Kako kucati u vašu mrežu (DD-WRT)

Jeste li ikada željeli imati taj poseban "kurac kucati" s vašim usmjerivačem, kao da je to samo "otvori vrata" kada je tajno kucanje prepoznato? How-To Geek objašnjava kako instalirati Knock daemon na DD-WRT.

Slika Bfick i Aviad Raviv

Ako to već niste učinili, budite sigurni i provjerite prethodne članke u nizu:

• Pretvorite svoj početni usmjerivač u Super-Powered Router s DD-WRT
• Kako instalirati dodatni softver na kućnom usmjerivaču (DD-WRT)
• Kako ukloniti oglase s Pixelserv na DD-WRT

Pod pretpostavkom da ste upoznati s tim temama, nastavite čitati. Imajte na umu da je ovaj vodič malo tehničniji, a početnici trebaju biti oprezni prilikom modiranja usmjerivača.

Pregled

Tradicionalno, kako bi mogli komunicirati s uređajem / uslugom, morat će se pokrenuti puni mrežnu vezu s njom. Međutim, to tako izlaže, ono što se zove u dobu sigurnosti, površinu napada. Knock daemon je vrsta njuškanja mreže koja može reagirati kada se promatra unaprijed konfigurirana sekvenca. Budući da veza ne mora biti uspostavljena kako bi demo demo prepoznala konfiguriranu sekvencu, površina napada smanjena je uz održavanje željene funkcionalnosti. U smislu, pretpostavit ćemo usmjerivač aželji "Dva bita" odgovor (za razliku od siromašnog Rogera ...).

U ovom članku ćemo:

• Pokazujte kako koristiti Knockd kako biste usmjerivač Wake-On-Lan koristili računalo na lokalnoj mreži.
• Pokažite kako pokrenuti naredbu Knock iz Androidove aplikacije, kao i računala.

Napomena: Iako upute za instalaciju više nisu relevantne, možete gledati seriju videozapisa koje sam izradio "put natrag kada", da biste vidjeli cijelo razdoblje konfiguracije na kucanje. (Samo oprostite grubu prezentaciju).

Sigurnosne implikacije

Rasprava o "kako je sigurnost Knockd?", Dugo je i datira već tisućljećima (u internetskim godinama), ali najvažnije je ovo:

Knock je sloj sigurnosti od strane opskurnosti, koja bi se trebala koristiti samo za povećati drugim sredstvima kao što je enkripcija i ne bi se trebalo koristiti na vlastitu kao kraj, svi su svi sigurnosni mjerili.

Preduvjeti, pretpostavke i preporuke

• Pretpostavlja se da imate opcijski DD-WRT usmjerivač opcije.
• Neki strpljivost kao ovaj svibanj uzeti "neko vrijeme" za postavljanje.
• Preporučljivo je dobiti DDNS račun za vanjsku (obično dinamičku) IP.

Omogućuje pucanje

Instalacija i Osnovna konfiguracija

Instalirajte Knock daemon otvaranjem terminala usmjerivaču i izdavanjem:

opkg update; opkg instalirajte knockd

Sada kada je instaliran Knockd moramo konfigurirati pokretačke sekvence i naredbe koje će biti izvršene nakon pokretanja. Da biste to učinili, otvorite datoteku "knockd.conf" u uređivaču teksta. Na ruteru to bi bilo:

vi /opt/etc/knockd.conf

Izgledajte njegov sadržaj:

[Mogućnosti]
logfile = /var/log/knockd.log
UseSyslog

[Wakelaptop]
sekvenca = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
komandi = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram dobiti lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = sinkronizacija

Objasnite gore navedeno:

• Segment "opcija" omogućuje konfiguriranje globalnih parametara za daemon. U ovom smo primjeru uputili daemon kako bi zadržao zapisnik u syslogu iu datoteci. Iako ne oštećuje obje opcije zajedno, trebali biste razmotriti zadržavanje samo jednog od njih.
• "Wakelaptop" segment je primjer slijeda koji će pokrenuti naredbu WOL na vašem LAN-u za računalo s MAC adresom aa: bb: cc: dd: ee: 22.
  Napomena: Naredba gore, pretpostavlja zadano ponašanje da ima podmrežu C klase.

Da biste dodali više sekvenci, jednostavno kopirajte i zalijepite segment "wakelaptop" i prilagodite novim parametrima i / ili naredbama koje izvršava usmjerivač.

Stavljanje u pogon

Da bi se router pozvao daemon prilikom pokretanja, dodajte dolje na skriptu "geek-init" iz vodiča OPKG:

knockd -d -c /opt/etc/knockd.conf -i "$ (nvram dobiti wan_ifname)"


To će započeti Knock daemon na "WAN" sučelju vašeg usmjerivača, tako da će slušati pakete s interneta.

Kucajte s Androida

U doba prenosivosti gotovo je imperativ da "imamo aplikaciju za to" ... pa je StavFX stvorio jedan za zadatak :)
Ova aplikacija izvodi sekvence kucanja izravno s vašeg Android uređaja i podržava izradu widgeta na početnim zaslonima.

• Instalirajte aplikaciju Knocker s tržišta Android (također budite ljubazni i dajte mu dobru ocjenu).
• Jednom instaliran na vašem uređaju, pokrenite ga. Trebao bi te pozdraviti nešto slično:
  
• Možete dugo pritisnuti ikonu primjera da biste je uredili ili kliknite "izbornik" da biste dodali novi unos. Novi unos bi izgledao kao:
  
• Dodajte retke i ispunite potrebne informacije za svoje kucanje. Na primjeru WOL konfiguracije odozgo, ovo bi bilo:
  
• Opcionalno promijenite ikonu dugim pritiskom na ikonu pored naziva Knock.
• Spremi Knock.
• Pojedinačno dodirnite novi Knock na glavnom zaslonu da biste je aktivirali.
• Po želji stvorite widget za njega na početnom zaslonu.

