Slik knocker du inn i nettverket ditt (DD-WRT)
Har du noen gang ønsket å ha den spesielle "dormknock" med ruteren din, for å få den bare "åpne døren" når den hemmelige banken er blitt gjenkjent? How-To Geek forklarer hvordan du installerer Knock-demonen på DD-WRT.
Bilde av Bfick og Aviad Raviv
Hvis du ikke allerede har det, vær sikker og sjekk ut tidligere artikler i serien:
- Slå hjemmevirksomden inn i en superdrevet ruter med DD-WRT
- Slik installerer du tilleggsprogramvare på din hjemmerouter (DD-WRT)
- Slik fjerner du annonser med Pixelserv på DD-WRT
Forutsatt at du er kjent med emnene, fortsett å lese. Husk at denne veiledningen er litt mer teknisk, og nybegynnere bør være forsiktige når de modger ruteren.
Oversikt
Tradisjonelt, for å kunne kommunisere med en enhet / tjeneste må man starte en full nettverksforbindelse med den. Men det gjør det så, det som kalles i sikkerhetsalderen, en angrepsoverflate. Knock-demonen er en slags nettverkssniffer som kan reagere når en pre-konfigurert sekvens blir observert. Ettersom en forbindelse ikke må etableres for at klokkedemoen skal gjenkjenne en konfigurert sekvens, blir angrepsoverflaten redusert mens den ønskede funksjonaliteten opprettholdes. På en måte forutsetter vi ruteren med en ønskede "To bits" -svar (i motsetning til dårlig Roger ...).
I denne artikkelen vil vi:
- Vis hvordan du bruker Knockd til å ha ruteren Wake-On-Lan en datamaskin på ditt lokale nettverk.
- Vis hvordan du utløser Knock-sekvensen fra et Android-program, samt en datamaskin.
Merk: Selv om installasjonsinstruksjonene ikke lenger er relevante, kan du se filmserien jeg har opprettet "vei tilbake når", for å se hele nedslaget av konfigurering for å banke. (Bare unnskyld den urene presentasjonen).
sikkerhetsimplikasjonene
Diskusjonen om "hvor sikker er Knockd?", Er lang og går tilbake mange tusen år (i internettår), men bunnlinjen er dette:
Knock er et lag av sikkerhet av uklarhet, som bare burde brukes til forbedre andre måter som kryptering og ikke skal brukes på egenhånd som en slutt, alle være alle sikkerhetsmålinger.
Forutsetninger, antagelser og anbefalinger
- Det antas at du har en Opkg-aktivert DD-WRT-ruter.
- Enkel tålmodighet som dette kan ta en stund å sette opp.
- Det anbefales sterkt at du får en DDNS-konto for din eksterne (vanligvis dynamiske) IP.
Lar deg sprekke
Installasjon og grunnleggende konfigurasjon
Installer Knock-demonen ved å åpne en terminal til ruteren og utstede:
opkg oppdatering; oppkg installere knockd
Nå som Knockd er installert, må vi konfigurere utløsende sekvenser og kommandoer som skal utføres når de utløses. For å gjøre dette, åpne "knockd.conf" -filen i et tekstredigeringsprogram. På ruteren ville dette være:
vi /opt/etc/knockd.conf
Lag innholdet slik:
[Options]
loggfil = /var/log/knockd.log
UseSyslog
[Wakelaptop]
sekvens = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
kommando = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram får lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = synkronisering
Kan forklare det ovennevnte:
- Med "Options" -segmentet kan man konfigurere globale parametere for demonen. I dette eksemplet har vi instruert demonen til å holde en logg både i syslog og i en fil. Selv om det ikke skader ved hjelp av begge alternativene i forbindelse, bør du vurdere å holde bare en av dem.
- Segmentet "wakelaptop" er et eksempel på en sekvens som vil utløse WOL-kommandoen til ditt LAN for en datamaskin med MAC-adressen til aa: bb: cc: dd: ee: 22.
Merk: Kommandoen ovenfor antar standard oppførsel for å ha et klasse C-undernett.
