كيف تدقق في شبكتك ، الجزء الثاني احمي شبكتك الافتراضية (DD-WRT)

لقد أظهرنا لك كيفية تشغيل WOL عن بُعد من خلال "Port Knocking" على جهاز التوجيه الخاص بك. في هذه المقالة ، سنوضح كيفية استخدامها لحماية خدمة VPN.

الصورة عن طريق Aviad Raviv و bfick.

مقدمة

إذا كنت قد استخدمت وظيفة DD-WRT المضمنة في VPN أو لديك خادم VPN آخر في شبكتك ، فقد تقدر القدرة على حمايته من هجمات القوة الغاشمة بإخفائه خلف تسلسل الضربة. من خلال القيام بذلك ، ستقوم بتصفية البرامج النصية الخاصة بالأطفال الذين يحاولون الوصول إلى شبكتك. مع ما ذكر ، كما ورد في المقالة السابقة ، لا يعد تبديل المنفذ بديلاً لكلمة مرور و / أو سياسة أمان جيدة. تذكر أنه مع قدر كاف من الصبر يمكن للمهاجم اكتشاف التسلسل وتنفيذ هجوم إعادة التشغيل.
ضع في اعتبارك أيضًا أن الجانب السلبي لتنفيذ ذلك هو أنه عندما يرغب أي عميل / عملاء VPN في الاتصال ، سيتعين عليهم تشغيل تسلسل القرقعة سلفا وأنه إذا لم يتمكنوا من إكمال التسلسل لأي سبب من الأسباب ، فلن يكونوا قادرين على VPN على الإطلاق.

نظرة عامة

من أجل حماية خدمة VPN ، سنقوم أولاً بتعطيل جميع الاتصالات الممكنة معها عن طريق حظر المنفذ الفوري 1723. ولتحقيق هذا الهدف ، سنستخدم iptables. والسبب في ذلك هو كيف يتم ترشيح الاتصالات على معظم توزيعات لينكس / جنو الحديثة بشكل عام وعلى DD-WRT على وجه الخصوص. إذا كنت ترغب في الحصول على مزيد من المعلومات حول iptables checkout في الويكي الخاص بها ، وإلقاء نظرة على مقالتنا السابقة حول هذا الموضوع. وبمجرد حماية الخدمة ، سنقوم بإنشاء تسلسل خدش يفتح مؤقتًا منفذ إنشاء VPN ويقوم أيضًا بإغلاقه تلقائيًا بعد فترة زمنية مكونة ، مع الحفاظ على اتصال جلسة VPN القائمة بالفعل.

ملاحظة: في هذا الدليل ، نحن نستخدم خدمة PPTP VPN كمثال. مع ذلك ، يمكن استخدام نفس الطريقة لأنواع VPN الأخرى ، سيكون عليك فقط تغيير المنفذ المحظور و / أو نوع الاتصال.

المتطلبات الأساسية والافتراضات والتوصيات

من المفترض / مطلوب أن يكون لديك جهاز تشغيل DD-WRT مُمكّن من قِبل Opkg.
من المفترض / المطلوب أن تكون قد قمت بالفعل بتنفيذ الخطوات الواردة في دليل "كيف تضغط على الشبكة (DD-WRT)".
يفترض بعض المعرفة بالشبكات.

فلنسرع.

افتراضي قاعدة "حظر شبكات VPN جديدة" في DD-WRT

في حين أن المقتطف أدناه من "كود" قد يعمل على كل iptables ، يحترم نفسه بنفسه ، باستخدام توزيعة لينكس / جنو ، لأن هناك العديد من المتغيرات هناك سوف نعرض فقط كيفية استخدامه على DD-WRT. لا شيء يمنعك ، إذا كنت ترغب في ذلك ، من تنفيذه مباشرة على صندوق VPN. ومع ذلك ، فإن كيفية القيام بذلك ، تتجاوز نطاق هذا الدليل.

لأننا نريد زيادة جدار الحماية الخاص بالموجه ، فمن المنطقي أن نضيف إلى البرنامج النصي "جدار الحماية". القيام بذلك ، قد يتسبب في تنفيذ الأمر iptables في كل مرة يتم فيها تحديث جدار الحماية ، وبالتالي الحفاظ على تعزيز لدينا في مكان للبقاء.

من DD-WRT's Web-GUI:

اذهب إلى "الإدارة" -> "الأوامر".
أدخل "رمز" أدناه في مربع النص:
inline = "$ (iptables -L INPUT -n | grep -n" state RELATED، ESTABLISHED "| awk -F: 'print $ 1'))"؛ مضمنة = $ (($ مضمنة 2 + 1))؛ iptables -I INPUT "$ inline" -p tcp --dport 1723 -j DROP
انقر فوق "حفظ جدار الحماية".
فعله.

ما هو هذا الأمر "الفودو"?

