Kā nobloķēt jūsu tīklā, 2.daļa: aizsargāt savu VPN (DD-WRT)

Esam parādījuši, kā jūs attālināti aktivizēt WOL ar "Port Knocking" savā maršrutētājā. Šajā rakstā mēs parādīsim, kā to izmantot, lai aizsargātu VPN pakalpojumu.

Aviad Raviv & bfick attēls.

Priekšvārds

Ja esat izmantojis DD-WRT iebūvēto funkcionalitāti VPN vai arī savā tīklā ir vēl viens VPN serveris, jūs varētu novērtēt spēju to aizsargāt no brutāla spēka uzbrukumiem, slēpjot to aiz izsaukuma virknes. Tādā veidā jūs filtrēsiet skriptu kiddies, kas mēģina piekļūt jūsu tīklam. Tas nozīmē, ka, kā norādīts iepriekšējā rakstā, ostas klauvēšana nav labas paroles un / vai drošības politikas aizstāšana. Vai atcerieties, ka ar pietiekamu pacietību uzbrucējs var atklāt secību un veikt atkārtotu uzbrukumu.
Paturiet prātā arī to, ka šīs ieviešanas negatīvie aspekti ir tādi, ka, ja kāds VPN klients / -i vēlas izveidot savienojumu, viņiem vajadzētu aktivizēt klauvēšanas secībuiepriekš un, ja viņi nevar pabeigt secību jebkāda iemesla dēļ, viņi VPN nevarēs piekļūt vispār.

Pārskats

Lai aizsargātu VPT pakalpojumu, mēs vispirms atspējosim visu iespējamo saziņu ar to, bloķējot 1723. gada instanci. Lai sasniegtu šo mērķi, mēs izmantosim iptables. Tas notiek tādēļ, ka saziņa tiek filtrēta lielākajā daļā mūsdienu Linux / GNU sadalījumu kopumā un it īpaši DD-WRT. Ja vēlaties iegūt vairāk informācijas par iptables izraksta savu wiki ierakstu un apskatīt mūsu iepriekšējo rakstu par šo tēmu. Pēc tam, kad pakalpojums būs aizsargāts, mēs izveidosim klauzulas secību, kas īslaicīgi atvērs VPN instanciējošo portu, kā arī automātiski aizvērsim to pēc konfigurēta laika, vienlaikus saglabājot jau izveidoto VPN sesiju.

Piezīme. Šajā rokasgrāmatā mēs izmantojam PPTP VPN pakalpojumu kā piemēru. Ar to teica, to pašu metodi var izmantot citiem VPN veidiem, jums vienkārši būs jāmaina bloķētais ports un / vai sakaru veids.

Priekšnoteikumi, pieņēmumi un ieteikumi

• Tiek pieņemts / pieprasīts, lai jums būtu Opcg iespējots DD-WRT maršrutētājs.
• Tiek pieņemts / pieprasīts, ka esat jau izpildījis soļus, kas sniegtas ceļvedī "Kā ieliec jūsu tīklā (DD-WRT)".
• Pieņemts, ka ir zināmas zināšanas par tīklu.

Ļaujiet sašķelties.

Noklusējums DD-WRT noteikums "Bloķēt jaunus VPN"

Kaut arī zemāk redzamais koda fragments visticamāk darbosies ar visiem cienīgiem, iptables, izmantojot Linux / GNU izplatīšanu, jo tur ir tik daudz variantu, mēs parādīsim tikai to, kā to izmantot DD-WRT. Nekas neaizkavē jūs, ja vēlaties, to īstenot tieši VPN lodziņā. Tomēr, kā to izdarīt, šī rokasgrāmata neattiecas.

Tā kā mēs vēlamies palielināt maršrutētāja ugunsmūri, ir loģiski, ka mēs pievienosim skriptu "Ugunsmūris". To darot, ikreiz, kad ugunsmūris tiek atsvaidzināta, tiek izpildīta iptables komanda, tādējādi saglabājot mūsu paplašināšanu.

No DD-WRT Web-GUI:

• Atveriet sadaļu "Administrēšana" -> "Komandas".
  
• Teksta lodziņā ievadiet zemāk redzamo kodu:
  

  inline = "$ (iptables-L INPUT -n | grep-n" statuss SAISTĪTS, IZVEIDOTA "| awk -F: 'print $ 1')"; inline = $ (($ inline-2 + 1)); iptables-I INPUT "$ inline" -p tcp --dport 1723 -j DROP

• Noklikšķiniet uz "Saglabāt ugunsmūri".
• Gatavs.

Kas ir šī komanda "Voodoo"?

