¿Alguna vez ha querido tener ese "golpe de dormitorio" especial con su enrutador, para que solo "abra la puerta" cuando se haya reconocido el golpe secreto? How-To Geek explica cómo instalar el demonio Knock en DD-WRT.
Imagen de Bfick y Aviad Raviv
Si aún no lo ha hecho, asegúrese de consultar los artículos anteriores de la serie:
- Convierta su enrutador doméstico en un enrutador súper potente con DD-WRT
- Cómo instalar software adicional en su enrutador doméstico (DD-WRT)
- Cómo eliminar anuncios con Pixelserv en DD-WRT
Suponiendo que esté familiarizado con esos temas, siga leyendo. Tenga en cuenta que esta guía es un poco más técnica, y los principiantes deben tener cuidado al modificar su enrutador.
Visión de conjunto
Tradicionalmente, para poder comunicarse con un dispositivo / servicio, uno tendría que iniciar un completo conexión de red con él. Sin embargo, hacerlo expone, lo que se llama en la era de la seguridad, una superficie de ataque. El demonio Knock es una especie de rastreador de red que puede reaccionar cuando se observa una secuencia preconfigurada. Como un no es necesario establecer la conexión Para que el demonio knock reconozca una secuencia configurada, la superficie de ataque se reduce manteniendo la funcionalidad deseada. En cierto sentido, acondicionaremos previamente el enrutador con un deseado “ dos bits ”Respuesta (a diferencia del pobre Roger…).
En este artículo vamos a:
- Muestre cómo usar Knockd para tener el enrutador Activación de la LAN una computadora en su red local.
- Muestre cómo activar la secuencia Knock desde un Aplicación para Android , así como una computadora.
Nota: si bien las instrucciones de instalación ya no son relevantes, puede ver la serie de películas He creado "hace mucho tiempo", para ver el resumen completo de configurar para golpear. (Solo disculpe la cruda presentación).
Implicaciones de seguridad
La discusión sobre " que tan seguro es Knockd ?”, es largo y fechas hace muchos milenios (en años de Internet) pero la conclusión es la siguiente:
Knock es una capa de seguridad por oscuridad, que solo debe usarse para mejorar otros medios como el cifrado y no debe utilizarse por sí solo como un fin, todos son una medida de seguridad.
Requisitos previos, supuestos y recomendaciones
- Se supone que tiene un Enrutador DD-WRT habilitado para Opkg .
- Un poco de paciencia, ya que esto puede tardar "un poco" en configurarse.
- Es muy recomendable que obtenga un Cuenta DDNS para su IP externa (generalmente dinámica).
Pongamos manos a la obra
Instalación y configuración básica
Instale el demonio Knock abriendo una terminal al enrutador y emitiendo:
actualización de opkg; opkg instalar knockd
Ahora que Knockd está instalado, debemos configurar las secuencias de activación y los comandos que se ejecutarán una vez que se activen. Para hacer esto, abra el archivo "knockd.conf" en un editor de texto. En el enrutador, esto sería:
vi /opt/etc/knockd.conf
Haga que su contenido se vea así:
[options]
logfile = /var/log/knockd.log
UseSyslog
[wakelaptop]
secuencia = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
comando = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = sincronizar
Vamos a explicar lo anterior:
- El segmento de "opciones" permite configurar parámetros globales para el demonio. En este ejemplo, le hemos ordenado al demonio que mantenga un registro tanto en el syslog como en un archivo . Si bien no perjudica el uso de ambas opciones en conjunto, debe considerar mantener solo una de ellas.
-
El segmento "wakelaptop" es un ejemplo de una secuencia que activará el comando WOL en su LAN para una computadora con la dirección MAC aa: bb: cc: dd: ee: 22.
Nota: El comando anterior asume el comportamiento predeterminado de tener una subred de clase C.
Para agregar más secuencias, simplemente copie y pegue el segmento "wakelaptop" y ajústelo con los nuevos parámetros y / o comandos que ejecutará el enrutador.
Puesta en marcha
Para que el enrutador invoque el demonio al inicio, agregue lo siguiente al script "geek-init" de la Guía OPKG :
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Esto iniciará el demonio Knock en la interfaz "WAN" de su enrutador, para que escuche los paquetes de Internet.
Golpea desde Android
En la era de la portabilidad, es casi imperativo "tener una aplicación para eso" ... así que
StavFX
creado uno para la tarea :)
Esta aplicación realiza las secuencias de golpes directamente desde su dispositivo Android y admite la creación de widgets en sus pantallas de inicio.
- Instala el Aplicación de aldaba del mercado de Android (también sea amable y déle una buena calificación).
-
Una vez instalado en su dispositivo, ejecútelo. Debería ser recibido por algo como:
-
Puede mantener presionado el icono de ejemplo para editarlo o hacer clic en "menú" para agregar una nueva entrada. Una nueva entrada se vería así:
-
Agregue líneas y complete la información requerida para su Knocking. Para la configuración de WOL de ejemplo de arriba, esto sería:
- Opcionalmente, cambie el icono manteniendo presionado el icono junto al nombre de Knock.
- Ahorre el golpe.
- Toque una vez el nuevo Knock en la pantalla principal para activarlo.
- Opcionalmente crear un widget para ello en una pantalla de inicio.
Tenga en cuenta que si bien configuramos el archivo de configuración de ejemplo con grupos de 3 para cada puerto (debido a la sección Telnet a continuación), con esta aplicación no hay restricción en la cantidad de repeticiones (si es que hay alguna) para un puerto.
Diviértete usando la aplicación que
StavFX
ha donado :-)
Golpe desde Windows / Linux
Si bien es posible realizar Knocking con la utilidad de red más simple, también conocida como "Telnet", Microsoft ha decidido que Telnet es un "riesgo de seguridad" y, por lo tanto, ya no lo instala de forma predeterminada en las ventanas modernas. Si me preguntas “Aquellos que pueden renunciar a la libertad esencial para obtener un poco de seguridad temporal, no merecen ni libertad ni seguridad. ~ Benjamin Franklin ”pero estoy divagando.
La razón por la que configuramos la secuencia de ejemplo en grupos de 3 para cada puerto es que cuando telnet no puede conectarse al puerto deseado, lo intentará automáticamente 2 veces más. Esto significa que telnet tocará 3 veces antes de darse por vencido. Entonces, todo lo que tenemos que hacer es ejecutar el comando telnet una vez para cada puerto en el grupo de puertos. También es la razón por la que se ha seleccionado un intervalo de tiempo de espera de 30 segundos, ya que tenemos que esperar el tiempo de espera de telnet para cada puerto hasta que ejecutemos el siguiente grupo de puertos. Se recomienda que cuando haya terminado con la fase de prueba, que automatice este procedimiento con un simple Lote / Intento guión.
Usando nuestra secuencia de ejemplo, esto se vería así:
- Si usa Windows, siga las Instrucciones de MS para instalar Telnet .
-
Vaya a una línea de comando y emita:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Si todo salió bien, debería ser así.
Solución de problemas
Si su enrutador no reacciona a las secuencias, aquí hay un par de pasos de solución de problemas que puede seguir:
-
Ver el registro: Knockd mantendrá un registro que puede ver en tiempo real para ver si las secuencias de detonación han llegado al demonio y si el comando se ha ejecutado correctamente.
Suponiendo que al menos está utilizando el archivo de registro como en el ejemplo anterior, para verlo en tiempo real, emita en una terminal:
