Cách gõ vào mạng của bạn, Phần 2: Bảo vệ VPN của bạn (DD-WRT)

Video: Cách gõ vào mạng của bạn, Phần 2: Bảo vệ VPN của bạn (DD-WRT)

Video: VIRUS l KHẮC PHỤC, SỬA LỖI USB BỊ NHIỄM VIRUS CHỈ HIỆN SHORTCUT 1KB - YouTube 2024, Tháng tư

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2023-12-17 11:02

Chúng tôi đã chỉ cho bạn cách kích hoạt WOL từ xa bằng “Port Knocking” trên bộ định tuyến của bạn. Trong bài này, chúng tôi sẽ giới thiệu cách sử dụng nó để bảo vệ dịch vụ VPN.

Hình ảnh của Aviad Raviv & bfick.

Lời nói đầu

Nếu bạn đã sử dụng chức năng tích hợp của DD-WRT cho VPN hoặc, có một máy chủ VPN khác trong mạng của bạn, bạn có thể đánh giá cao khả năng bảo vệ nó khỏi các cuộc tấn công bạo lực bằng cách ẩn nó sau một chuỗi gõ. Bằng cách này, bạn sẽ lọc ra các kiddies script đang cố gắng truy cập vào mạng của bạn. Như đã nói, như đã nêu trong bài viết trước, việc gõ cổng không phải là sự thay thế cho một mật khẩu và / hoặc chính sách bảo mật tốt. Hãy nhớ rằng với đủ kiên nhẫn một kẻ tấn công có thể phát hiện ra chuỗi và thực hiện một cuộc tấn công phát lại. Cũng nên nhớ rằng nhược điểm của việc thực hiện điều này là khi bất kỳ máy khách VPN nào muốn kết nối, chúng sẽ phải kích hoạt chuỗi gõtrước và nếu họ không thể hoàn thành chuỗi vì bất kỳ lý do nào, họ sẽ không thể hoàn toàn có VPN.

Tổng quan

Để bảo vệ * dịch vụ VPN đầu tiên chúng tôi sẽ vô hiệu hóa tất cả các giao tiếp có thể với nó bằng cách chặn cổng instantiating của 1723. Để đạt được mục tiêu này, chúng tôi sẽ sử dụng iptables. Điều này là do, đó là cách giao tiếp được lọc trên hầu hết các bản phân phối Linux / GNU hiện đại nói chung và trên DD-WRT nói riêng. Nếu bạn muốn biết thêm thông tin về iptables, hãy kiểm tra mục nhập wiki của nó và xem bài viết trước của chúng tôi về chủ đề này. Khi dịch vụ được bảo vệ, chúng ta sẽ tạo một chuỗi gõ tạm thời mở cổng khởi tạo VPN và cũng tự động đóng nó sau một khoảng thời gian đã định cấu hình, trong khi vẫn giữ kết nối phiên VPN đã được thiết lập.

Lưu ý: Trong hướng dẫn này, chúng tôi đang sử dụng dịch vụ VPN PPTP làm ví dụ. Như đã nói, phương pháp tương tự có thể được sử dụng cho các loại VPN khác, bạn sẽ chỉ phải thay đổi cổng và / hoặc loại giao tiếp bị chặn.

Điều kiện tiên quyết, giả định và đề xuất

Giả sử / yêu cầu bạn có bộ định tuyến DD-WRT được kích hoạt Opkg.
Nó được giả định / yêu cầu rằng bạn đã thực hiện các bước trong hướng dẫn “Cách đánh vào mạng của bạn (DD-WRT)”.
Một số kiến thức mạng được giả định.

Chúng ta hãy nứt.

Mặc định Quy tắc “Chặn VPN mới” trên DD-WRT

Trong khi đoạn mã “mã” bên dưới có thể hoạt động trên mọi thứ, tự tôn trọng, iptables bằng cách sử dụng, phân phối Linux / GNU, bởi vì có quá nhiều biến thể, chúng tôi sẽ chỉ hiển thị cách sử dụng nó trên DD-WRT. Không có gì ngăn bạn, nếu bạn muốn, từ việc thực hiện nó trực tiếp trên hộp VPN. Tuy nhiên, làm thế nào để làm như vậy, nằm ngoài phạm vi của hướng dẫn này.

Bởi vì chúng tôi muốn tăng cường Firewall của bộ định tuyến, nó chỉ hợp lý mà chúng tôi sẽ thêm vào kịch bản "Tường lửa". Làm như vậy, sẽ làm cho lệnh iptables được thực hiện mỗi lần tường lửa được làm mới và do đó giữ cho tăng cường của chúng tôi tại chỗ để giữ.

Từ GUI-DDRT của DD-WRT:

Chuyển đến “Quản trị” -> “Lệnh”.

Image
Nhập "mã" bên dưới vào hộp văn bản:
inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
Nhấp vào “Lưu Tường lửa”.
Làm xong.

