अपने नेटवर्क में दस्तक देने के लिए, भाग 2 अपने वीपीएन को सुरक्षित रखें (DD-WRT)
हमने आपको अपने राउटर पर "पोर्ट नॉकिंग" द्वारा दूरस्थ रूप से WOL को ट्रिगर करने का तरीका दिखाया है। इस लेख में, हम यह दिखाएंगे कि वीपीएन सेवा की सुरक्षा के लिए इसका उपयोग कैसे किया जाए.
Aviad Raviv द्वारा छवि और bfick.
प्रस्तावना
यदि आपने वीपीएन के लिए डीडी-डब्ल्यूआरटी की कार्यक्षमता का उपयोग किया है या, आपके नेटवर्क में एक और वीपीएन सर्वर है, तो आप इसे नॉक सीक्वेंस के पीछे छिपाकर इसे ब्रूट फोर्स के हमलों से बचाने की क्षमता की सराहना कर सकते हैं। ऐसा करने से, आप उन स्क्रिप्ट किडियों को फ़िल्टर कर देंगे जो आपके नेटवर्क तक पहुँच प्राप्त करने की कोशिश कर रही हैं। उस के साथ, जैसा कि पिछले लेख में कहा गया है, पोर्ट दस्तक एक अच्छा पासवर्ड और / या सुरक्षा नीति के लिए एक प्रतिस्थापन नहीं है। याद रखें कि पर्याप्त धैर्य के साथ एक हमलावर अनुक्रम की खोज कर सकता है और एक रिप्ले हमला कर सकता है.
यह भी ध्यान रखें, कि इसे लागू करने का नकारात्मक पक्ष यह है कि जब कोई भी वीपीएन ग्राहक / ग्राहक कनेक्ट करना चाहते हैं, तो उन्हें नॉक रिकवरी अनुक्रम को चालू करना होगा पहले ही और यदि वे किसी भी कारण से अनुक्रम को पूरा नहीं कर सकते हैं, तो वे वीपीएन में सक्षम नहीं होंगे.
अवलोकन
* वीपीएन सेवा को सुरक्षित रखने के लिए हम सबसे पहले 1723 के तत्काल पोर्ट को अवरुद्ध करके इसके साथ सभी संभावित संचार को निष्क्रिय कर देंगे। इस लक्ष्य को प्राप्त करने के लिए, हम iptables का उपयोग करेंगे। इसका कारण यह है, यह है कि कैसे सबसे आधुनिक लिनक्स / GNU वितरण पर सामान्य रूप से और विशेष रूप से DD-WRT पर संचार फ़िल्टर किया जाता है। यदि आप iptables के बारे में अधिक जानकारी चाहते हैं तो इसकी विकी प्रविष्टि की जांच करें, और इस विषय पर हमारे पिछले लेख पर एक नज़र डालें। एक बार सेवा संरक्षित हो जाने के बाद, हम एक ऐसा नॉक सीक्वेंस बनाएंगे, जो पहले से स्थापित वीपीएन सेशन को जोड़े रखते हुए, वीपीएन इंस्टेंटिअटिंग पोर्ट को अस्थायी रूप से खोल देगा और कॉन्फ़िगर की गई राशि के बाद स्वचालित रूप से बंद कर देगा।.
नोट: इस गाइड में, हम एक उदाहरण के रूप में PPTP VPN सेवा का उपयोग कर रहे हैं। उस के साथ, अन्य वीपीएन प्रकारों के लिए एक ही विधि का उपयोग किया जा सकता है, आपको बस अवरुद्ध पोर्ट और / या संचार प्रकार को बदलना होगा.
पूर्वापेक्षाएँ, मान्यताएँ और सिफारिशें
- यह माना जाता है / आवश्यक है कि आपके पास एक Opkg सक्षम DD-WRT राउटर है.
- यह माना जाता है / आवश्यक है कि आपने पहले से ही "अपने नेटवर्क में डॉक-टू-नॉक कैसे करें" (डीडी-WRT) गाइड में कदम रखा है।.
- कुछ नेटवर्किंग ज्ञान ग्रहण किया जाता है.
चलें शुरू करें.
चूक DD-WRT पर "नए वीपीएन ब्लॉक करें" नियम
हालांकि "कोड" के नीचे का स्निपेट संभवतः प्रत्येक, स्वाभिमानी, उपयोग करने वाले iptables, लिनक्स / जीएनयू वितरण पर काम करेगा, क्योंकि वहाँ बहुत सारे वेरिएंट हैं, हम केवल यह दिखाएंगे कि डीडी-डब्ल्यूआरटी पर इसका उपयोग कैसे करें। वीपीएन बॉक्स पर सीधे इसे लागू करने से, यदि आप चाहें तो कुछ भी आपको रोक नहीं रहा है। हालांकि, यह कैसे करना है, इस गाइड के दायरे से परे है.
क्योंकि हम राउटर के फ़ायरवॉल को बढ़ाना चाहते हैं, यह केवल तर्कसंगत है कि हम "फ़ायरवॉल" स्क्रिप्ट में जोड़ देंगे। ऐसा करने से, iptables कमांड हर बार फ़ायरवॉल के ताज़ा होने का कारण बनती है और इस तरह से हमारी वृद्धि को बनाए रखती है।.
DD-WRT के वेब-जीयूआई से:
- "प्रशासन" पर जाएं -> "कमांड".
