Jak se dostat do sítě (DD-WRT)
Chtěli jste někdy mít s vaším směrovačem speciální "dorm klok", abyste měli jenom "otevřít dveře", když bylo rozpoznáno tajné zaklepání? How-To Geek vysvětluje, jak nainstalovat démon Knock na DD-WRT.
Obrázek Bfick a Aviad Raviv
Pokud jste to ještě neudělali, ujistěte se a ověřte předchozí články v sérii:
- Otočte svůj směrovač do směrovače Super-Powered s DD-WRT
- Jak nainstalovat další software na váš domovský směrovač (DD-WRT)
- Jak odstranit reklamy s Pixelserv na DD-WRT
Za předpokladu, že jste obeznámeni s těmito tématy, pokračujte v čtení. Mějte na paměti, že tato příručka je o něco techničtější a začátečníci by měli být opatrní při modifikaci směrovače.
Přehled
Tradičně, aby bylo možné komunikovat se zařízením / službou, muselo by být iniciováno a plný s ním. Tímto způsobem však dochází k tomu, co se nazývá v bezpečnostním věku, útočnou plochou. Démon Knock je druh síťového snifferu, který může reagovat, když je pozorován předem nakonfigurovaný sled. Vzhledem k tomu, že spojení není nutné zřídit, aby uzelový démon rozpoznal konfigurovanou sekvenci, je útočná plocha snížena při zachování požadované funkce. V jistém smyslu budeme předpokládat směrovač s a požadované "Dva bity" odpověď (na rozdíl od chudé Roger ...).
V tomto článku budeme:
- Ukažte, jak používat Knockd, aby měl router Wake-On-Lan počítač v místní síti.
- Ukažte, jak spouštět sekvenci Knock z aplikace Android, stejně jako počítače.
Poznámka: Zatímco pokyny k instalaci již nejsou relevantní, můžete sledovat filmovou sérii, kterou jsem vytvořil "zpět, kdy", abyste viděli celý přehled konfigurace na klepání. (Jen omluvte hrubou prezentaci).
Bezpečnostní důsledky
Diskuse o tom, jak je bezpečná kniha Knockd ?, je dlouhá a pochází z mnoha tisíc let (v internetových letech), ale to je následující:
Knock je vrstva zabezpečení zanedbatelnou, která by měla být použita pouze k zlepšit jiné prostředky, jako je šifrování, a neměly by být používány jako vlastní, neboť veškeré bezpečnostní opatření.
Předpoklady, předpoklady a doporučení
- Předpokládá se, že máte router DD-WRT s podporou Opkg.
- Některá trpělivost může chvíli trvat.
- Důrazně se doporučuje získat účet DDNS pro vaši externí (obvykle dynamickou) adresu IP.
Nechte se rozbít
Instalace a základní konfigurace
Nainstalujte démona Knock otevřením terminálu směrovače a vydáním:
opkg update; opkg install knockd
Nyní, když je nainstalován Knockd, musíme nakonfigurovat spouštěcí sekvence a příkazy, které budou spuštěny po jejich spuštění. Chcete-li to provést, otevřete soubor "knockd.conf" v textovém editoru. Na routeru to bude:
vi /opt/etc/knockd.conf
Vytvořte jeho obsah jako:
[možnosti]
logfile = /var/log/knockd.log
PoužívejteSyslog
[wakelaptop]
sekvence = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
command = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = synchronizace
Vysvětlete výše:
- Segment "volby" umožňuje konfigurovat globální parametry démona. V tomto příkladu jsme instruovali démona, aby uchoval protokol jak v syslogu, tak v souboru. Zatímco nepoškodí použití obou možností ve spojení, měli byste zvážit udržení jen jednoho z nich.
- Segment "wakelaptop" je příklad sekvence, která spustí příkaz WOL do vaší LAN pro počítač s MAC adresou aa: bb: cc: dd: ee: 22.
Poznámka: Příkaz uvedený výše předpokládá výchozí chování podsítě třídy C.
Chcete-li přidat další sekvence, jednoduše zkopírujte a vložte segment "wakelaptop" a upravte pomocí nových parametrů a / nebo příkazů, které mají být provedeny směrovačem.
Uvedení do provozu
Chcete-li směrovač spustit démon při spuštění, přidejte do skriptu "geek-init" uvedený v příručce OPKG:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Tím se spustí démon Knock na rozhraní WAN vašeho směrovače tak, aby poslouchal pakety z internetu.
Klepání z platformy Android
Ve věku přenositelnosti je téměř imperative "mít aplikaci pro to" ... takže StavFX vytvořil jednu pro úkol :)
Tato aplikace provádí klepání sekvencí přímo z vašeho zařízení Android a podporuje vytváření widgetů na vašich domovských obrazovkách.
- Nainstalujte aplikaci Knocker z trhu Android (také prosím, buď laskavý a udělejte mu dobrý rating).
- Jakmile je zařízení nainstalováno, spusťte jej. Měli byste být přivítali něco jako:
- Dlouhým stisknutím ikony příkladu ji můžete upravit nebo klepnutím na "Nabídka" přidáte nový záznam. Nová položka by vypadala takto:
- Přidejte řádky a vyplňte informace požadované pro vaše klepání. Příkladem výše uvedené konfigurace WOL by bylo:
- Volitelně změňte ikonu dlouhým stisknutím ikony vedle názvu Knock.
