Domača » kako » Kako udariti v vaše omrežje (DD-WRT)

    Kako udariti v vaše omrežje (DD-WRT)

    Ste že kdaj želeli, da bi s svojim usmerjevalnikom poskakali ta poseben »dom«, da bi le »odprl vrata«, ko je bil prepoznan tajni udar? Kako naj Geek razloži, kako namestiti demon Knock na DD-WRT.

    Slika: Bfick in Aviad Raviv

    Če še niste, se prepričajte in preverite prejšnje članke v seriji:

    • Vključite domači usmerjevalnik v super pogon z DD-WRT
    • Kako namestiti dodatno programsko opremo na domačem usmerjevalniku (DD-WRT)
    • Kako odstraniti oglase s Pixelserv na DD-WRT

    Ob predpostavki, da ste seznanjeni s temi temami, nadaljujte z branjem. Ne pozabite, da je ta priročnik malo bolj tehničen in začetniki morajo biti previdni pri moddingih usmerjevalnika.

    Pregled

    Tradicionalno, da bi lahko komunicirali z napravo / storitvijo, bi morali sprožiti a poln povezavo z njo. Vendar pa to, kar se imenuje v varnostni dobi, razkriva napadalno površino. Demon Knock je vrsta omrežnega snifferja, ki se lahko odzove, če opazimo prednastavljeno zaporedje. Ker ni treba vzpostaviti povezave, da bi demon za odkrivanje prepoznal konfigurirano zaporedje, se površina napada zmanjša, medtem ko ohranja želeno funkcionalnost. V nekem smislu bomo usmerjevalnik predpogoj z a želeno Odziv »dva bitja« (za razliko od slabega Rogerja…).

    V tem članku bomo:

    • Pokažite, kako uporabite Knockd, da je usmerjevalnik Wake-On-Lan v vašem lokalnem omrežju.
    • Pokažite, kako sprožiti zaporedje Knock iz aplikacije Android in tudi računalnika.

    Opomba: Čeprav navodila za namestitev niso več primerna, si lahko ogledate filmsko serijo, ki sem jo ustvaril »nazaj,«, da si ogledate celoten potek konfiguriranja za trkanje. (Samo oprostite grobo predstavitev).

    Varnostne posledice

    Razprava o tem, kako varna je Knockd, je dolga in sega več tisočletij (v internetnih letih), toda spodnja točka je:

    Knock je plast varnosti zaradi nejasnosti, ki jo je treba uporabiti le izboljšati druga sredstva, kot je šifriranje, in jih ne smete uporabljati na svojem lastnem mestu, kot konec vse so vsi varnostni ukrepi.

    Predpogoji, predpostavke in priporočila

    • Predvideva se, da imate Opkg omogočen DD-WRT usmerjevalnik.
    • Nekaj ​​potrpljenja, saj lahko to traja nekaj časa.
    • Zelo priporočljivo je, da dobite DDNS račun za vaš zunanji (običajno dinamični) IP.

    Lupimo se

    Namestitev in osnovna konfiguracija

    Namestite demon Knock tako, da odprete terminal za usmerjevalnik in izdate:

    posodobitev opkg; opkg namestite knockd

    Zdaj, ko je Knockd nameščen, moramo konfigurirati prožilne sekvence in ukaze, ki se bodo izvršili, ko bodo sproženi. Če želite to narediti, odprite datoteko “knockd.conf” v urejevalniku besedila. Na usmerjevalniku bi to bilo:

    vi /opt/etc/knockd.conf

    Naj bo vsebina videti tako:

    [opcije]
    logfile = /var/log/knockd.log
    UseSyslog

    [wakelaptop]
    sekvenca = 56,56,56,43,43,43,1443,1443,1443
    seq_timeout = 30
    command = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram dobite lan_ipaddr | cut -d. -f 1,2,3) .255
    tcpflags = sync

    Naj pojasnimo zgoraj navedeno:

    • Segment »Možnosti« omogoča konfiguracijo globalnih parametrov za demon. V tem primeru smo daemonu naročili, naj hrani dnevnik tako v syslogu kot v datoteki. Čeprav ne vpliva na uporabo obeh možnosti v povezavi, morate razmisliti o ohranitvi samo ene od teh možnosti.
    • Segment »wakelaptop« je primer zaporedja, ki bo sprožil ukaz WOL za vaš LAN za računalnik z MAC naslovom aa: bb: cc: dd: ee: 22.
      Opomba: zgornji ukaz predvideva privzeto obnašanje podomrežja razreda C. 

    Če želite dodati več zaporedij, preprosto kopirajte in prilepite segment »wakelaptop« in ga prilagodite z novimi parametri in / ali ukazi, ki jih mora usmerjevalnik izvesti..

    Začeti

    Če želite, da usmerjevalnik ob zagonu prikliče demon, dodajte spodaj skript »geek-init« iz priročnika OPKG:

    knockd -d -c /opt/etc/knockd.conf -i "$ (nvram dobili wan_ifname)"

    S tem boste zagnali demon Knock na vmesniku »WAN« vašega usmerjevalnika, tako da bo poslušal pakete z interneta..

    Udari iz Androida

    V dobi prenosljivosti je skoraj nujno, da „imamo aplikacijo za to“… zato je StavFX ustvaril eno za nalogo :)
    Ta aplikacija opravlja trkanje zaporedij desno od vaše naprave Android in podpira ustvarjanje pripomočkov na vašem domačih zaslonih.

