अवियाद रवििव और बीफिक द्वारा छवि।
प्रस्तावना
यदि आपने वीडीएन के लिए डीडी-डब्लूआरटी की कार्यक्षमता में निर्मित किया है या आपके नेटवर्क में एक और वीपीएन सर्वर है, तो आप इसे नॉक अनुक्रम के पीछे छिपाकर ब्रूट फोर्स अटैक से बचाने की क्षमता की सराहना कर सकते हैं। ऐसा करके, आप स्क्रिप्ट किड्स को फ़िल्टर करेंगे जो आपके नेटवर्क तक पहुंच प्राप्त करने का प्रयास कर रहे हैं। इसके साथ ही, जैसा कि पिछले लेख में बताया गया है, पोर्ट नॉकिंग एक अच्छा पासवर्ड और / या सुरक्षा नीति के प्रतिस्थापन नहीं है। याद रखें कि पर्याप्त धैर्य के साथ एक हमलावर अनुक्रम की खोज कर सकता है और एक रीप्ले हमला कर सकता है। यह भी ध्यान रखें, कि इसे लागू करने का नकारात्मक पक्ष यह है कि जब कोई भी वीपीएन क्लाइंट कनेक्ट करना चाहता है, तो उसे दस्तक अनुक्रम को ट्रिगर करना होगापहले ही और यदि वे किसी भी कारण से अनुक्रम को पूरा नहीं कर सकते हैं, तो वे वीपीएन में सक्षम नहीं होंगे।
अवलोकन
* वीपीएन सेवा की रक्षा के लिए हम पहले 1723 के तत्काल बंदरगाह को अवरुद्ध करके इसके साथ सभी संभावित संचार अक्षम कर देंगे। इस लक्ष्य को प्राप्त करने के लिए, हम iptables का उपयोग करेंगे। ऐसा इसलिए है, इस प्रकार सामान्य रूप से अधिकांश आधुनिक लिनक्स / जीएनयू वितरण और विशेष रूप से डीडी-डब्लूआरटी पर संचार को फ़िल्टर किया जाता है। यदि आप iptables के बारे में अधिक जानकारी चाहते हैं तो इसकी विकी प्रविष्टि चेकआउट करें, और इस विषय पर हमारे पिछले लेख को देखें। एक बार सेवा सुरक्षित होने के बाद, हम एक नॉक अनुक्रम बनाएंगे जो अस्थायी रूप से वीपीएन तत्काल बंदरगाह खोल देगा और पहले से स्थापित वीपीएन सत्र को ध्यान में रखते हुए इसे स्वचालित रूप से कॉन्फ़िगर किए गए समय के बाद बंद कर देगा।
नोट: इस गाइड में, हम एक उदाहरण के रूप में पीपीटीपी वीपीएन सेवा का उपयोग कर रहे हैं। इसके साथ ही, अन्य वीपीएन प्रकारों के लिए एक ही विधि का उपयोग किया जा सकता है, आपको केवल अवरुद्ध बंदरगाह और / या संचार प्रकार को बदलना होगा।
पूर्वापेक्षाएँ, धारणाएं और सिफारिशें
- यह माना जाता है कि आपके पास एक ओपीकेजी सक्षम डीडी-डब्लूआरटी राउटर है।
- यह माना जाता है कि आपने "नेटवर्क (डीडी-डब्लूआरटी) गाइड" में कैसे दस्तक दिया है, में पहले ही कदम उठाए हैं।
- कुछ नेटवर्किंग ज्ञान माना जाता है।
चलें शुरू करें।
चूक डीडी-डब्लूआरटी पर "नए वीपीएन ब्लॉक करें" नियम
जबकि "कोड" का निचला स्निपेट शायद लिनक्स / जीएनयू वितरण का उपयोग करके प्रत्येक, आत्म-सम्मान, आईपीटीबल्स पर काम करेगा, क्योंकि वहां बहुत सारे रूप हैं, हम केवल दिखाएंगे कि डीडी-डब्लूआरटी पर इसका उपयोग कैसे किया जाए। यदि आप चाहें तो सीधे कुछ भी आपको रोक नहीं रहा है, इसे सीधे वीपीएन बॉक्स पर लागू करने से। हालांकि, ऐसा करने के लिए, इस गाइड के दायरे से बाहर है।
चूंकि हम राउटर की फ़ायरवॉल में वृद्धि करना चाहते हैं, यह केवल तार्किक है कि हम "फ़ायरवॉल" स्क्रिप्ट में जोड़ देंगे। ऐसा करने से, फ़ायरवॉल रीफ्रेश होने पर iptables कमांड को निष्पादित करने का कारण बनता है और इस प्रकार हमारे संवर्धन को बनाए रखने के लिए रखा जाता है।
डीडी-डब्लूआरटी के वेब-जीयूआई से:
-
"प्रशासन" -> "आदेश" पर जाएं।
-
टेक्स्ट-बॉक्स में नीचे "कोड" दर्ज करें:
inline='$( iptables -L INPUT -n | grep -n 'state RELATED,ESTABLISHED' | awk -F: {'print $1'} )'; inline=$(($inline-2+1)); iptables -I INPUT '$inline' -p tcp --dport 1723 -j DROP
- "फ़ायरवॉल सहेजें" पर क्लिक करें।
- किया हुआ।
यह "वूडू" आदेश क्या है?
