Pagrindinis » kaip » Kaip įjungti savo tinklą, 2 dalis Apsaugokite savo VPN (DD-WRT)

    Kaip įjungti savo tinklą, 2 dalis Apsaugokite savo VPN (DD-WRT)

    Mes parodėme, kaip paleisti WOL nuotoliniu būdu „Port Knocking“ savo maršrutizatoriuje. Šiame straipsnyje parodysime, kaip jį naudoti VPN paslaugai apsaugoti.

    Vaizdas pateikė Aviad Raviv & bfick.

    Pratarmė

    Jei naudojote „DD-WRT“ įdiegtą „VPN“ funkciją arba, jei tinkle yra kitas VPN serveris, galite įvertinti galimybę apsaugoti ją nuo brutalinių jėgų atakų, paslėpdami ją už „knock“ sekos. Tokiu būdu filtruosite scenarijų vaikus, kurie bando pasiekti jūsų tinklą. Taip sakant, kaip nurodyta ankstesniame straipsnyje, uosto iškrova nėra tinkamo slaptažodžio ir (arba) saugumo politikos pakeitimas. Nepamirškite, kad pakankamai kantrybės užpuolikas gali atrasti seką ir atlikti pakartotinį ataką.
    Taip pat turėkite omenyje, kad šio proceso įgyvendinimo trūkumas yra tas, kad kai VPN klientas (-ai) nori prisijungti, jie turėtų paleisti „knock“ seką iš anksto ir kad jei jie negalės užpildyti sekos dėl kokios nors priežasties, jie visai negalės VPN.

    Apžvalga

    Siekiant apsaugoti * VPN paslaugą, pirmiausia išjungsime visus galimus ryšius su juo, užblokuojant 1723 priverstinį prievadą. Šiam tikslui pasiekti naudosime „iptables“. Taip yra todėl, kad bendravimas yra filtruojamas labiausiai moderniuose Linux / GNU paskirstymuose apskritai ir ypač DD-WRT. Jei norite gauti daugiau informacijos apie „iptables“ checkout savo wiki įrašą ir pažvelgti į mūsų ankstesnį straipsnį šiuo klausimu. Kai paslauga bus apsaugota, mes sukursime sukabinimo seką, kuri laikinai atidarytų VPN momentinį prievadą ir automatiškai uždarys ją po sukonfigūruoto laiko, išlaikydama jau sukurtą VPN sesiją.

    Pastaba: Šiame vadove mes naudojame PPTP VPN paslaugą kaip pavyzdį. Tokiu atveju tas pats metodas gali būti naudojamas kitiems VPN tipams, todėl tiesiog turėsite pakeisti blokuojamą uostą ir (arba) ryšio tipą.

    Būtinos sąlygos, prielaidos ir rekomendacijos

    • Manoma, kad turite „Opkg“ įgalintą DD-WRT maršrutizatorių.
    • Daroma prielaida, kad jūs jau atlikote veiksmus, pateiktus „Kaip įjungti savo tinklą (DD-WRT)“ vadove.
    • Daroma prielaida, kad žinios apie tinklą yra tinkamos.

    Leidžiame įtrūkti.

    Numatytas „Blokuoti naują VPN“ taisyklę DD-WRT

    Nors žemiau pateiktas „kodo“ fragmentas greičiausiai veiktų kiekvienu, savigarba, „iptables“ naudojant „Linux“ / „GNU“ platinimą, nes ten yra tiek daug variantų, kad parodysime, kaip ją naudoti DD-WRT. Niekas neleidžia jums, jei norite, jį įgyvendinti tiesiogiai VPN laukelyje. Tačiau, kaip tai padaryti, nepatenka į šio vadovo taikymo sritį.

    Kadangi norime padidinti maršrutizatoriaus užkardą, tik logiška, kad pridėjome prie „Firewall“ scenarijaus. Tokiu būdu „iptables“ komanda būtų vykdoma kiekvieną kartą, kai atnaujinama ugniasienė ir taip išlaikysime papildymą, kad būtų išsaugotas.

    Iš DD-WRT Web-GUI:

    • Eikite į „Administravimas“ -> „Komandos“.
    • Į teksto laukelį įveskite toliau pateiktą kodą:

      inline = "$ (iptables -L INPUT -n | grep -n" būklė SUSIJUSI, ĮSTATYTI "| awk -F: 'print $ 1')"; inline = $ (($ inline-2 + 1)); iptables -I INPUT "$ inline" -p tcp --portas 1723 -j DROP

    • Spustelėkite „Išsaugoti užkardą“.
    • padaryta.

    Kas yra ši „Voodoo“ komanda?