Lệnh “Voodoo” này là gì?

Lệnh “voodoo magic” ở trên thực hiện như sau:

Tìm đường dây iptable cho phép giao tiếp đã được thiết lập để đi qua đâu. Chúng tôi làm điều này, bởi vì A. Trên các bộ định tuyến DD-WRT, nếu dịch vụ VPN được kích hoạt, nó sẽ nằm ngay bên dưới dòng này và B. Điều quan trọng là mục tiêu của chúng tôi là tiếp tục cho phép các phiên VPN được thiết lập để tồn tại sau sự kiện gõ cửa.
Khấu trừ hai (2) từ đầu ra của lệnh liệt kê để tính toán khoản bù đắp do các tiêu đề cột thông tin gây ra. Khi đã xong, hãy thêm một (1) vào số trên, để quy tắc mà chúng tôi đang chèn sẽ đến ngay sau quy tắc cho phép liên lạc đã được thiết lập. Tôi đã để lại "vấn đề toán học" rất đơn giản ở đây, chỉ để làm cho logic của "lý do tại sao người ta cần phải giảm một từ vị trí của quy tắc thay vì thêm một cái vào nó" rõ ràng.

Cấu hình KnockD

Chúng ta cần tạo một trình tự kích hoạt mới để cho phép tạo các kết nối VPN mới. Để thực hiện việc này, hãy chỉnh sửa tệp knockd.conf bằng cách phát hành trong một thiết bị đầu cuối:


vi /opt/etc/knockd.conf

Nối vào cấu hình hiện có:


[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT

Cấu hình này sẽ:

Đặt cửa sổ cơ hội để hoàn thành chuỗi, trong 60 giây. (Bạn nên giữ điều này càng ngắn càng tốt)
Nghe một chuỗi ba lần gõ trên cổng 2, 1 và 2010 (thứ tự này là cố tình để ném các máy quét cổng theo dõi).
Khi chuỗi đã được phát hiện, hãy thực thi “start_command”. Lệnh "iptables" này sẽ đặt "chấp nhận lưu lượng truy cập đến cổng 1723 từ nơi các nút đến từ" trên đầu các quy tắc tường lửa. (Chỉ thị% IP% được xử lý đặc biệt bởi KnockD và được thay thế bằng IP của xuất xứ gõ).
Đợi 20 giây trước khi phát hành “stop_command”.
Thực thi “stop_command”. Trong trường hợp lệnh "iptables" này làm ngược lại ở trên và xóa quy tắc cho phép giao tiếp.

Đó là nó, dịch vụ VPN của bạn bây giờ sẽ được kết nối chỉ sau khi một "knock" thành công.

Tác giả Mẹo của

Trong khi bạn nên được tất cả các thiết lập, có một vài điểm mà tôi cảm thấy cần phải đề cập đến.

Xử lý sự cố. Hãy nhớ rằng nếu bạn gặp sự cố, phân đoạn "khắc phục sự cố" ở cuối bài viết đầu tiên phải là điểm dừng đầu tiên của bạn.
Nếu bạn muốn, bạn có thể có chỉ thị “start / stop” thực hiện nhiều lệnh bằng cách tách chúng bằng một dấu chấm phẩy (;) hoặc thậm chí là một tập lệnh. Làm như vậy sẽ cho phép bạn làm một số công cụ tiện lợi. Ví dụ, tôi có knockd gửi cho tôi một * Email nói với tôi rằng một chuỗi đã được kích hoạt và từ đâu.
Đừng quên rằng "Có một ứng dụng cho điều đó" và mặc dù nó không được đề cập trong bài viết này, bạn được khuyến khích để lấy chương trình gõ Android của StavFX.
Trong khi về chủ đề của Android, đừng quên rằng có một ứng dụng khách PPTP VPN thường được tích hợp vào hệ điều hành từ nhà sản xuất.
Phương pháp, chặn một cái gì đó ban đầu và sau đó tiếp tục cho phép truyền thông đã được thiết lập, có thể được sử dụng trên thực tế bất kỳ giao tiếp dựa trên TCP nào. Trong thực tế trong Knockd trên DD-WRT 1 ~ 6 phim, tôi đã quay trở lại khi nào, tôi đã sử dụng giao thức máy tính từ xa (RDP) sử dụng cổng 3389 làm ví dụ.

Lưu ý: Để thực hiện việc này, bạn sẽ cần phải nhận chức năng Email trên bộ định tuyến của mình, hiện tại không có chức năng nào hoạt động vì ảnh chụp SVN của gói Opkg của OpenWRT bị lộn xộn. Đó là lý do tại sao tôi đề nghị sử dụng gõ trực tiếp trên hộp VPN cho phép bạn sử dụng tất cả các tùy chọn gửi email có sẵn trong Linux / GNU, như SSMTP và sendEmail để đề cập đến một vài.

Ai làm rối loạn giấc ngủ của tôi?