Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN (DD-WRT)

Turinys:

Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN (DD-WRT)
Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN (DD-WRT)

Video: Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN (DD-WRT)

Video: Kaip susikaupti į jūsų tinklą, 2 dalis. Apsaugokite savo VPN (DD-WRT)
Video: WOW! Amazing Crochet Daisy Flower Plant Pot! - YouTube 2024, Balandis
Anonim
Mes parodėme, kaip nuotoliniu būdu paleisti "WOL", naudodami "Port Knocking" savo maršrutizatoriuje. Šiame straipsnyje mes parodysime, kaip jį naudoti VPN paslaugos apsaugai.
Mes parodėme, kaip nuotoliniu būdu paleisti "WOL", naudodami "Port Knocking" savo maršrutizatoriuje. Šiame straipsnyje mes parodysime, kaip jį naudoti VPN paslaugos apsaugai.

Vaizdas, kurį pateikė Aviad Raviv & bfick.

Pratarmė

Jei naudojate "DD-WRT" integruotą VPN funkciją arba, jūsų tinkle turite kitą VPT serverį, galėtumėte suvokti gebėjimą jį apsaugoti nuo grubių jėgų išpuolių, slėpdami jį už paslėpimo seka. Tokiu būdu filtruosite scenarijų kiddies, bandančias pasiekti jūsų tinklą. Tai sakydamas, kaip nurodyta ankstesniame straipsnyje, uosto beldimas nėra gero slaptažodžio ir (arba) saugumo politikos pakeitimas. Atminkite, kad pakankamai kantriai užpuolikas gali atrasti seką ir atlikti atkūrimo ataką. Taip pat nepamirškite, kad šio įgyvendinimo nepakankamumas yra tas, kad kai bet kuris VPN klientas / -ai nori prisijungti, jie turėtų sukelti trankotą sekąiš anksto ir jei jie negalės užbaigti seka dėl kokios nors priežasties, jie visai negalės VPN.

Apžvalga

Siekiant apsaugoti * VPN paslaugą, mes pirmiausia išjungsime visą įmanomą ryšį su juo, užblokuojant 1723 m. Instancijos uostą. Norint pasiekti šį tikslą, mes naudosime iptables. Taip yra todėl, kad bendravimas yra filtruojamas daugelyje modernių Linux / GNU distribucijų apskritai ir ypač DD-WRT. Jei norite gauti daugiau informacijos apie "iptables", patikrinkite savo "wiki" įrašą ir pažiūrėkite į ankstesnį straipsnį apie temą. Kai paslauga bus apsaugota, mes sukursime pokalbio seką, kuri laikinai atidarys VPN instancijos prievadą, taip pat automatiškai uždarys ją po nustatytos trukmės, išlaikydama jau įtvirtintą VPN seansą.

Pastaba: šiame vadove kaip pavyzdys naudojame PPTP VPN paslaugą. Tai sakydamas, tas pats metodas gali būti naudojamas ir kitiems VPN tipams, jums reikės pakeisti blokuojamą prievadą ir / arba ryšio tipą.

Būtinos sąlygos, prielaidos ir rekomendacijos

  • Prielaida / reikalaujama, kad turite opkg įjungtą DD-WRT maršrutizatorių.
  • Prielaida / reikalaujama, kad jau atlikote žingsnius, pateiktus vadove "Kaip sugrįžti į jūsų tinklą (DD-WRT)".
  • Priimamos kai kurios žinių apie tinklus.

Leidžia sugriauti.

Numatytas "Blokuoti naujus VPN" taisyklę DD-WRT

Nors žemiau esančio "kodo" fragmento greičiausiai bus dirbti su visais, save gerbiančiais iptables naudojant "Linux / GNU" platinimą, nes čia yra tiek daug variantų, mes tik parodysime, kaip jį naudoti DD-WRT. Jei norite, tai nieko nedaro, jei norite jį įdiegti tiesiai VPN laukelyje. Tačiau, kaip tai padaryti, šis vadovas nėra taikomas.