उपर्युक्त "वूडू जादू" कमांड निम्न कार्य करता है:
- आईपीटेबल लाइन कहां मिलती है जो पहले से स्थापित संचार को पार करने में सक्षम बनाता है। हम ऐसा करते हैं, क्योंकि डी डी-डब्लूआरटी राउटर पर, यदि वीपीएन सेवा सक्षम है, तो यह इस लाइन के नीचे स्थित होगा और बी। बी के बाद रहने के लिए पहले से स्थापित वीपीएन सत्रों को जारी रखने के हमारे लक्ष्य के लिए यह आवश्यक है घटना दस्तक देना
- सूचना कॉलम हेडर के कारण ऑफसेट के लिए लिस्टिंग कमांड के आउटपुट से दो (2) को घटाता है। एक बार ऐसा करने के बाद, उपरोक्त संख्या में एक (1) जोड़ता है, ताकि हम जो नियम डाल रहे हैं वह नियम के ठीक बाद आएगा जो पहले से स्थापित संचार की अनुमति देता है। मैंने यहां इस बहुत ही सरल "गणित की समस्या" छोड़ी है, सिर्फ यह तर्क देने के लिए कि "इसे किसी को जोड़ने के बजाय किसी को नियम के स्थान से क्यों कम करने की आवश्यकता है"।
नॉक कॉन्फ़िगरेशन
हमें एक नया ट्रिगरिंग अनुक्रम बनाना होगा जो नए वीपीएन कनेक्शन बनाएगा। ऐसा करने के लिए, टर्मिनल में जारी करके knockd.conf फ़ाइल को संपादित करें:
vi /opt/etc/knockd.conf
मौजूदा कॉन्फ़िगरेशन में शामिल हों:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
यह विन्यास होगा:
- 60 सेकंड तक अनुक्रम को पूरा करने के अवसर की खिड़की सेट करें। (इसे यथासंभव छोटा रखने की अनुशंसा की जाती है)
- बंदरगाहों 2, 1 और 2010 पर तीन दस्तक के अनुक्रम को सुनें (यह आदेश बंदरगाह स्कैनर को ट्रैक से फेंकने के लिए जानबूझकर है)।
- एक बार अनुक्रम का पता चला है, "start_command" निष्पादित करें। यह "iptables" कमांड फ़ायरवॉल नियमों के शीर्ष पर "बंदरगाह 1723 के लिए निर्धारित ट्रैफ़िक स्वीकार करें जहां से दस्तक आए थे"। (% आईपी% निर्देश विशेष रूप से नॉकड द्वारा इलाज किया जाता है और इसे नॉक मूल के आईपी के साथ प्रतिस्थापित किया जाता है)।
- "Stop_command" जारी करने से पहले 20 सेकंड तक प्रतीक्षा करें।
- "Stop_command" निष्पादित करें। जहां यह "iptables" कमांड उपरोक्त के विपरीत करता है और उस नियम को हटा देता है जो संचार की अनुमति देता है।
यही है, आपकी वीपीएन सेवा अब सफल "दस्तक" के बाद ही कनेक्ट हो सकती है।
लेखक युक्तियाँ
जबकि आपको पूरा सेट होना चाहिए, वहां कुछ ऐसे अंक हैं जिन्हें मुझे जरूरी समझने की आवश्यकता है।
- समस्या निवारण। याद रखें कि यदि आपको समस्याएं आ रही हैं, तो पहले लेख के अंत में "समस्या निवारण" सेगमेंट आपका पहला स्टॉप होना चाहिए।
- यदि आप चाहते हैं, तो आप "स्टार्ट / स्टॉप" निर्देशों को सेमी-कोलेन (;) या यहां तक कि एक स्क्रिप्ट के साथ अलग करके कई कमांड निष्पादित कर सकते हैं। ऐसा करने से आप कुछ निफ्टी सामान कर सकेंगे। उदाहरण के लिए, मैंने मुझे एक ईमेल भेज दिया है * मुझे बता रहा है कि एक अनुक्रम ट्रिगर किया गया है और कहां से।
- यह न भूलें कि "इसके लिए एक ऐप है" और भले ही इस आलेख में इसका उल्लेख नहीं किया गया है, फिर भी आपको StavFX के एंड्रॉइड नॉकर प्रोग्राम को पकड़ने के लिए प्रोत्साहित किया जाता है।
- एंड्रॉइड के विषय पर, यह न भूलें कि एक पीपीटीपी वीपीएन क्लाइंट आमतौर पर निर्माता से ओएस में बनाया गया है।
- शुरुआती रूप से कुछ अवरुद्ध करने और पहले से स्थापित संचार की अनुमति जारी रखने की विधि, व्यावहारिक रूप से किसी भी टीसीपी आधारित संचार पर उपयोग की जा सकती है। असल में डीडी-डब्लूआरटी 1 ~ 6 फिल्मों पर नॉकड में, मैंने वापस रास्ता किया है, मैंने दूरस्थ डेस्कटॉप प्रोटोकॉल (आरडीपी) का उपयोग किया है जो एक उदाहरण के रूप में पोर्ट 3389 का उपयोग करता है।
नोट: ऐसा करने के लिए, आपको अपने राउटर पर ईमेल कार्यक्षमता प्राप्त करने की आवश्यकता होगी, जो वर्तमान में वास्तव में ऐसा नहीं है जो काम करता है क्योंकि OpenWRT के opkg संकुल का एसवीएन स्नैपशॉट अव्यवस्था में है। यही कारण है कि मैं सीधे वीपीएन बॉक्स पर दस्तक का उपयोग करने का सुझाव देता हूं जो आपको लिनक्स / जीएनयू में उपलब्ध ईमेल भेजने के सभी विकल्पों का उपयोग करने में सक्षम बनाता है, जैसे एसएसएमटीपी और कुछ ईमेल का उल्लेख करने के लिए sendmail।
कौन मेरी नींद परेशान करता है?