يقوم الأمر "السحر الفودو" أعلاه بما يلي:

يجد فيها خط iptable الذي يمكّن التواصل القائم بالفعل من المرور. نحن نقوم بذلك ، نظرًا لأن A. On DD-WRT routers ، إذا تم تمكين خدمة VPN ، فإنه سيكون موجودًا أسفل هذا الخط وباء. ومن الضروري أن نهدف إلى الاستمرار في السماح لجلسات VPN القائمة بالفعل بالعيش بعد حدث القرقعة.
خصم 2 (2) من إخراج الأمر سرد لحساب الإزاحة التي تسببها رؤوس الأعمدة المعلوماتية. بمجرد الانتهاء من ذلك ، يضيف واحد (1) إلى الرقم المذكور أعلاه ، بحيث تأتي القاعدة التي نقوم بإدخالها فقط بعد القاعدة التي تسمح بالاتصال القائم بالفعل. لقد تركت هذه "مشكلة الرياضيات" البسيطة للغاية هنا ، فقط لجعل منطق "لماذا يحتاج المرء إلى تقليل واحد من مكان الحكم بدلا من إضافة واحد له" واضح.

تكوين KnockD

نحتاج إلى إنشاء تسلسل تحريض جديد من شأنه تمكين إنشاء اتصالات VPN جديدة. للقيام بذلك ، قم بتحرير ملف knockd.conf بإصداره في محطة طرفية:

vi /opt/etc/knockd.conf

إلحاق بالتهيئة الحالية:

[تمكين VPN] تسلسل = 02،02،02،01،01،01،2010،2010،2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s٪ IP٪ -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s٪ IP٪ -p tcp --dport 1723 -j ACCEPT

هذا التكوين سوف:

اضبط نافذة الفرصة لإكمال التسلسل ، إلى 60 ثانية. (يُنصح بإبقاء هذا قصيرًا قدر الإمكان)
استمع إلى سلسلة من ثلاث ضربات على الموانئ 2 و 1 و 2010 (هذا الترتيب متعمد لرمي الماسحات الضوئية للمنافذ).
بمجرد اكتشاف التسلسل ، قم بتنفيذ "start_command". سيضع أمر "iptables" هذا "قبول حركة موجهة إلى المنفذ 1723 من حيث تأتي المقلوبة" أعلى قواعد جدار الحماية. (يتم التعامل مع توجيه٪ IP٪ خصيصًا من قبل KnockD ويتم استبداله ببروتوكول الإنترنت (IP) لأصل يقرع).
انتظر لمدة 20 ثانية قبل إصدار "stop_command".
تنفيذ "stop_command". حيث يقوم هذا الأمر "iptables" بعمل عكس ما سبق ويحذف القاعدة التي تسمح بالاتصال.

هذا كل ما في الأمر ، يجب أن تكون خدمة VPN الخاصة بك الآن قابلة للاتصال فقط بعد "ضربة قوية".

مؤلفنصائح

بينما يجب أن تكون كل مجموعة ، هناك بعض النقاط التي أشعر بحاجة إلى ذكرها.

استكشاف الأخطاء وإصلاحها. تذكر أنه إذا كنت تواجه مشكلات ، فيجب أن يكون الجزء "استكشاف الأخطاء وإصلاحها" الموجود في نهاية المقالة الأولى هو موقفك الأول.
إذا كنت ترغب في ذلك ، فيمكنك تنفيذ أوامر "البدء / الإيقاف" لتنفيذ أوامر متعددة عن طريق فصلها عن شبه colen (؛) أو حتى كتابة نص برمجي. القيام بذلك سوف تمكنك من القيام ببعض الأشياء الجيدة. على سبيل المثال ، لدي knockd أرسل لي رسالة بريد إلكتروني تخبرني أنه تم عرض تسلسل ومن أين.
لا تنس أن "هناك تطبيق لذلك" ، وعلى الرغم من عدم ذكره في هذه المقالة ، فنحن نشجعك على الحصول على برنامج طروادة Android الخاص بـ StavFX.
أثناء وجودك في موضوع Android ، لا تنس أن هناك عميل PPTP VPN عادة مضمن في نظام التشغيل من الشركة المصنعة.
يمكن استخدام طريقة حظر شيء ما في البداية ثم الاستمرار في السماح بالتواصل القائم بالفعل على أي اتصال قائم على بروتوكول TCP. في الواقع في Knockd على DD-WRT 1 ~ 6 أفلام ، لقد فعلت الطريق مرة أخرى عندما استخدمت بروتوكول سطح المكتب البعيد (RDP) الذي يستخدم المنفذ 3389 كمثال.

ملاحظة: من أجل القيام بذلك ، ستحتاج إلى الحصول على وظائف البريد الإلكتروني على جهاز التوجيه الخاص بك ، والذي لا يوجد حالياً بالفعل يعمل لأن الصورة SVN الخاصة بحزم opkg الخاصة بـ OpenWRT تكون في حالة فوضى. ولهذا السبب أقترح استخدام knockd مباشرة على صندوق VPN الذي يتيح لك استخدام جميع خيارات إرسال البريد الإلكتروني المتوفرة في Linux / GNU ، مثل SSMTP وإرسال email على سبيل المثال لا الحصر..

من يزعج سباتي?