Sådan banker du ind på dit netværk, del 2: Beskyt din VPN (DD-WRT)

Sep 11, 2025
Privatliv og sikkerhed
UCACHED INDHOLD

Vi har vist dig hvordan man udløser WOL eksternt ved "Port Knocking" på din router . I denne artikel vil vi vise, hvordan du bruger den til at beskytte en VPN-tjeneste.

Billede af Aviad Raviv & bfick .

Forord

Hvis du har brugt DD-WRT indbygget funktionalitet til VPN eller have en anden VPN-server i dit netværk vil du muligvis sætte pris på muligheden for at beskytte det mod brutale kraftangreb ved at gemme det bag en banesekvens. Ved at gøre dette filtrerer du de script-kiddies, der prøver at få adgang til dit netværk. Med det sagt, som anført i den foregående artikel, er havnedannelse ikke en erstatning for en god adgangskode og / eller sikkerhedspolitik. Husk, at med tilstrækkelig tålmodighed kan en angriber opdage sekvensen og udføre et gentagelsesangreb.
Husk også, at ulempen ved at implementere dette er, at når en VPN-klient / VPN ønsker at oprette forbindelse, bliver de nødt til at udløse knock-sekvensen på forhånd og at hvis de af en eller anden grund ikke kan fuldføre sekvensen, vil de slet ikke være i stand til at VPN.

Oversigt

For at beskytte * VPN-tjenesten vil vi først deaktivere al mulig kommunikation med den ved at blokere den instantiserende port fra 1723. For at nå dette mål bruger vi iptables. Dette skyldes, at sådan filtreres kommunikation på de fleste moderne Linux / GNU-distributioner generelt og på DD-WRT i særdeleshed. Hvis du vil have flere oplysninger om iptables, kan du tjekke det wiki-indgang , og se på vores tidligere artikel på emnet. Når tjenesten er beskyttet, opretter vi en banesekvens, der midlertidigt åbner VPN-instantieringsporten og også automatisk lukker den efter et konfigureret tidsrum, samtidig med at den allerede etablerede VPN-session er forbundet.

Bemærk: I denne vejledning bruger vi PPTP VPN-tjenesten som et eksempel. Når det er sagt, kan den samme metode bruges til andre VPN-typer, du bliver bare nødt til at ændre den blokerede port og / eller kommunikationstype.

Forudsætninger, antagelser og anbefalinger

Lad os revne.

Standard "Bloker nye VPN'er" -regel på DD-WRT

Mens nedenstående uddrag af "kode" sandsynligvis fungerer på alle, selvrespekterende, iptables, der bruger Linux / GNU-distribution, fordi der er så mange varianter derude, viser vi kun, hvordan man bruger det på DD-WRT. Intet forhindrer dig i at implementere det direkte på VPN-boksen, hvis du ønsker det. Men hvordan man gør det, ligger uden for denne vejlednings anvendelsesområde.

Fordi vi ønsker at udvide routerens Firewall, er det kun logisk, at vi tilføjer til "Firewall" -skriptet. Hvis du gør det, vil kommandoen iptables blive udført hver gang firewallen opdateres og dermed holde vores udvidelse på plads til at holde.

Fra DD-WRT Web-GUI:

  • Gå til "Administration" -> "Kommandoer".
  • Indtast nedenstående "kode" i tekstboksen:

    inline = "$ (iptables -L INPUT -n | grep -n" state RELATED, ESTABLISHED "| awk -F: {'print $1'})"; inline = $ (($ inline-2 + 1)); iptables -Jeg indtaster "$ inline" -p tcp --dport 1723 -j DROP

  • Klik på "Gem firewall".
  • Færdig.

Hvad er denne "Voodoo" -kommando?

Ovenstående “voodoo magic” -kommando gør følgende:

  • Finder hvor er den iptable linje, der gør det muligt for allerede etableret kommunikation at passere. Vi gør dette, fordi A. Hvis VPN-tjenesten er aktiveret på DD-WRT-routere, vil den være placeret lige under denne linje og B. Det er vigtigt for vores mål at fortsætte med at tillade allerede etablerede VPN-sessioner at leve videre efter banke begivenhed.
  • Trækker to (2) fra output fra listekommandoen for at tage højde for forskydningen forårsaget af de oplysende kolonneoverskrifter. Når dette er gjort, tilføjer du en (1) til ovenstående nummer, så den regel, vi indsætter, kommer lige efter den regel, der tillader allerede etableret kommunikation. Jeg har efterladt dette meget enkle "matematiske problem" herinde, bare for at gøre logikken "hvorfor man skal reducere en fra regelens sted i stedet for at tilføje en til den" klar.

KnockD-konfiguration

Vi er nødt til at oprette en ny udløsende sekvens, der gør det muligt at oprette nye VPN-forbindelser. For at gøre dette skal du redigere filen knockd.conf ved at udstede i en terminal:

vi /opt/etc/knockd.conf

Føj til den eksisterende konfiguration:

[enable-VPN]
sekvens = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp --port 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -p tcp --dport 1723 -j ACCEPT

Denne konfiguration vil:

  • Indstil vinduet til mulighed for at fuldføre sekvensen til 60 sekunder. (Det anbefales at holde dette så kort som muligt)
  • Lyt til en sekvens på tre baner på porte 2, 1 og 2010 (denne ordre er bevidst at smide havnescannere ud af sporet).
  • Når sekvensen er detekteret, skal du udføre "start_kommando". Denne "iptables" -kommando placerer en "accept trafik bestemt til port 1723, hvorfra bankene kom fra" øverst i firewallreglerne. (% IP% -direktivet behandles specielt af KnockD og erstattes med IP for knocks oprindelse).
  • Vent i 20 sekunder, før du udsteder "stop_command".
  • Udfør “stop_command”. Hvor denne "iptables" -kommando gør det modsatte af ovenstående og sletter den regel, der tillader kommunikation.
Det er det, din VPN-tjeneste skal nu kun kunne tilsluttes efter en vellykket "banke".