Kadangi mes norime padidinti maršrutizatoriaus užkardą, logiška, kad mes pridėtume prie "Firewall" scenarijų. Tokiu atveju kiekvieną kartą, kai užkarda atnaujinama, vykdoma iptables komanda, taigi mūsų palaikymas bus išlaikytas.

Iš DD-WRT žiniatinklio GUI:

  • Eikite į "Administration" -> "Komandos".

    Image
    Image

  • Į teksto laukelį įveskite žemiau esantį kodą:

    inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
  • Spustelėkite "Išsaugoti ugniasienę".
  • Padaryta.

Kokia yra "Voodoo" komanda?

Aukščiau pateikta "voodoo magic" komanda atlieka šiuos veiksmus:

  • Randa, kur yra iptable linija, leidžianti jau sukurtą bendravimą praeiti. Mes tai darome, nes "A. On" DD-WRT maršrutizatoriuose, jei VPN paslauga įjungta, ji bus tiesiai žemiau šios linijos ir B. Svarbu, kad mūsų tikslas - toliau leisti jau sukurtas VPN sesijas gyventi po beldžiasi renginys.
  • Išskaičiuojamas du (2) iš sąrašo komandų išvesties, kad būtų galima apskaičiuoti kompensaciją, kurią sukelia informacijos stulpelių antraštės. Kai tai padaroma, pridedamas vienas (1) prie pirmiau nurodyto numerio, taigi taisyklė, kurią mes įtraukiame, pateks tiesiai po to, kai leidžiama jau sukurta bendravimas. Aš palikau čia labai paprastą "matematikos problemą" čia, tik norėdamas išaiškinti logiką "kodėl reikia mažinti vieną iš taisyklės vietos, o ne pridėti prie jos".

KnockD konfigūracija

Mums reikia sukurti naują paleidimo seką, kuri leistų sukurti naujus VPN jungtys. Norėdami tai padaryti, redaguokite failą "knockd.conf", išleidžiant į terminalą:

vi /opt/etc/knockd.conf

Pridėkite prie esamos konfigūracijos:

[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT

Ši konfigūracija bus:

  • Nustatykite lango galimybę užbaigti seką iki 60 sekundžių. (Rekomenduojama, kad tai būtų kuo trumpesni)
  • Klausykitės trijų smūgių seka 2, 1 ir 2010 m. Uostuose (šio užsakymo tikslas yra išmesti prievadų skaitytuvus nuo kelio).
  • Kai seka aptikta, paleiskite "start_command". Ši komanda "iptables" nustatys ugniasienės taisyklių viršuje esantį "priimtiną srautą, skirtą 1723 m. Uostui, iš kurio nukentėjo". (Direktorius% IP% yra specialiai apdorojamas "KnockD" ir pakeičiamas nukreipimo IP adresu).
  • Palaukite 20 sekundžių, kol neišduosite "stop_command".
  • Vykdyti "stop_command". Kur ši komanda "iptables" atlieka priešingą iš aukščiau nurodyto ir ištrina taisyklę, leidžiančią bendrauti.

Štai taip, jūsų VPN paslauga dabar gali būti prijungiama tik sėkmingai "trankydami".

Autorius 'S patarimai

Nors jums turėtų būti visi nustatyti, yra keletas dalykų, kuriuos manau, kad reikia paminėti.

