Anasayfa » nasıl » Ağınıza Nasıl Girilir, Bölüm 2 VPN'inizi Koruyun (DD-WRT)

    Ağınıza Nasıl Girilir, Bölüm 2 VPN'inizi Koruyun (DD-WRT)

    Yönlendiricinizdeki “Port Knocking” ile WOL'u uzaktan nasıl tetikleyebileceğinizi gösterdik. Bu yazıda VPN hizmetini korumak için nasıl kullanılacağını göstereceğiz..

    Aviad Raviv & bfick tarafından görüntü.

    önsöz

    DD-WRT'nin VPN için yerleşik işlevini kullandıysanız veya ağınızda başka bir VPN sunucunuz varsa, bir vuruş sırasının arkasına saklayarak onu kaba kuvvet saldırılarına karşı koruyabilirsiniz. Bunu yaparak, ağınıza erişmeye çalışan script çocuklarını filtreleyeceksiniz. Bununla birlikte, önceki maddede de belirtildiği gibi, liman vurma iyi bir parola ve / veya güvenlik politikası yerine geçmez. Yeterince sabırla bir saldırganın diziyi keşfedebileceğini ve bir tekrarlama saldırısı gerçekleştirebileceğini unutmayın.
    Ayrıca, bunu uygulamanın olumsuzluğunun, herhangi bir VPN istemcisi / müşterileri bağlanmak istediklerinde, vurma sırasını tetiklemeleri gerekeceğini unutmayın. önceden ve diziyi herhangi bir nedenle tamamlayamazlarsa, VPN'i hiçbir zaman yapamayacakları anlamına gelir..

    genel bakış

    VPN hizmetini * korumak için, önce 1723'ün başlatıcı bağlantı noktasını engelleyerek olası tüm iletişimi devre dışı bırakacağız. Bu hedefe ulaşmak için iptables kullanacağız. Bunun nedeni, iletişimin genel olarak çoğu modern Linux / GNU dağıtımında ve özellikle de DD-WRT'de filtrelenmesidir. Eğer iptables hakkında daha fazla bilgi edinmek istiyorsanız, onun wiki girişini inceleyin ve konuyla ilgili önceki makalemize bakın. Hizmet bir kez korunduğunda, VPN başlatıcı bağlantı noktasını geçici olarak açacak ve önceden belirlenmiş VPN oturumunu bağlı tutarken belirli bir süre sonra otomatik olarak kapatacak bir çalma dizisi oluşturacağız.

    Not: Bu kılavuzda, PPTP VPN servisini örnek olarak kullanıyoruz. Bununla birlikte, aynı yöntem diğer VPN türleri için de kullanılabilir, engellenen bağlantı noktasını ve / veya iletişim türünü değiştirmeniz gerekir.

    Önkoşullar, Varsayımlar ve Öneriler

    • Opkg özellikli bir DD-WRT yönlendiriciniz olduğu varsayılır / istenir.
    • “Ağınıza Nasıl Girilir (DD-WRT)” kılavuzundaki adımları zaten uyguladığınız varsayılır / zorunludur..
    • Bazı ağ bilgisi varsayılır.

    Hadi çatlayalım.

    Varsayılan DD-WRT’de “Yeni VPN’leri engelle” kuralı

    Aşağıdaki “kod” pasajı muhtemelen Linux, GNU dağıtımını kullanan her, kendine saygı duyan iptables üzerinde çalışacaktır, çünkü orada çok fazla değişken var, sadece DD-WRT'de nasıl kullanılacağını göstereceğiz. İsterseniz, doğrudan VPN kutusuna uygulamaktan hiçbir şey sizi alıkoyamaz. Bununla birlikte, nasıl yapılır, bu kılavuzun kapsamı dışındadır.

    Yönelticinin Güvenlik Duvarını artırmak istediğimiz için, sadece “Güvenlik Duvarı” betiğine ekleyeceğimiz mantıklı bir şeydir. Bunu yapmak, güvenlik duvarının her yenilenişinde iptables komutunun çalıştırılmasına neden olur ve böylece artırımımızı tutar.

    DD-WRT'nin Web-GUI'sinden:

    • Git “Yönetim” -> “Komutlar”.
    • Metin kutusuna aşağıdaki “kodu” girin:

      inline = "$ (iptables -L INPUT -n | grep -n" durumu İLGİLİ, KURULDUĞU "| awk -F: '$ 1' yaz") "; içi = $ (($ inline 2 + 1)); iptables -I GİRİŞ "$ satır içi" -p tcp --dre 1723 -j DROP

    • “Güvenlik Duvarı Kaydet” e tıklayın.
    • tamam.

    Bu “Voodoo” komutu nedir??