Imajte na umu da smo prilikom konfiguriranja primjerice konfiguracijske datoteke s tri skupine za svaki priključak (zbog odjeljka Telnet u nastavku), s ovom aplikacijom nema ograničenja količine ponavljanja (ako uopće) za luku.
Zabavite se pomoću aplikacije koju je StavFX donirao :-)

Kucajte iz sustava Windows / Linux

Iako je moguće obaviti kucanje s najjednostavnijim mrežnim programom a.k.a "Telnet", Microsoft je odlučio da je Telnet "sigurnosni rizik" i nakon toga ga više ne instalira prema zadanim postavkama na moderna prozora. Ako me pitate: "Oni koji se mogu odreći bitne slobode da dobiju privremenu sigurnost, ne zaslužuju ni slobode ni sigurnost. ~ Benjamin Franklin ", ali ja odstupiti.

Razlog zašto smo postavili primjer sekvence za grupe od 3 za svaki ulaz je da kad telnet ne može spojiti na željeni priključak, automatski će se pokušati još 2 puta. To znači da će telnet zapravo kucati 3 puta prije odustajanja. Dakle, sve što trebamo učiniti jest izvršiti naredbu telnet jednom za svaku luku u luci skupine. To je također razlog za odabir vremenskog intervala od 30 sekundi jer moramo pričekati vremensko ograničenje telneta za svaki ulaz dok ne izvršimo sljedeću skupinu porta. Preporuča se da nakon završetka faze testiranja automatizirate ovaj postupak jednostavnim Batch / Bash skriptom.

Koristeći našu primjernu sekvencu to bi izgledalo kao:

• Ako ste na Windowsima, slijedite MS instrukciju da biste instalirali Telnet.
• Ispustite naredbeni redak i izdajte:
  telnet geek.dyndns-at-home.com 56
  telnet geek.dyndns-at-home.com 43
  telnet geek.dyndns-at-home.com 1443

Ako sve bude dobro, to bi trebalo biti.

Rješavanje problema

Ako vaš usmjerivač ne reagira na slijedove, evo nekoliko koraka za otklanjanje poteškoća koje možete poduzeti:

• Pregledajte zapisnik - Knockd će čuvati zapisnik koji možete vidjeti u stvarnom vremenu kako biste vidjeli jesu li sekvenci za kucanje stigli do demona i ako je naredba ispravno izvršena.
  Pod pretpostavkom da barem koristite datoteku zapisnika kao u gore navedenom primjeru, da biste ga vidjeli u stvarnom vremenu, izdajte na terminalu:

  rep -f /var/log/knockd.log

• Budite svjesni vatrozida - Ponekad vaš ISP, radno mjesto ili internet kafić, preuzimate slobodu blokiranja komunikacije za vas. U takvom slučaju, dok vaš usmjerivač možda sluša, udarci na lukama blokiranim bilo kojim dijelom lanca neće doći do usmjerivača i teško će reagirati na njih. Zato se preporučuje isprobati kombinacije koje koriste poznate luke kao što su 80, 443, 3389 i tako dalje prije nego što pokušate s više slučajnih. Opet, možete vidjeti zapisnik kako biste vidjeli koji portovi dostižu usmjerivač WAN sučelje.
• Isprobajte sekvence interno - Prije nego što uključite gore navedenu složenost koju drugi dijelovi lanca mogu uvesti, preporučuje se da pokušate izvršiti sekvence interno kako biste vidjeli da A. pogoditi usmjerivač kao što mislite da trebaju B. izvršiti naredbu / kao što se i očekivalo. Da biste to postigli, možete pokrenuti Knockd dok je vezan za LAN sučelje:
  

  knockd -d -i "$ (nvram dobiti lan_ifnameq)" -c /opt/etc/knockd.conf

  Nakon što je gore navedeno izvršeno, možete usmjeriti Knocking klijent na unutarnju IP adresu usmjerivača umjesto na vanjsku.
  Savjet: Budući da se knockd sluša na razini "sučelja", a ne na razini IP-a, možda biste željeli imati instancu KnockD-a koji se trčanje na LAN sučelju cijelo vrijeme. Budući da je "Knocker" ažuriran kako bi podržao dva domaćina za kucanje, to će učiniti kako bi pojednostavnili i konsolidirali svoje profile kucanja.

• Sjetite se na kojoj strani se nalazite - Nije moguće prekinuti WAN sučelje s LAN sučelja u gornjoj konfiguraciji. Ako želite biti u stanju kucati bez obzira na "ono što je vaša strana", možete jednostavno pokrenuti demon dva puta, jednom vezan za WAN kao u članku i jednom povezan s LAN-om kao u koraku uklanjanja pogrešaka odozgo. Nema problema pri pokretanju u kombinaciji jednostavnim dodavanjem naredbe odozgo na istu geek-init skriptu.

Opaske

Premda se gore navedeni primjer može postići različitim drugim metodama, nadamo se da je možete upotrijebiti kako biste saznali kako postići više naprednih stvari. Dio dva na ovaj članak koji krije VPN uslugu iza kucanja dolazi, stoga budite u tijeku.

Kucanjem ćete moći: dinamički otvoriti portove, onemogućiti / omogućiti usluge, daljinski WOL računala i još mnogo toga ...