Iepriekš minētā "voodoo magic" komanda veic sekojošo:

• Atrod, kur ir iptable līnija, kas ļauj jau izveidotajai komunikācijai iziet cauri. Mēs to darām, jo ​​A. uz DD-WRT maršrutētājiem, ja ir aktivizēts VPN pakalpojums, tas atrodas tieši zem šīs līnijas un B. Ir svarīgi, lai mēs turpinātu atļaut jau izveidotajiem VPN sesijas dzīvot pēc klauvējošs notikums.
• Tiek atskaitīti divi (2) saraksta komandu izvadi, lai norādītu informatīvo sleju galvenes izraisīto kompensāciju. Kad tas ir izdarīts, pievieno vienu (1) iepriekšminētajam skaitlim, lai mūsu ievietotais noteikums nonāktu tūlīt pēc noteikuma, kas pieļauj jau izveidotu saziņu. Es esmu atstājis šo ļoti vienkāršo "matemātikas problēmu" šeit, lai izveidotu loģiku "kāpēc vajadzētu samazināt vienu no noteikuma vietas, nevis pievienot tam vienu" skaidrs.

KnockD konfigurācija

Mums ir jāizveido jauna aktivizēšanas secība, kas ļaus izveidot jaunus VPN savienojumus. Lai to paveiktu, rediģējiet failu knockd.conf, izlaižot tajā termināli:

vi /opt/etc/knockd.conf

Pievienot esošai konfigurācijai:

[aktivizēt-VPN]
secība = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables-I INPUT 1 -s% IP% -p tcp -dport 1723 -j PIEŅEMT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -p tcp -dport 1723 -j ACCEPT

Šī konfigurācija:

• Iestatiet iespēju logu pabeigt secību līdz 60 sekundēm. (Ieteicams to saglabāt pēc iespējas īsāk).
• Klausieties trīs secīgu secību secību ostās 2, 1 un 2010 (šis pasūtījums ir apzināti mest ostas skenerus pie ceļa).
• Kad secība ir konstatēta, izpildiet "start_command". Šī komanda "iptables" izvietos ugunsmūra noteikumu augšpusē "pieņemt satiksmi, kas paredzēta 1723. gada ostam no kurienes notika ielaušanās". (Direktorija% IP% tiek īpaši apstrādāta ar KnockD un tiek aizstāta ar izsaukumu izcelsmes IP).
• Pagaidiet 20 sekundes pirms "stop_command" izsniegšanas.
• Izpildīt "stop_command".Ja šī komanda "iptables" veic iepriekšminēto reversu un dzēš noteikumu, kas ļauj sazināties.

Tas ir, jūsu VPN pakalpojums tagad ir savienojams tikai pēc veiksmīgas "klauvēšanas".

Autorspadomi

Kamēr jums vajadzētu būt visiem, ir daži punkti, kurus man šķiet, ka ir nepieciešams pieminēt.

• Problēmu novēršana. Atcerieties, ka, ja jums rodas problēmas, segmenta "traucējummeklēšana" pirmā raksta beigās ir jābūt pirmajai pieturvietai.
• Ja jūs vēlaties, varat izmantot "start / stop" direktīvu, izpildot vairākas komandas, atdalot tās ar semi-colen (;) vai pat skriptu. To darot, jūs varēsiet paveikt kādu jauku stuff. Piemēram, man ir knocked nosūtīt man * E-pasts stāsta man, ka secība ir aktivizēta un no kurienes.
• Neaizmirstiet, ka "tam ir lietojumprogramma", un pat ja tā nav minēta šajā rakstā, jūs esat ieteicams paķert StavFX Android ielaušanās programmu.
• Runājot par Android lietām, neaizmirstiet, ka no ražotāja parasti tiek iebūvēts PPTP VPN klients.
• Metode, sākotnēji bloķējot kaut ko un pēc tam turpinot atļaut jau izveidotu saziņu, var tikt izmantota praktiski jebkurai TCP balstītai saziņai. Patiesībā DD-WRT 1 ~ 6 filmas uzbrukumā esmu paveicis ceļu atpakaļ, kad esmu izmantojis attālās darbvirsmas protokolu (RDP), kas kā piemēru izmanto portu 3389.

Piezīme. Lai to paveiktu, maršrutētājā jums būs jāiegūst e-pasta funkcionalitāte, kas šobrīd patiešām patiešām nav tā, kas darbojas, jo OpenWRT opkg paketes SVN momentuzņēmums ir izkropļots. Tāpēc es iesaku izmantot klēpjdatoru tieši VPN lodziņā, kas ļauj jums izmantot visas iespējas, kā nosūtīt e-pastu, kas ir pieejami Linux / GNU, piemēram, SSMTP un sendEmail, lai pieminētu dažus.

Kas satricina manu miegu?