    • Namestite aplikacijo Knocker s trga Android (prav tako bodite prijazni in ji podajte dobro oceno).
    • Ko ga namestite v napravo, ga zaženite. Sprejel vas mora nekaj takega:
    • Lahko dolgo pritisnete ikono primera, da jo uredite, ali pa kliknite »meni«, da dodate nov vnos. Nov vnos bo videti tako:
    • Dodajte vrstice in izpolnite podatke, ki so potrebni za vaš Kucanje. Za primer WOL konfiguracije od zgoraj bi bilo:
    • Opcijsko spremenite ikono z dolgim ​​pritiskom na ikono poleg imena Knock.
    • Shrani Knock.
    • Posamezno tapnite novo Knock v glavnem zaslonu, da ga aktivirate.
    • Po želji lahko ustvarite pripomoček na začetnem zaslonu.

    Upoštevajte, da čeprav smo konfigurirali primer konfiguracijske datoteke s skupinami 3 za vsako vrata (zaradi spodnjega razdelka Telnet), pri tej aplikaciji ni omejitev glede števila ponovitev (če sploh) za vrata..
    Zabavajte se z aplikacijo, ki jo je StavFX podaril :-)

    Knock iz operacijskega sistema Windows / Linux

    Medtem ko je možno izvesti snemanje z najpreprostejšim omrežnim pripomočkom a.k.a “Telnet”, se je Microsoft odločil, da je Telnet “varnostno tveganje” in ga potem ne namesti po privzetku na moderna okna. Če me vprašate: »Tisti, ki se lahko odrečejo bistveni svobodi, da bi dobili malo začasne varnosti, si ne zaslužijo niti svobode niti varnosti. Benjamin Franklin.

    Razlog za nastavitev primera zaporedja za skupine 3 za vsako vrsto vrat je ta, da ko se telnet ne more povezati z želenimi vrati, se bo samodejno poskusil ponovno dvakrat. To pomeni, da bo telnet dejansko potrkal 3-krat, preden se je odrekel. Torej, vse, kar moramo storiti, je enkrat izvršiti ukaz telnet za vsa vrata v skupini vrat. To je tudi razlog, da je bil izbran 30-sekundni interval prekinitve, saj moramo počakati na časovno omejitev telneta za vsa vrata, dokler ne izvedemo naslednje skupine vrat. Priporočljivo je, da, ko končate s fazo testiranja, ta postopek avtomatizirate s preprostim skriptom Batch / Bash.

    Z uporabo našega primera bi to izgledalo tako:

    • Če je na vašem oknu, sledite navodilom MS, da namestite Telnet.
    • Preskoči v ukazno vrstico in izdaja:
      telnet geek.dyndns-at-home.com 56
      telnet geek.dyndns-at-home.com 43
      telnet geek.dyndns-at-home.com 1443

    Če bi vse šlo dobro, bi moralo biti to.

    Odpravljanje težav

    Če se usmerjevalnik ne odziva na zaporedja, je na voljo nekaj korakov za odpravljanje težav:

    • Oglejte si dnevnik - Knockd bo vodil dnevnik, ki ga lahko vidite v realnem času, da vidite, ali so udarna zaporedja prispela v demon in če je bil ukaz pravilno izveden.
      Ob predpostavki, da uporabljate log datoteko, kot je prikazano v zgornjem primeru, da jo vidite v realnem času, izdajte v terminalu:

      tail -f /var/log/knockd.log

    • Bodite pozorni na požarne zidove - Včasih lahko vaš ISP, delovno mesto ali internetna kavarna blokira komunikacijo za vas. V takem primeru, medtem ko vaš usmerjevalnik morda posluša, trkanje na vratih, ki jih blokira katerikoli del verige, ne bodo dosegli usmerjevalnika in bo težko reagiral na njih. Zato je priporočljivo, da preizkusite kombinacije, ki uporabljajo znana vrata, kot so 80, 443, 3389 in tako naprej, preden poskusite več naključnih. Spet lahko pogledate dnevnik, da vidite, katera vrata dosežejo vmesnik WAN usmerjevalnika.
    • Preizkusite zaporedja interno - Pred vključitvijo zgornje zapletenosti, ki jo lahko uvedejo drugi deli verige, je priporočljivo, da poskušate zaporedja interno izvesti, da bi videli, da so A. udarili v usmerjevalnik, kot mislite, da bi morali B. izvršiti ukaz / kot je bilo pričakovano. Da bi to dosegli, lahko zaženete Knockd, medtem ko ste vezani na vmesnik LAN z:

      knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

      Ko se zgornji postopek izvede, lahko usmerite stranko Snemanje na notranji IP usmerjevalnika namesto na zunanjega.
      Nasvet: Ker knockd posluša na ravni "vmesnika" in ne na ravni IP, boste morda želeli, da se na vmesniku LAN ves čas izvaja primer KnockD. Ker je »Knocker« posodobljen, da podpira dva gostitelja za trkanje, bo to storil, da bi poenostavili in utrdili vaše profile.

    • Ne pozabite, na kateri strani je vaš - Ni možno izklopiti vmesnika WAN iz vmesnika LAN v zgornji konfiguraciji. Če želite biti sposobni udariti, ne glede na to, na kateri strani ste, lahko demona dvakrat preprosto zaženete, ko ste vezani na WAN kot v članku in ko se enkrat povežete z LAN-om kot pri koraku za odpravljanje napak od zgoraj. Nobenega problema ni, da bi oba delovala skupaj, tako da preprosto dodate ukaz od zgoraj k istemu skriptu geek-init.

    Opombe

    Čeprav je zgornji primer mogoče doseči z različnimi drugimi metodami, upamo, da ga lahko uporabite, da se naučite, kako doseči več naprednih stvari. Drugi del tega članka, ki skriva storitev VPN za kucanjem, prihaja, zato ostanite z nami.

    Skozi Knocking, boste lahko: Dinamično odprta vrata, Onemogoči / Omogoči storitve, daljinsko WOL računalniki in še več ...