- Uložte Knock.
- Klepnutím na tlačítko Nový klepnutím na hlavní obrazovce jej aktivujete.
- Volitelně jej na ploše vytvořte widget.
Mějte na paměti, že zatímco jsme konfigurovali příklad konfiguračního souboru se skupinami 3 pro každý port (kvůli části Telnet níže), s touto aplikací neexistuje žádné omezení na množství opakování (pokud vůbec) pro port.
Bavte se pomocí aplikace, kterou společnost StavFX darovala :-)
Klepání z Windows / Linux
I když je možné provádět klepání pomocí nejjednoduššího síťového nástroje a.k.a "Telnet", společnost Microsoft rozhodla, že Telnet je "bezpečnostní riziko" a následně ji již na moderní okna již neinstaluje. Pokud se mě zeptáte: "Ti, kdo se mohou vzdát základní svobody, aby získali trochu dočasnou bezpečnost, si nezaslouží svobodu ani bezpečnost. ~ Benjamin Franklin ", ale odbočím.
Důvodem, proč jsme nastavili příkladovou sekvenci ke skupině 3 pro každý port, je to, že když se telnet nemůže připojit k požadovanému portu, automaticky se znovu pokusí znovu 2krát. To znamená, že telnet skutečně zaklepá 3krát, než se vzdá. Jediné, co musíme udělat, je provést příkaz telnet jednou pro každý port ve skupině portů. Je to také důvod, proč byl vybrán časový interval 30 sekund, protože musíme čekat na časový limit telnetu pro každý port, dokud neuděláme další skupinu portů. Po dokončení testovací fáze se doporučuje automatizovat tento postup pomocí jednoduchého Batch / Bash skriptu.
Pomocí našeho příkladu sekvence to vypadá takto:
- Pokud jste na vašich oknech, postupujte podle instrukcí MS nainstalovat Telnet.
- Přejděte na příkazový řádek a proveďte následující:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Kdyby to všechno šlo dobře, mělo to být.
Odstraňování problémů
Pokud váš směrovač nereaguje na sekvence, je zde několik kroků pro řešení potíží, které můžete provést:
- Zobrazit protokol - Knockd si ponechá protokol, který můžete zobrazit v reálném čase, aby zjistil, zda k démonu dorazí klepání, a zda byl příkaz proveden správně.
Za předpokladu, že používáte alespoň soubor protokolu jako v předchozím příkladu, abyste ho viděli v reálném čase, vydávejte v terminálu:ocas -f /var/log/knockd.log
- Buďte opatrní na firewally - někdy vaše ISP, pracoviště nebo internetová kavárna, se svobodně blokovat komunikaci pro vás. V takovém případě, zatímco váš směrovač může poslouchat, zaklepání na porty, které jsou blokovány jakoukoliv částí řetězce, nedosáhne směrovače a bude mít těžké reagovat na ně. Proto doporučujeme vyzkoušet kombinace, které používají dobře známé porty, jako například 80, 443, 3389 a tak dále. Znovu můžete zobrazit protokol a zjistit, jaké porty dosahují rozhraní WAN směrovače.
- Vyzkoušejte interní sekvence - Před započetím výše uvedené složitosti, kterou mohou zavést jiné části řetězce, doporučujeme, abyste se pokusili provést vnitřní sekvence, abyste zjistili, že A. narazili na router tak, jak si myslíte, že by měli B. spustit příkaz / jak očekáváme. Chcete-li to provést, můžete spustit Knockd, zatímco jste svázáni s rozhraním LAN pomocí:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Po provedení výše uvedených kroků můžete klienta Knocking směrovat na interní IP směrovače namísto na jeho externí.
Tip: Vzhledem k tomu, že knockd naslouchá na úrovni "rozhraní" a nikoliv na úrovni IP, možná budete chtít mít na obrazovce LAN stále běžící instanci programu KnockD. Protože "Knocker" byl aktualizován tak, aby podporoval dva hosty pro klepání, bude to za účelem zjednodušení a konsolidace vašich klepacích profilů. - Nezapomeňte, na které straně je vaše - Není možné zaklepat rozhraní WAN z rozhraní LAN ve výše uvedené konfiguraci. Pokud byste chtěli zaklepat bez ohledu na to, na které straně jste ", můžete jednoduše spustit démona dvakrát, poté, co jste byli vázáni k WANu jako v článku a jednou vázáni do LAN jako v kroku ladění výše. Neexistuje žádný problém spuštěný ve spojení jednak připojením příkazu shora k stejnému skriptu geek-init.
Poznámky
Zatímco výše uvedený příklad by mohl být proveden jinými způsoby, doufáme, že jej můžete využít k tomu, abyste se naučili, jak dosáhnout pokročilejších věcí. Druhá část tohoto článku, která skrývá službu VPN za zaklepáním, přichází, takže zůstaňte laděni.Prostřednictvím klepání budete moci: Dynamicky otevřít porty, zakázat / povolit služby, vzdáleně WOL počítače a další ...