Pagina principala » HOWTO » Cum să bateți în rețea (DD-WRT)

    Cum să bateți în rețea (DD-WRT)

    V-ați dorit vreodată să aveți acel "cioc de dormit" special cu routerul, pentru a avea doar "deschideți ușa" când a fost recunoscută lovitura secretă? How-To Geek explică modul de instalare a daemonului Knock pe DD-WRT.

    Imagine de Bfick și Aviad Raviv

    Dacă nu ați făcut-o deja, asigurați-vă și verificați articolele anterioare din serie:

    • Transformați Router-ul Acasă într-un Router Super-Powered cu DD-WRT
    • Cum se instalează software suplimentar pe routerul dvs. de acasă (DD-WRT)
    • Cum să eliminați reclamele cu Pixelserv pe DD-WRT

    Presupunând că sunteți familiarizați cu aceste subiecte, continuați să citiți. Rețineți că acest ghid este puțin mai tehnic, iar începătorii ar trebui să fie atenți atunci când își modifică router-ul.

    Prezentare generală

    În mod tradițional, pentru a putea comunica cu un dispozitiv / serviciu, ar trebui să inițieze o deplin conectarea la rețea cu acesta. Cu toate acestea, acest lucru expune, ceea ce se numește în epoca de securitate, o suprafață de atac. Daemonul Knock este un fel de dispozitiv de detectare a rețelei care poate reacționa atunci când se observă o secvență preconfigurată. Deoarece conexiunea nu trebuie stabilită pentru ca daemonul knock să recunoască o secvență configurată, suprafața de atac este redusă în timp ce se menține funcționalitatea dorită. Într-un sens, vom precondi router-ul cu un a dorit "Doi biți" răspuns (spre deosebire de Roger săraci ...).

    În acest articol vom:

    • Afișați cum să utilizați Knockd pentru a avea ruterul Wake-On-Lan un computer din rețeaua locală.
    • Afișați cum să declanșați secvența Knock de la o aplicație Android, precum și de la un calculator.

    Notă: În timp ce instrucțiunile de instalare nu mai sunt relevante, puteți viziona seria de filme pe care le-am creat "înapoi când", pentru a vedea întreaga rundown de configurare a bate. (Doar scuza prezentarea bruta).

    implicații legate de securitate

    Discuția despre "cât de sigură este Knockd?", Este lungă și datează de mai multe milenii (în anii de internet), dar următoarea este următoarea:

    Knock este un strat de securitate prin obscuritate, care ar trebui folosit doar pentru a spori alte mijloace, cum ar fi criptarea și nu ar trebui să fie folosite pe cont propriu ca un sfârșit, toate să fie toate măsurile de securitate.

    Condiții prealabile, presupuneri și recomandări

    • Se presupune că aveți un router DD-WRT cu Opkg activat.
    • Câteva răbdări, deoarece acest lucru poate dura "un timp" pentru configurare.
    • Este foarte recomandat să obțineți un cont DDNS pentru adresa dvs. externă (de obicei dinamică) IP.

    Permiteți-vă să crăpați

    Instalare și configurare de bază

    Instalați daemonul Knock deschizând un terminal la router și eliberând:

    opkg update; opkg instalați knockd

    Acum, când Knockd este instalat, trebuie să configuram secvențele de declanșare și comenzile care vor fi executate odată ce acestea sunt declanșate. Pentru aceasta, deschideți fișierul "knockd.conf" într-un editor de text. Pe router aceasta ar fi:

    vi /opt/etc/knockd.conf

    Asigurați-i ca conținutul să arate astfel:

    [Opțiuni]
    logfile = /var/log/knockd.log
    UseSyslog

    [Wakelaptop]
    secvența = 56,56,56,43,43,43,1443,1443,1443
    seq_timeout = 30
    comanda = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
    tcpflags = sincronizare

    Să explicăm cele de mai sus:

    • Segmentul "opțiuni" permite configurarea parametrilor globali ai daemonului. În acest exemplu, am instruit daemonul să păstreze un jurnal atât în ​​syslog, cât și într-un fișier. Deși nu dăunează folosirea ambelor opțiuni împreună, ar trebui să luați în considerare păstrarea doar a uneia dintre ele.
    • Segmentul "wakelaptop" este un exemplu de secvență care va declanșa comanda WOL în rețeaua LAN pentru un computer cu adresa MAC aa: bb: cc: dd: ee: 22.
      Notă: Comanda de mai sus presupune comportamentul implicit de a avea o subrețea de clasa C. 

    Pentru a adăuga mai multe secvențe, copiați și lipiți segmentul "wakelaptop" și reglați parametrii noi și / sau comenzile care trebuie executate de router.

    Lansare

    Pentru ca routerul să invocă daemonul la pornire, adăugați mai jos scriptul "geek-init" din ghidul OPKG:

    knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"

    Aceasta va porni daemonul Knock de pe interfața "WAN" a routerului dvs., astfel încât să asculte pachetele de pe internet.

    Knock de pe Android

    În vîrstă de portabilitate este aproape imperativ să "aibă o aplicație pentru asta" ... deci StavFX a creat unul pentru sarcina :)
    Această aplicație execută secvențele de batere chiar de pe dispozitivul dvs. Android și acceptă crearea de widget-uri pe ecranele dvs. de acasă.