    Yukarıdaki “voodoo magic” komutu aşağıdakileri yapar:

    • Halihazırda kurulmuş iletişimin üzerinden geçmesini sağlayan iptable hattının nerede olduğunu bulur. Bunu yapıyoruz, çünkü A. DD-WRT yönlendiricilerinde, VPN hizmeti etkinse, bu satırın hemen altında ve B'de bulunacaktır. Zaten kurulmuş olan VPN oturumlarının daha sonra yaşamasına izin vermeye devam etme hedefimiz için esastır. Knocking olayı.
    • Bilgi sütunu başlıklarının neden olduğu dengeyi hesaplamak için, listeleme komutunun çıktısından ikisini (2) keser. Bu yapıldıktan sonra, yukarıdaki sayıya bir (1) ekler, böylece eklediğimiz kural, önceden kurulmuş iletişime izin veren kuraldan hemen sonra gelir. Bu çok basit “matematik problemini” burada bıraktım, sadece “neden bir tanesini bir yere eklemek yerine neden onu kuraldan indirgemek zorunda” mantığını açıklamak için.

    KnockD yapılandırması

    Yeni VPN bağlantılarının oluşturulmasını sağlayacak yeni bir tetikleme sırası oluşturmamız gerekiyor. Bunu yapmak için, bir terminalde yayınlayarak knockd.conf dosyasını düzenleyin:

    vi /opt/etc/knockd.conf

    Mevcut yapılandırmaya ekle:

    [Etkinleştirmek-VPN]
    dizi = 02,02,02,01,01,01,2010,2010,2010
    seq_timeout = 60
    start_command = iptables -I GİRİŞ 1 -s% IP% -p tcp --dre 1723 -j KABUL
    cmd_timeout = 20
    stop_command = iptables -D GİRİŞ -s% IP% -p tcp --dest 1723 -j KABUL

    Bu yapılandırma:

    • Diziyi tamamlamak için fırsat penceresini 60 saniyeye ayarlayın. (Bunu mümkün olduğunca kısa tutmanız önerilir)
    • 2, 1 ve 2010 numaralı bağlantı noktalarında üç vuruş dizisini dinleyin (bu sıra, tarayıcıların izini sürmek için kasıtlı olarak verilir).
    • Dizi algılandıktan sonra “start_command” komutunu yürütün. Bu “iptables” komutu, güvenlik duvarı kurallarının en üstüne “kapıların geldiği yerden 1723 numaralı limana gönderilen trafiği kabul et” koyacaktır. (% IP% yönergesi özellikle KnockD tarafından işlenir ve darbelerin orijini IP ile değiştirilir).
    • “Stop_command” vermeden önce 20 saniye bekleyin.
    • “Stop_command” komutunu yürütün. Bu "iptables" komutunun yukarıdakilerin tersini yaptığı ve iletişime izin veren kuralı sildiği yer.
    Hepsi bu kadar, VPN servisiniz şimdi başarılı bir “vuruştan” sonra bağlanabilmelidir..

    Yazaripuçları

    Her şey yolunda olsa da, bahsetmem gerektiğini düşündüğüm birkaç nokta var..

    • Sorun giderme. Sorunlarınız varsa, ilk makalenin sonundaki “sorun giderme” bölümünün ilk durağınız olması gerektiğini unutmayın.
    • İsterseniz, “start / stop” yönergelerinin bir yarı-kod (;), hatta bir komut dosyası ile ayırarak birden fazla komut çalıştırmasını sağlayabilirsiniz. Bunu yapmak, bazı güzel şeyler yapmanızı sağlayacaktır. Örneğin, bana bir dizinin tetiklendiğini ve nereden gönderildiğini söyleyen bir * E-posta gönderdim..
    • “Bunun için bir uygulama var” olduğunu unutmayın ve bu makalede bahsedilmese de, StavFX'in Android tokmağı programını almaya teşvik edilirsiniz..
    • Android konusunda, üreticiden genellikle işletim sistemine yerleşik bir PPTP VPN istemcisi olduğunu unutmayın..
    • Başlangıçta bir şeyi engelleme ve daha sonra kurulmuş bir iletişime izin vermeye devam etme yöntemi, pratik olarak herhangi bir TCP tabanlı iletişimde kullanılabilir. Aslında DD-WRT 1 ~ 6 filmlerindeki Knockd filmlerinde, 3389 portunu kullanan uzak masaüstü protokolünü (RDP) kullandığımda geri döndüm..
    Not: Bunu yapmak için, yönlendiricinizde E-posta işlevini edinmeniz gerekir; bu, şu anda gerçekten çalışan bir tane değildir; çünkü OpenWRT'nin opkg paketlerinin SVN görüntüsü bozuktur. Bu yüzden doğrudan VPN kutusuna knockd kullanmanızı öneririm; bu, Linux / GNU’da mevcut olan SSMTP ve sendEmail gibi e-posta gönderme seçeneklerini kullanmanıza olanak sağlar..

    Kim Uykularımı Rahatsız Ediyor?

    Şifreniz Çevrimiçi Sızdıysa Nasıl Bilirsiniz?
    Dizüstü Bilgisayarınızın Pili Değiştirme Zamanı Ne Zaman Bilmeli
    Windows'ta Tüm Çalışan Programları Nasıl Hızlandırır veya Kapatır
    Sonraki makale
    Ağınıza Nasıl Girilir (DD-WRT)
    Önceki makale
    İPhone'unuzdaki Facebook Bağımlılığınızı Nasıl Kaybedersiniz?