опитват да получат достъп до вашата мрежа. С това каза, както е посочено в предишната статия, чукането на портове не е заместител на добра парола и / или политика за сигурност. Не забравяйте, че с достатъчно търпение хакерът може да открие последователността и да извърши атака за преиграване.
    Също така имайте предвид, че недостатъкът на това е, че когато някой VPN клиент / и искат да се свържат, ще трябва да задействат последователността на нокаутите. предварително и ако не успеят да завършат последователността по някаква причина, те изобщо няма да могат да VPN.

    Преглед

    За да защитим * VPN услугата, първо ще деактивираме всяка възможна комуникация с нея, като блокираме пристанището за създаване на 1723. За да постигнем тази цел, ще използваме iptables. Това е така, защото така се филтрира комуникацията на повечето модерни Linux / GNU дистрибуции като цяло и по-специално на DD-WRT. Ако искате повече информация за iptables, проверете неговото уики влизане и погледнете предишната ни статия по темата. След като услугата е защитена, ние ще създадем последователност на детонация, която временно ще отвори VPN инстанцииращия порт и автоматично ще я затвори след конфигуриран период от време, като същевременно поддържа свързаната вече VPN сесия.

    Забележка: В това ръководство ние използваме PPTP VPN услуга като пример. С това каза, същият метод може да се използва и за други типове VPN, просто ще трябва да промените блокирания порт и / или типа на комуникацията.

    Предпоставки, предположения и препоръки

    • Предполага се, че е необходим маршрутизатор DD-WRT с активиран Opkg.
    • Предполага се, че вече сте изпълнили стъпките в ръководството „Как да чукаш в мрежата си (DD-WRT)“..
    • Предполага се, че има известни мрежови знания.

    Да получим крекинг.

    По подразбиране „Блокирай новите VPN“ правилото за DD-WRT

    Докато по-долу откъс от "код" вероятно ще работи на всеки, уважаващ себе си, iptables използване, Linux / GNU дистрибуция, защото има толкова много варианти там ще покажем само как да го използваме на DD-WRT. Нищо не ви спира, ако желаете, да я внедрите директно в VPN кутията. Но как да направите това е извън обхвата на това ръководство.

    Тъй като искаме да разширим защитната стена на рутера, това е логично, че ще добавим скрипта „Защитна стена“. Това би накарало командата iptables да се изпълнява всеки път, когато защитната стена се обнови и по този начин да се запази нашето разширение за запазване.

    От уеб-графичния интерфейс на DD-WRT:

    • Отидете в „Администрация“ -> „Команди“.
    • Въведете долния „код“ в текстовото поле:

      inline = "$ (iptables -L INPUT -n | grep -n" състояние RELATED, ESTABLISHED "| awk -F: 'print $ 1')"; Пътека = $ (($ вградени-2 + 1)); iptables -I ВХОД "$ inline" -p tcp --dport 1723 -j DROP

    • Кликнете върху „Запазване на защитната стена“.
    • Свършен.

    Каква е тази команда „Вуду“?

    Горната команда "вуду магия" прави следното:

    • Намира къде е iptable линията, която позволява на вече установената комуникация да премине. Ние правим това, защото А. На маршрутизаторите DD-WRT, ако VPN услугата е активирана, тя ще бъде разположена точно под тази линия и Б. Важна е целта ни да продължим да позволяваме на вече установените VPN сесии да живеят след чукане.
    • Отнема две (2) от изхода на командата за обява, за да отчете компенсирането, причинено от заглавията на информационната колона. След като направите това, добавя един (1) към горния номер, така че правилото, което вмъкваме, ще дойде веднага след правилото, което позволява вече установена комуникация. Оставих този много прост „математически проблем“ тук, само за да направя логиката на „защо човек трябва да намали мястото от мястото на правилото, вместо да го добавя към него“..

    KnockD конфигурация

    Трябва да създадем нова задействаща последователност, която ще позволи създаването на нови VPN връзки. За да направите това, редактирайте файла knockd.conf чрез издаване в терминал:

    vi /opt/etc/knockd.conf

    Добавете към съществуващата конфигурация:

    [Позволи-VPN]
    последователност = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j ACCEPT
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp --dport 1723 -j ACCEPT

    Тази конфигурация ще:

    • Задайте прозореца на възможността да завършите последователността до 60 секунди. (Препоръчително е да запазите това възможно най-кратко)
    • Слушайте поредица от три удара в пристанища 2, 1 и 2010 (тази поръчка е умишлена, за да се прехвърлят скенери за портове).
    • След като бъде открита последователността, изпълнете командата “start_command”. Тази команда "iptables" ще постави "приемане на трафик, предназначен за порт 1723, откъдето идват ударите" на върха на правилата на защитната стена. (Директивата% IP% се третира специално от KnockD и се заменя с ПР на произхода на ударите).
    • Изчакайте 20 секунди, преди да издадете „stop_command“.
    • Изпълнете командата "stop_command". Когато тази команда "iptables" прави обратното на горното и изтрива правилото, което позволява комуникация.
    Това е, вашата VPN услуга сега трябва да може да се свързва само след успешен „удар“.

    авторСъвети

    Макар че трябва да сте готови, има няколко точки, които смятам, че трябва да споменем.

    • Отстраняване на проблеми. Не забравяйте, че ако имате проблеми, сегментът „отстраняване на неизправности“ в края на първата статия трябва да бъде първата ви спирка.
    • Ако искате, можете да направите директивите за старт / стоп да изпълняват множество команди, като ги разделите с полуколен (;) или дори скрипт. Това ще ви позволи да направите някои елегантни неща. Например, аз съм чукал да ми изпратите * имейл, който ми казва, че е била задействана последователност и от къде.
    • Не забравяйте, че „има приложение за това” и въпреки че не е споменато в тази статия, вие се насърчавате да вземете програмата на Android на knocker на StavFX..
    • Докато става въпрос за Android, не забравяйте, че има PPTP VPN клиент, който обикновено е вграден в операционната система от производителя.
    • Методът за блокиране на нещо първоначално и след това продължаване на разрешаването на вече установена комуникация може да се използва на практически всяка комуникация, базирана на TCP. Всъщност в Knockd на DD-WRT 1 ~ 6 филми, аз съм се върнал назад, когато използвах протокола за отдалечен работен плот (RDP), който използва порт 3389 като пример.
    Забележка: За да направите това, ще трябва да получите функционалност за имейл на вашия рутер, който в момента наистина не е такъв, който работи, защото SVN моментната снимка на opkg пакетите на OpenWRT е в безпорядък. Ето защо предлагам да използвате knockd директно на VPN кутията, която ви позволява да използвате всички опции за изпращане на имейли, които са налични в Linux / GNU, като SSMTP и sendEmail, за да споменете няколко..

    Кой нарушава съня ми?