  • Problemų sprendimas. Atminkite, kad jei turite problemų, pirmojo straipsnio pabaigoje segmentas "trikčių šalinimas" turėtų būti jūsų pirmasis sustojimas.
  • Jei norite, galite turėti "start / stop" direktyvas vykdyti kelias komandas atskirdami jas su pusiau koleno (;) ar net scenarijaus. Tokiu būdu galėsite atlikti keletą puikių dalykų. Pavyzdžiui, aš turiu pakliuvęs išsiųsti man * E-mail, kuriame sakoma, kad seka buvo suaktyvinta ir iš kur.
  • Nepamirškite, kad "yra tam skirta programa" ir net jei ji šiame straipsnyje nenurodyta, jums raginama patraukti "StavFX" "Android" pokalbių programą.
  • Nepaisydami "Android" temos, nepamirškite, kad iš gamintojo yra įtaisytas PPTP VPN klientas.
  • Pradinio ir kažko blokavimo metodas, leidžiantis leisti jau sukurtą ryšį, gali būti naudojamas beveik bet kokiam TCP pagrįstam ryšiui. Tiesą sakant, DD-WRT 1 ~ 6 filmuose "Knocked" aš padariau kelią atgal, kai aš naudoju nuotolinio darbalaukio protokolą (RDP), kuris naudoja uostą 3389 kaip pavyzdį.

Pastaba: norint tai padaryti, turėsite gauti el. Pašto funkciją savo maršrutizatoriuje, o šiuo metu iš tikrųjų tai nėra tas, kuris veikia, nes "OpenWRT" opkg paketų SVN momentinė nuotrauka yra neaiški. Štai kodėl aš siūlau naudoti iškvietą tiesiai VPN dėžutėje, kuri leidžia jums naudoti visas "Linux / GNU" el. Pašto siuntimo parinktis, pvz., SSMTP ir sendEmail, norėdami paminėti keletą.

Kas kenkia mano miegui?

Rekomenduojamas:

Kaip užblokuoti "Wi-Fi" tinklą savo "iPhone" ar "iPad"

Kaip užblokuoti "Wi-Fi" tinklą savo "iPhone" ar "iPad"

Pagal numatytuosius nustatymus "iOS" įrenginiai prisimena pastaruosius prisijungusius "Wi-Fi" tinklus ir ateityje bandys automatiškai prisijungti. Ši funkcija yra gana patogi daugeliu atvejų, tačiau kartais tai gali būti nepatogus dalykas. Laimei, "iOS" paprasta pamiršti konkrečius "Wi-Fi" tinklus.

"Wi-Fi Guard": apsaugokite ir apsaugokite "Wi-Fi" tinklą nuo nežinomų prietaisų

"Wi-Fi Guard": apsaugokite ir apsaugokite "Wi-Fi" tinklą nuo nežinomų prietaisų

"Wi-Fi Guard" yra nemokamas įrankis, kuris leidžia labai lengvai apsaugoti "Wi-Fi" tinklą. Jis visada praneša jums, kai prijungtas naujas įrenginys prie "Wi-Fi" tinklo

Apsaugokite ir apsaugokite "WordPress" svetainę nuo įsilaužėlių

Apsaugokite ir apsaugokite "WordPress" svetainę nuo įsilaužėlių

Praktiniai patarimai, kaip apsunkinti "WordPress" saugumą. Apsaugokite ir apsaugokite savo "WordPress" svetainę ar tinklaraštį nuo "Hakerių", naudodami šiuos papildinius ir pagrindinius naujokų patarimus.

"Opswat GEARS": apsaugokite savo tinklą nemokamai internete

"Opswat GEARS": apsaugokite savo tinklą nemokamai internete

"Opswat Gears" naudoja debesį, norėdamas apsaugoti jūsų tinklą internete. Perskaitykite apžvalgą, kad sužinotumėte, kaip aptikti pažeistus įrenginius su "GEARS" klientais "Windows".

Patarimai el. Pašto vartotojams: apsaugokite ir apsaugokite savo el. Pašto paskyrą

Patarimai el. Pašto vartotojams: apsaugokite ir apsaugokite savo el. Pašto paskyrą

Išbandykite šiuos paprastus patarimus dėl saugumo, kad padėtumėte apsaugoti save. Daugiausia dėmesio skiriama vartotojams, kurie naudoja "Outlook", bet dauguma šių patarimų gali būti perkelti į bet kurį norimą el. Pašto klientą.