Pilt Aviad Raviv & bfick.
Eessõna
Kui olete kasutanud VPN-i DD-WRT sisseehitatud funktsionaalsust või kui teil on oma võrgust teine VPN-server, võite hinnata võime seda kaitsta rütmisjõu rünnakute eest, varjates seda koputamiskoha taga. Seda tehes filtreerite välja skriptiketid, kes püüavad oma võrku pääseda. Nagu eespool öeldud, pole sadama koputamine hea parooli ja / või turvapoliitikat asendada. Pidage meeles, et piisavalt kannatlikkusega saab ründaja leida järjestuse ja teha replay rünnaku. Samuti pidage meeles, et selle rakendamise puuduseks on see, et kui mõni VPN-klient soovib ühendada, peaksid nad käivitama koputamiskordaeelnevalt ja kui nad ei saa mingil põhjusel järjestust täita, ei saa nad VPN-i üldse.
Ülevaade
Selleks, et kaitsta VPN-teenust, eemaldame esmalt kõik võimalikud kommunikatsioonid sellega, blokeerides 1723. a. Porti. Selle eesmärgi saavutamiseks kasutame iptablesit. Seda seetõttu, et kommunikatsioon filtreeritakse kõige kaasaegsemate Linuxi / GNU distributsioonide ja eelkõige DD-WRT-i puhul. Kui soovite iptablesi kohta lisateavet oma wiki sisestuse kohta, vaadake meie eelmist artiklit selle teema kohta. Kui teenus on kaitstud, loome kopeerimisjärjestuse, mis ajutiselt avab VPN-i instantierivat porti ja sulgeb selle automaatselt ka pärast määratud aja möödumist, säilitades samas juba loodud VPN-seansi.
Märkus. Selles juhendis kasutame näitena PPTP VPN-teenust. Sellest tulenevalt saab sama meetodit kasutada ka muude VPN-tüüpide puhul, peate lihtsalt muutma blokeeritud porti ja / või side tüübi.
Eeltingimused, oletused ja soovitused
- Eeldatakse / nõuti, et teil on Opkg-enabled DD-WRT ruuter.
- Eeldatakse / nõuti, et olete juba sooritanud juhendi "Kuidas proovida oma võrgustikku (DD-WRT)" samme.
- Eeldatakse mõningaid võrgustike teadmisi.
Võimaldab murda.
Vaikimisi DD-WRT-i reegli "Uute VPN-ide blokeerimine"
Kuigi alljärgnev koodipaketi tõenäoliselt töötab iga Linuxi / GNU distributsiooni puhul, mis iptablesi kasutades, sest seal on nii palju variante, näidatakse vaid seda, kuidas seda kasutada DD-WRT-is. Miski ei peata teid, kui soovite, selle rakendamisel otse VPN-i kasti. Kuid kuidas seda teha, ei kuulu selle juhendi ulatus.
Kuna me tahame tõsta ruuteri tulemüüri, on loogiline, et lisame tulemüüri skripti. Seda tehes peaks iptablesi käsk käivituma iga kord, kui tulemüüri värskendatakse, ning hoiab seejuures meie suurendamine paigal hoitud.
DD-WRT veebi-GUI-st:
-
Minge "Administration" -> "Käsud".
Image -
Sisestage allpool "kood" tekstikasti:
inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
- Klõpsake "Salvesta tulemüür".
- Valmis.
Mis on see käsk "Voodoo"?
Eespool kirjeldatud voodoo maagia käsk teeb järgmist:
- Leiab, kus on iptable liin, mis võimaldab juba loodud sidet läbida. Me teeme seda, sest A. DD-WRT-ruuteritel, kui VPN-teenus on lubatud, asetseb see just selle rea alla ja B. See on meie eesmärgiks jätkuvalt lubada juba loodud VPN-seansid pärast koputab sündmus.
- Väljub kaks (2) kirje käsku väljundist, et arvutada välja informatsiooni veerupäiste poolt põhjustatud nihe. Kui see on tehtud, lisab ülalolevale numbrile ühe (1), nii et reegel, mille me sisestame, läheneb kohe pärast reeglit, mis võimaldab juba loodud suhtlemist. Olen jätnud selle väga lihtsa matemaatika probleemi siia, lihtsalt selleks, et muuta loogika "miks tuleb üks reegli kohast vähendada, selle asemel, et seda ühele lisada" oleks selge.
KnockD konfiguratsioon
Peame looma uue vallandamisjärjestuse, mis võimaldab luua uusi VPN-ühendusi. Selleks redigeerige faili knockd.conf, väljastades terminali:
vi /opt/etc/knockd.conf
Olemasolevale seadistusele lisamine:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
See konfiguratsioon:
- Määrake jada lõpuleviimise aken 60 sekundiks. (Soovitatav on hoida seda nii lühikeseks kui võimalik)
- Kuulake kolme löögi järjestust sadamates 2, 1 ja 2010 (see järjekord on sihilik, et visata porti skannerid välja rajal).
- Kui jada on avastatud, käivitage käsk "start_command". See käsk "iptables" paneb tulemüüri reeglite ülaosale "vastuvõetava liikluse, mis on ette nähtud sadamasse 1723, kust see tuli tuli". (Direktiivi% IP% käsitleb spetsiaalselt KnockD-d ja see asendatakse IP-ga).
- Oota 20 sekundit enne "stop_command" väljastamist.
- Käivita stop_command. Kui see iptablesi käsk teeb ülaltoodud tagakülje ja kustutab kommunikatsiooni lubava reegli.
See on nii, et teie VPN-teenus peaks nüüd olema ühendatav ainult pärast edukat "koputamist".
Autor Oma näpunäited
Kuigi te peaksite olema kõik määratud, on paar asja, mida tunnen vajadust mainida.
- Tõrkeotsing. Pidage meeles, et kui teil on probleeme, peaks esimese peatüki lõpus asuv segment "tõrkeotsingu" olema esimene peatamine.
- Kui soovite, saate käivitada / käivitada mitmed käsklused, eraldades need poolkolonniga (;) või isegi skriptiga. See võimaldab teil teha mõnusat kraami. Näiteks mul on koputama saatke mulle * e-post, milles mulle öeldakse, et järjestus on käivitatud ja kust.
- Ärge unustage, et "Selle jaoks on olemas rakendus" ja isegi kui see pole selles artiklis mainitud, soovitatakse teil StavFXi Android-koputamise programmi haarata.
- Android-i teemal aga ärge unustage, et tootjalt OS-is tavaliselt on sisse ehitatud PPTP VPN-klient.
- Meetodit, mis blokeerib esialgu midagi ja seejärel jätkab juba loodud suhtlemist, saab kasutada peaaegu iga TCP-põhise kommunikatsiooni jaoks. Tegelikult olen DD-WRT-i 1 ~ 6 filmiga löönud, ma olen tagasi pöördunud, kui kasutasin kaugtöölaua protokolli (RDP), mis näitena kasutab porti 3389.
Märkus. Selleks peate oma ruuteris saama e-posti funktsionaalsuse, mille praeguseks tõesti ei ole see, mis töötab, kuna OpenWRT-i opkg-pakettide SVN-i hetkeseis on häiritud. Sellepärast ma soovitan otseselt VPN-i kasu tungivalt kasutada, mis võimaldab teil kasutada kõiki Linux / GNU-is saadaval olevaid e-kirjade saatmise võimalusi, näiteks SSMTP ja sendEmail, et mainida mõnda.
Kes häirib mu uinutamist?
