Как да почукате в мрежата си (DD-WRT)

Били ли сте някога сте искали да имате този специален "нощен крак" с вашия маршрутизатор, така че да го "отвори вратата", когато тайният удар е бил разпознат? How-To Geek обяснява как да инсталирате демона Knock на DD-WRT.

Изображение на Бфика и Авиад Равив

Ако все още не сте, не забравяйте и проверете предишните статии от поредицата:

• Превърнете домашния ви маршрутизатор в супер-захранван маршрутизатор с DD-WRT
• Как да инсталирате допълнителен софтуер на вашия домашен рутер (DD-WRT)
• Как да премахнете рекламите с Pixelserv на DD-WRT

Ако приемете, че сте запознати с тези теми, продължавайте да четете. Имайте предвид, че това ръководство е малко по-технически и начинаещите трябва да внимават, когато модифицират маршрутизатора си.

Преглед

Традиционно, за да може да комуникира с устройство / услуга, трябва да инициира пълен мрежова връзка с него. Въпреки това, това го излага на повърхността на нападение, което се нарича в сигурната епоха. Демонът "Knock" е вид мрежово устройство, което може да реагира, когато се наблюдава предварително конфигурирана последователност. Тъй като връзката не трябва да бъде установена, за да може демонът на удар да разпознае конфигурирана последователност, нападателната повърхност се намалява, като същевременно се запази желаната функционалност. В известен смисъл, ние ще предоставим на рутера предварителножелания "Два бита" отговора (за разлика от бедния Роджър ...).

В тази статия ще:

• Покажете как да използвате Knockd, за да имате рутер Wake-On-Lan компютър в локалната мрежа.
• Покажете как да задействате последователността на Knock от приложението за Android, както и от компютър.

Забележка: Докато инструкциите за инсталиране вече не са от значение, можете да гледате сериите от филми, които съм създал "връщане назад", за да видите цялото понижение на конфигурирането за чукане. (Просто извинете грубата презентация).

Симптоми на сигурността

Дискусията за "колко е сигурна Knockd?" Е дълъг и датира от много хилядолетия (в интернет години), но в крайна сметка това е следното:

Кнокът е слой на сигурността чрез неяснота, за който трябва да се използва само повишаване на други средства като криптиране и не трябва да се използват за неговата собствена като краят, всичко това е мярка за сигурност.

Предпоставки, допускания и препоръки

• Предполага се, че имате маршрутизатор DD-WRT с възможност за активиране на Opkg.
• Някои търпение, тъй като това може да отнеме "малко" за настройка.
• Препоръчително е да получите DDNS профил за външния си (обикновено динамичен) IP адрес.

Позволявам да се счупят

Инсталация и основна конфигурация

Инсталирайте демона Knock, като отворите терминал към рутера и издавате:

opkg актуализация; opkg инсталирате нокаут

Сега, когато Knockd е инсталиран, трябва да конфигурираме задействащите последователности и команди, които ще бъдат изпълнени, след като бъдат задействани. За да направите това, отворете файла "knockd.conf" в текстов редактор. На рутера това ще бъде:

vi /opt/etc/knockd.conf

Направете съдържанието му да изглежда така:

[настроики]
logfile = /var/log/knockd.log
UseSyslog

[Wakelaptop]
последователност = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
команда = / usr / sbin / wol аа: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = синхронизиране

Да обясним по-горе:

• Сегментът "опции" позволява да се конфигурират глобални параметри за демона. В този пример инструктирахме демона да запази дневник както в syslog, така и във файл. Въпреки че не навреди на използването на двете опции във връзка, трябва да обмислите запазването само на един от тях.
• Сегментът "wakelaptop" е пример за последователност, която ще задейства командата WOL на вашата LAN за компютър с MAC адреса на aa: bb: cc: dd: ee: 22.
  Забележка: Командата по-горе поема по подразбиране поведението на подмрежа клас С.

За да добавите още последователности, просто копирайте и поставете сегмента "wakelaptop" и коригирайте с нови параметри и / или команди, които да бъдат изпълнени от рутера.

Започвам

За да може маршрутизаторът да извика демона при стартиране, приложете по-долу към скрипта "geek-init" от ръководството OPKG:

командата -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"


Това ще стартира демона "Knock" на интерфейса "WAN" на вашия маршрутизатор, така че да слуша пакетите от интернет.

Изключете от Android

В ерата на преносимостта си почти наложително е "да има приложение за това" ... така StavFX създаде една за задачата :)
Това приложение изпълнява последователността на чукане от вашето устройство с Android и поддържа създаването на приспособления на началните ви екрани.

• Инсталирайте приложението Knocker от пазара на Android (също моля, бъдете любезни и му дайте добър рейтинг).
• След като го инсталирате на устройството си, стартирайте го. Трябва да бъдете посрещнати от нещо като:
  
• Можете да продължите да натискате иконата на примера, за да я редактирате, или да кликнете върху "меню", за да добавите нов запис. Нов запис ще изглежда така:
  
• Добавете линии и попълнете информацията, необходима за вашето Knocking. За пример WOL конфигурация от по-горе това би било:
  
• По желание можете да промените иконата, като натиснете дълго иконата до името на Knock.
• Запазете удара.
• Докоснете новия Knock в основния екран, за да го активирате.
• По желание можете да създадете приспособление за него на начален екран.