    • Instalați aplicația Knocker de pe piața Android (de asemenea, vă rugăm să fiți amabili și să îi acordați o notă bună).
    • Odată instalat pe dispozitiv, lansați-l. Ar trebui să fiți întâmpinați de ceva de genul:
    • Puteți apăsa lung pictograma exemplu pentru ao edita sau faceți clic pe "meniu" pentru a adăuga o intrare nouă. O intrare nouă ar arăta astfel:
    • Adăugați linii și completați informațiile necesare pentru baterea dvs. De exemplu, configurația WOL de mai sus ar fi:
    • Schimbați opțional pictograma apăsând lung pe pictograma din dreptul numelui Knock.
    • Salvați Knock.
    • Apăsați singur noul Knock din ecranul principal pentru al activa.
    • Opțional, creați un widget pentru acesta pe un ecran de pornire.

    Rețineți că în timp ce am configurat fișierul de configurare exemplu cu grupuri de câte 3 pentru fiecare port (din cauza secțiunii Telnet de mai jos), cu această aplicație nu există nici o restricție privind cantitatea de repetări (dacă este deloc) pentru un port.
    Distrează-te folosind aplicația pe care StavFX a donat-o :-)

    Knock de la Windows / Linux

    În timp ce este posibil să se efectueze baterea cu cea mai simplă utilitate de rețea a.k.a "Telnet", Microsoft a decis că Telnet este un "risc de securitate" și, ulterior, nu îl mai instalează în mod implicit pe ferestrele moderne. Dacă mă întrebi "Cei care pot renunța la libertatea esențială pentru a obține o mică siguranță temporară, nu merită nici libertate, nici siguranță. ~ Benjamin Franklin ", dar am digresa.

    Motivul pentru care setăm secvența de exemple la grupuri de câte 3 pentru fiecare port este că atunci când telnet nu poate să se conecteze la portul dorit, va încerca automat din nou de 2 ori. Aceasta înseamnă că telnet va bate de fapt de 3 ori înainte de a renunța. Deci, tot ce trebuie să faceți este să executați comanda telnet o dată pentru fiecare port din grupul de porturi. Este, de asemenea, motivul pentru care a fost selectat un interval de timp de 30 de secunde, deoarece trebuie să așteptăm timpul de expirare al telnet-ului pentru fiecare port până când executăm următorul grup de porturi. Se recomandă ca atunci când ați terminat cu faza de testare, să automatizați această procedură cu un simplu script Batch / Bash.

    Folosind secvența noastră de exemplu acest lucru ar arăta astfel:

    • Dacă vă aflați pe ferestre, urmați instrucțiunile MS pentru a instala Telnet.
    • Treceți la o linie de comandă și eliberați:
      telnet geek.dyndns-at-home.com 56
      telnet geek.dyndns-at-home.com 43
      telnet geek.dyndns-at-home.com 1443

    Dacă totul a mers bine, asta ar trebui să fie.

    Depanare

    Dacă routerul dvs. nu reacționează la secvențe, iată câteva pași de depanare pe care îi puteți lua:

    • Vizualizați jurnalul - Knockd va păstra un jurnal pe care îl puteți vedea în timp real pentru a vedea dacă secvențele de batere au ajuns la daemon și dacă comanda a fost executată corect.
      Presupunând că utilizați cel puțin fișierul de jurnal ca în exemplul de mai sus, pentru al vedea în timp real, eliberați într-un terminal:

      coada -f /var/log/knockd.log

    • Fiți atenți la firewall-uri - Uneori, ISP-ul dvs., locul de muncă sau internet cafe-ul, puteți să vă blocați comunicarea. Într-un astfel de caz, în timp ce routerul dvs. poate asculta, baterea în porturile care sunt blocate de orice parte a lanțului nu va ajunge la router și va avea dificultăți în a reacționa la ele. De aceea se recomandă să încercați combinații care utilizează porturile bine cunoscute, cum ar fi 80, 443, 3389 și așa mai departe, înainte de a încerca mai multe aleatorii. Din nou, puteți vizualiza jurnalul pentru a vedea ce porturi ating interfața WAN a routerului.
    • Încercați secvențele interne - Înainte de a implica complexitatea de mai sus pe care alte părți ale lanțului le-ar putea introduce, se recomandă să încercați să executați secvențele interne pentru a vedea că aceștia A. loviți routerul așa cum credeți că ar trebui B. executați comanda / cum este de așteptat. Pentru a realiza acest lucru, puteți porni Knockd în timp ce vă conectați la interfața LAN cu:

      knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

      După executarea celor de mai sus, puteți direcționa clientul Knocking pe IP intern al routerului în locul celui extern.
      Sfat: Deoarece nodul ascultă la nivelul "interfeței" și nu la nivelul IP, poate doriți să aveți o instanță de KnockD care rulează pe interfața LAN tot timpul. Ca "knocker" a fost actualizat pentru a sprijini două gazde pentru bate, acest lucru va pentru a simplifica și consolida profilul dvs. bate.

    • Amintiți-vă de ce parte a dvs. pe - Nu este posibil să Knock interfața WAN de la interfața LAN în configurația de mai sus. Dacă doriți să aveți posibilitatea să bateți, indiferent de "ce parte a dvs.", puteți rula pur și simplu demonul de două ori, Odată legat la WAN ca în articol și o dată legat la LAN ca în pasul de depanare de mai sus. Nu există nici o problemă care să fie difuzată atât prin combinarea simplă a comenzii de mai sus cu același script geek-init.

    Comentarii

    În timp ce exemplul de mai sus poate fi realizat prin alte metode, sperăm că îl puteți folosi pentru a învăța cum să realizați mai multe lucruri avansate. O parte a doua la acest articol care ascunde serviciul VPN în spatele unui bate vine, așa că stați bine reglate.

    Prin intermediul Knocking, veți putea: Porturi deschise dinamic, Dezactivare / Activare servicii, calculatoare de la distanță WOL și multe altele ...