    Pirmiau pateikta „voodoo magic“ komanda atlieka šiuos veiksmus:

    • Randa, kur yra iptable linija, leidžianti praeiti jau užmegztą ryšį. Tai darome, nes A. DD-WRT maršrutizatoriuose, jei VPN paslauga įjungta, ji bus nukreipta žemiau šios eilutės ir B. Svarbu, kad mūsų tikslas būtų toliau leisti jau sukurtoms VPN sesijoms gyventi po beldžiamasis įvykis.
    • Iš sąrašo komandos išvesties išskiria du (2), kad atsiskaitytų už informacinės stulpelio antraštės sukeltą kompensaciją. Kai tai bus padaryta, pirmiau nurodytam skaičiui pridedamas vienas (1), kad taisyklė, kurią įvedame, bus pateikta tik po taisyklės, kuri leidžia jau užmegztą ryšį. Aš palikau šią labai paprastą „matematikos problemą“, kad logika būtų „kodėl reikia sumažinti vieną iš taisyklės vietos, o ne pridėti vieną prie jos“.

    „KnockD“ konfigūracija

    Turime sukurti naują paleidimo seką, kuri leistų sukurti naujus VPN ryšius. Norėdami tai padaryti, redaguokite failą knockd.conf, išduodami terminale:

    vi /opt/etc/knockd.conf

    Pridėkite prie esamos konfigūracijos:

    [įgalinti-VPN]
    seka = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I INPUT 1 -s% IP% -p tcp --portas 1723 -j ACCEPT
    cmd_timeout = 20
    stop_command = iptables -D INPUT -s% IP% -p tcp --portas 1723 -j ACCEPT

    Ši konfigūracija:

    • Nustatykite galimybę užpildyti seką iki 60 sekundžių. (Rekomenduojama, kad tai būtų kuo trumpesnė)
    • Klausykitės trijų smūgių sekos 2, 1 ir 2010 prievaduose (šis užsakymas yra apgalvotas, norint išjungti skenerius nuo uostų).
    • Nustačius seką, vykdykite „start_command“. Ši „iptables“ komanda į „ugniasienės taisyklių“ viršutinę vietą įkelia „priimti srautą į 1723 uostą, iš kurio kilo smūgiai“. („% IP%“ direktyvą „KnockD“ apdoroja specialiai ir ji pakeičiama smūgių pradžios IP).
    • Palaukite 20 sekundžių prieš išduodant „stop_command“.
    • Vykdykite „stop_command“. Tais atvejais, kai ši „iptables“ komanda atlieka pirmiau minėtą ir panaikina taisyklę, leidžiančią komunikaciją.
    Štai kodėl jūsų VPN paslauga dabar turėtų būti sujungta tik po sėkmingo „knock“.

    Autoriuspatarimai

    Nors turėtumėte būti visi, reikia paminėti keletą dalykų.

    • Problemų sprendimas. Atminkite, kad jei kyla problemų, pirmosios straipsnio pabaigoje pateikiamas „trikčių šalinimo“ segmentas.
    • Jei norite, galite turėti „start / stop“ direktyvas, kurios atlieka kelias komandas, atskirdamos jas su pusiau colen (;) arba net scenarijumi. Tai leis jums atlikti tam tikrus dalykus. Pvz., Aš nusiuntiau man * el. Laišką, sakydamas, kad seka buvo suaktyvinta ir iš kur.
    • Nepamirškite, kad „Tai yra programa“, ir net jei ji nėra paminėta šiame straipsnyje, jūs esate raginami patraukti „StavFX“ „Android“ išjudinimo programą.
    • „Android“ klausimu nepamirškite, kad yra PPTP VPN klientas, paprastai pastatytas į OS iš gamintojo.
    • Būdas, kai kažką iš pradžių blokuojamas ir toliau leidžiama jau užmegzti ryšį, galima naudoti praktiškai bet kuriame TCP pagrindu. Tiesą sakant, „Dock-WRT“ 1 ~ 6 filmuose, aš padariau kelią atgal, kai naudoju nuotolinį darbalaukio protokolą (RDP), kuris kaip pavyzdį naudoja 3389 uostą..
    Pastaba: Kad tai padarytumėte, maršrutizatoriuje turėsite gauti el. Pašto funkciją, kuri šiuo metu tikrai neveikia, nes SVW „OpenWRT“ paketų fotografija yra nesuderinta. Štai kodėl aš siūlau naudoti „knockd“ tiesiai į VPN dėžutę, kuri leidžia naudoti visas el. Pašto siuntimo galimybes, kurias galima rasti „Linux / GNU“, pvz., SSMTP ir sendEmail, kad paminėtumėte keletą.

    Kas trukdo mano miego?