Имайте предвид, че докато сме конфигурирали примерния конфигурационен файл с групи от 3 за всеки порт (поради раздела Telnet по-долу), с това приложение няма ограничение за броя на повторенията (ако изобщо има такива) за даден порт.
Забавлявайте се с приложението, което StavFX е дарило :-)

Почукване от Windows / Linux

Макар че е възможно да се извърши "Книги" с най-простата мрежова програма a.k.a "Telnet", Microsoft реши, че Telnet е "риск за сигурността" и впоследствие не го инсталира по подразбиране на съвременните прозорци. Ако ме питате "Тези, които могат да се откажат от съществена свобода, за да получат малко временна безопасност, не заслужават нито свобода, нито безопасност. ~ Бенджамин Франклин ", но аз се отклонявам.

Причината, поради която зададем примерната последователност на групи от по 3 за всеки порт, е, че когато telnet не може да се свърже към желания порт, той автоматично ще опита отново още 2 пъти. Това означава, че telnet действително ще почука 3 пъти, преди да се откаже. Така че само трябва да изпълним командата telnet веднъж за всеки порт в групата порт. Това е и причината, поради която е избран интервал за изчакване от 30 секунди, тъй като трябва да чакаме времето за изчакване на telnet за всеки порт, докато не изпълним следващата портна група. Препоръчва се, когато приключите с фазата на тестване, да автоматизирате тази процедура с прост скрипт Batch / Bash.

Използвайки примерната ни последователност, това ще изглежда така:

• Ако вашите прозорци, следвайте инструкциите на MS, за да инсталирате Telnet.
• Преместете до командния ред и издайте:
  telnet geek.dyndns-at-home.com 56
  telnet geek.dyndns-at-home.com 43
  telnet geek.dyndns-at-home.com 1443

Ако всичко върви добре, това трябва да бъде.

Отстраняване на проблеми

Ако маршрутизаторът ви не реагира на последователности, ето няколко стъпки за отстраняване на неизправности, които може да предприемете:

• Преглед на регистрационния файл - Knockd ще запази дневника, който можете да видите в реално време, за да видите дали последователностите на прихващане са стигнали до демона и дали командата е изпълнена правилно.
  Ако приемем, че използвате поне лог файла, както в горния пример, за да го видите в реално време, издайте в терминал:

  опашка -f /var/log/knockd.log

• Бъдете наясно с защитните стени - Понякога вашият интернет доставчик, работно място или интернет кафе, могат да блокират комуникацията за вас. В такъв случай, докато маршрутизаторът ви може да слуша, ударите на портове, блокирани от която и да е част от веригата, няма да стигнат до маршрутизатора и ще им е трудно да реагират. Ето защо се препоръчва да опитате комбинации, които използват добре познатите пристанища като 80, 443, 3389 и т.н., преди да опитате по-случайни такива. Отново можете да прегледате регистрационния файл, за да видите кои пристанища достигат WAN интерфейса на рутера.
• Изпробвайте последователностите вътрешно - Преди да включите горната сложност, която другите части на веригата могат да въведат, препоръчваме да се опитате да изпълнявате последователностите вътрешно, за да видите, че А. удари рутера, както мислите, че трябва да изпълнят Б / както се очакваше. За да постигнете това, може да стартирате Knockd, докато сте свързани към интерфейса на LAN с:
  

  нокаут -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

  След като се изпълни горното, можете да насочите кликващия Knocking към вътрешния IP маршрутизатор, а не към неговия външен.
  Съвет: Тъй като нокаут се случва на ниво "интерфейс", а не на ниво IP, може да искате да имате постоянно копие на KnockD в LAN интерфейса. Тъй като "Knocker" е актуализиран, за да поддържа двама хоста за чукане, това ще стане, за да се опростят и консолидират вашите профили.

• Запомнете коя страна е включена - Не е възможно да пречупите WAN интерфейса от LAN интерфейса в горната конфигурация. Ако искате да можете да почукате без значение "от каква страна сте", можете просто да стартирате демона два пъти, Веднъж свързан към WAN, както е в статията и веднъж свързан към LAN, както е в стъпката за отстраняване на грешки от по-горе. Няма проблем да се изпълнява едновременно заедно, като просто добавите командата отгоре към същия скрипт geek-init.

Забележки

Докато горният пример може да бъде постигнат чрез различни други методи, ние се надяваме, че можете да го използвате, за да научите как да постигнете по-напредничави неща. Част втора на тази статия, която скрива услугата VPN зад удар, идва, така че останете настроени.

Чрез "Почукване" ще можете: Да се ​​отварят динамично, да се деактивират / активират услугите, отдалечено WOL компютри и още ...