- पाठ बॉक्स में नीचे "कोड" दर्ज करें:
इनलाइन = "$ (iptables -L INPUT -n | grep -n" राज्य संबंधित, स्थापित "जागृत" -F: 'प्रिंट $ 1') "; इनलाइन = $ (($ इनलाइन 2 + 1)); iptables -I INPUT "$ इनलाइन" -p tcp --dport 1723 -j DROP
- "फ़ायरवॉल सहेजें" पर क्लिक करें.
- किया हुआ.
यह "वूडू" कमांड क्या है?
उपरोक्त "जादू जादू" कमांड निम्नलिखित करती है:
- ढूँढता है कि iptable लाइन कहाँ से गुजरने के लिए पहले से ही स्थापित संचार को सक्षम करती है। हम ऐसा इसलिए करते हैं, क्योंकि डीडी-डब्ल्यूआरटी रूटर्स पर, अगर वीपीएन सेवा सक्षम है, तो यह इस लाइन के ठीक नीचे स्थित होगा और बी। यह जारी रखने के लिए पहले से ही स्थापित वीपीएन सत्र की अनुमति देने के हमारे लक्ष्य के लिए आवश्यक है। दस्तक देने वाली घटना.
- सूचना कॉलम हेडर के कारण होने वाली ऑफसेट के लिए सूचीकरण कमांड के आउटपुट से दो (2) डिडक्ट करता है। एक बार ऐसा करने के बाद, उपरोक्त संख्या में एक (1) जोड़ देता है, जिससे कि हम जो नियम डाल रहे हैं वह उस नियम के बाद आएगा जो पहले से ही स्थापित संचार की अनुमति देता है। मैंने यहाँ इस बहुत ही सरल "गणित की समस्या" को छोड़ दिया है, सिर्फ "क्यों एक को जोड़ने के बजाय नियम के स्थान से एक को कम करने की आवश्यकता है" के तर्क को स्पष्ट करने के लिए.
नॉकडॉ विन्यास
हमें एक नया ट्रिगरिंग अनुक्रम बनाने की आवश्यकता है जो नए वीपीएन कनेक्शन बनाने में सक्षम होगा। ऐसा करने के लिए, टर्मिनल में जारी करके नॉकडॉक .conf फ़ाइल को संपादित करें:
vi /opt /etc/knockd.conf
मौजूदा कॉन्फ़िगरेशन में शामिल हों:
[सक्षम-वीपीएन]
अनुक्रम = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s% IP% -p tcp --dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -p tcp --dport 1723 -j ACSTPT
यह विन्यास होगा:
- अनुक्रम को पूरा करने के लिए अवसर की खिड़की को 60 सेकंड तक सेट करें। (इसे यथासंभव छोटा रखने की सिफारिश की गई है)
- बंदरगाहों 2, 1 और 2010 पर तीन नॉक का एक क्रम सुनें (यह आदेश पोर्ट स्कैनर को ट्रैक से फेंकने के लिए जानबूझकर है).
- एक बार अनुक्रम का पता चला है, तो "start_command" निष्पादित करें। यह "iptables" कमांड फ़ायरवॉल नियमों के शीर्ष पर, जहां से नॉक से आया था, पोर्ट 1723 के लिए नियत ट्रैफ़िक को स्वीकार करने के लिए जगह देगा। (% IP% निर्देश को विशेष रूप से नॉकड द्वारा व्यवहार किया जाता है और इसे नॉक मूल के IP के साथ बदल दिया जाता है).
- "Stop_command" जारी करने से पहले 20 सेकंड तक प्रतीक्षा करें.
- "Stop_command" निष्पादित करें। जहाँ यह "iptables" कमांड उपरोक्त को उल्टा करता है और संचार की अनुमति देने वाले नियम को हटा देता है.
लेखकयुक्तियाँ है
जब आप सभी सेट होने चाहिए, तो कुछ ऐसे बिंदु हैं जो मुझे उल्लेख करने की आवश्यकता है.
- समस्या निवारण। याद रखें कि यदि आपको समस्याएँ हैं, तो पहले लेख के अंत में "समस्या निवारण" खंड आपका पहला पड़ाव होना चाहिए.
- यदि आप चाहें, तो आपके पास "स्टार्ट / स्टॉप" निर्देश हो सकते हैं, जो कई कमांड्स को सेमी-कॉलन (;) या यहां तक कि स्क्रिप्ट के साथ अलग करके निष्पादित करता है। ऐसा करने से आप कुछ निफ्टी सामान कर पाएंगे। उदाहरण के लिए, मैंने मुझे एक ईमेल भेजा है * मुझे बताएं कि एक अनुक्रम ट्रिगर किया गया है और कहां से.
- यह मत भूलो कि "उस के लिए एक ऐप है" और भले ही इस लेख में इसका उल्लेख नहीं किया गया है, आपको StavFX के एंड्रॉयड नॉकिंग प्रोग्राम को हथियाने के लिए प्रोत्साहित किया जाता है.
- एंड्रॉइड के विषय में रहते हुए, यह मत भूलो कि आमतौर पर निर्माता से ओएस में बनाया गया एक पीपीटीपी वीपीएन क्लाइंट है.
- शुरू में कुछ को अवरुद्ध करने और फिर पहले से स्थापित संचार की अनुमति देने की विधि, व्यावहारिक रूप से किसी भी टीसीपी आधारित संचार पर उपयोग की जा सकती है। वास्तव में डीडी-डब्ल्यूआरटी 1 ~ 6 फिल्मों पर नॉकडॉक में, मैंने वापस उसी तरह से किया है जब, मैंने दूरस्थ डेस्कटॉप प्रोटोकॉल (आरडीपी) का उपयोग किया है जो एक उदाहरण के रूप में पोर्ट 3389 का उपयोग करता है.
कौन मेरी नींद में खलल डालता है?