Forfatter Tip

Mens du skal være klar, er der et par punkter, som jeg føler har brug for at nævne.

  • Fejlfinding. Husk, at "fejlfinding" -segmentet i slutningen af, hvis du har problemer den første artikel skulle være dit første stop.
  • Hvis du vil, kan du få "start / stop" -direktiverne til at udføre flere kommandoer ved at adskille dem med en semi-colen (;) eller endda et script. Hvis du gør det, kan du gøre nogle smarte ting. For eksempel har jeg sendt mig en * E-mail, der fortæller mig, at en sekvens er udløst og hvorfra.
  • Glem ikke at “ Der er en app til det ”Og selvom det ikke er nævnt i denne artikel, opfordres du til at gribe fat StavFX Er Android knocker-program .
  • Mens du handler om Android, skal du ikke glemme, at der normalt er en PPTP VPN-klient, der er indbygget i operativsystemet fra producenten.
  • Metoden til at blokere noget oprindeligt og derefter fortsætte med at tillade allerede etableret kommunikation kan bruges på praktisk talt enhver TCP-baseret kommunikation. Faktisk i Banket på DD-WRT 1 ~ 6 film, har jeg gjort langt tilbage, da jeg har brugt Remote Desktop Protocol (RDP), der bruger port 3389 som et eksempel.
Bemærk: For at gøre dette skal du få e-mail-funktionalitet på din router, som i øjeblikket virkelig ikke er en der fungerer, fordi SVN-øjebliksbillede af OpenWRTs opkg-pakker er i uorden. Derfor foreslår jeg at bruge knockd direkte på VPN-boksen, som giver dig mulighed for at bruge alle mulighederne for at sende e-mail, der er tilgængelige i Linux / GNU, som SSMTP og Send e-mail for at nævne nogle få.

Hvem forstyrrer min søvn?

.indgangsindhold .indgangsfod

How To Setup VPN Server On DD-WRT Router. (PPTP)

HOPE X (2014): Securing A Home Router

How To Setup A VPN Server On Your Home Router Using DD-WRT

Privatliv og sikkerhed - Mest populære artikler

Folk synes, deres adgangskoder er for fantastiske til tofaktorautentificering. De er forkerte.

Privatliv og sikkerhed Aug 9, 2025

UCACHED INDHOLD To-faktor-godkendelse forbedrer din sikkerhed meget, men næsten ingen bruger den: kun 10 procent af Google-brugere aktiverer f.eks. Funktionen. Hvorfor det? ..

Sådan ser eller rydder du din browserhistorik på Oculus Go

Privatliv og sikkerhed May 3, 2025

Nå, du har virkelig gjort det denne gang. Du søgte efter noget pinligt - som “Linux” - på din Oculus, og nu er det i din søgehistorik. Hvad vil du gøre? Heldigvis har vi in..

Java på OS X er bundling af crapware. Sådan får du det til at stoppe

Privatliv og sikkerhed Mar 17, 2025

Det er virkelig trist, men Oracle begyndte at samle crapware som Ask "app" selv for Mac OS X-brugere nu. Hvis du er tvunget til at bruge Java, har de heldigvis en mulighed for at de..

Sådan oprettes en DMZ-vært på din Verizon FIOS-router

Privatliv og sikkerhed Oct 4, 2025

UCACHED INDHOLD Hvis du vil sikre dig, at en bestemt enhed altid er tilgængelig via din firewall, kan du tildele den til at være en DMZ-vært i din Wi-Fi-router. Sådan gør du ..

Hvorfor bruger de fleste webservices ikke ende-til-ende-kryptering

Privatliv og sikkerhed Jul 2, 2025

UCACHED INDHOLD Nylige afsløringer om regeringens overvågning har rejst spørgsmålet: hvorfor krypterer ikke cloud-tjenester dine data? Nå, de krypterer generelt dine data, me..

Geek School: Læring af Windows 7 - Overvågning, ydeevne og opdatering af Windows

Privatliv og sikkerhed Mar 20, 2025

I dagens udgave af Geek School ser vi på de værktøjer, vi kan bruge til at overvåge ydelsen og pålideligheden af ​​vores computere. Sørg for at tjekke de tidliger..

Spørg How-To Geek: Hvad er der galt med at nedskrive din adgangskode?

Privatliv og sikkerhed Sep 18, 2025

UCACHED INDHOLD For nylig spurgte en læser mig, hvorfor hun ikke skulle skrive sine adgangskoder ned - hvilket er et meget godt spørgsmål. Ignorerer al den nørdede adgangskode..

Et kig på Spybot Search and Destroy 1.5

Privatliv og sikkerhed Sep 16, 2025

UCACHED INDHOLD Spybot Søg og Destroy ser ud til at få en dårlig rap i pressen for nylig, som jeg skrev om i juli. Så læste jeg en artikel i PC World i sidste måned, og de..

Kategorier