For å legge til flere sekvenser, kopier og lim inn "wakelaptop" -segmentet og juster med nye parametere og / eller kommandoer som skal utføres av ruteren.
oppstart
For å få ruteren til å påkalle demonen ved oppstart legger du til undernavnet til "geek-init" -skriptet fra OPKG-guiden:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram få wan_ifname)"
Dette vil starte Knock-demonen på "WAN" -grensesnittet til ruteren, slik at den vil lytte til pakker fra Internett.
Knock fra Android
I en alder av bærbarhet er det nesten viktig å "ha en app for det" ... så StavFX opprettet en for oppgaven :)
Denne appen utfører slå sekvensene rett fra Android-enheten din, og den støtter å lage widgets på startskjermen.
- Installer Knocker-programmet fra Android-markedet (vær også snill og gi den en god vurdering).
- Når du er installert på enheten, starter du den. Du bør bli møtt av noe som:
- Du kan lenge trykke på eksempelikonet for å redigere det, eller klikk på "meny" for å legge til en ny oppføring. En ny oppføring vil se ut som:
- Legg til linjer og fyll inn informasjonen som kreves for din banking. For eksempelet WOL-konfigurasjon ovenfra ville dette være:
- Endre ikonet ved å trykke lenge på ikonet ved siden av Knock-navnet.
- Lagre Knock.
- Enkelt trykk på den nye Knock-knappen på hovedskjermen for å aktivere den.
- Opprett eventuelt en widget for den på en startskjerm.
Husk at mens vi har konfigurert eksempelkonfigurasjonsfilen med grupper på 3 for hver port (på grunn av Telnet-delen nedenfor), med dette programmet er det ingen begrensning på mengden repeter (hvis i det hele tatt) for en port.
Ha det gøy å bruke appen som StavFX har donert :-)
Knock fra Windows / Linux
Mens det er mulig å utføre Knocking med det enkleste nettverksverktøyet a.k.a "Telnet", har Microsoft bestemt at Telnet er en "sikkerhetsrisiko" og senere ikke lenger installerer den som standard på moderne vinduer. Hvis du spør meg "De som kan gi opp avgjørende frihet til å oppnå litt midlertidig sikkerhet, fortjener ingen frihet eller sikkerhet. ~ Benjamin Franklin ", men jeg går ut.
Grunnen til at vi stiller eksempelsekvensen til grupper på 3 for hver port, er at når telnet ikke kan koble til ønsket port, vil den automatisk prøve igjen 2 ganger. Dette betyr at telnet faktisk vil slå 3 ganger før du gir opp. Så alt vi trenger å gjøre er å utføre telnet-kommandoen en gang for hver port i portgruppen. Det er også grunnen til at et 30-sekunders tidsintervall er valgt, da vi må vente på telnet tidsavbrudd for hver port til vi utfører neste portgruppe. Det anbefales at når du er ferdig med testfasen, automatiserer du denne prosedyren med et enkelt Batch / Bash-skript.
Ved hjelp av vår eksempeleksempel ser dette ut som:
- Hvis du er på Windows, følg MS instruksjonene for å installere Telnet.
- Slett til en kommandolinje og utgitt:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Hvis alt gikk bra, det burde det være.
Feilsøking
Hvis ruteren din ikke reagerer på sekvenser, er det noen få feilsøkingstrinn du kan ta:
- Se loggen - Knockd vil beholde en logg som du kan vise i sanntid for å se om klokkesekvensene er kommet til demonen og hvis kommandoen er utført riktig.
Forutsatt at du i det minste bruker loggfilen som i eksempelet ovenfor, for å se det i sanntid, utgis i en terminal:hale -f /var/log/knockd.log
- Vær oppmerksom på brannmurer - Noen ganger din ISP, arbeidsplass eller internettkafé, ta friheten til å blokkere kommunikasjon for deg. I et slikt tilfelle, mens ruteren din kanskje lytter, slår knocks på porter som er blokkert av en hvilken som helst del av kjeden, ikke til ruteren, og det vil ha vanskelig å reagere på dem. Derfor anbefales det å prøve kombinasjoner som bruker de velkjente porter som 80, 443, 3389 og så videre før du prøver flere tilfeldige. Igjen kan du se loggen for å se hvilke porter som kommer til ruterenes WAN-grensesnitt.
- Prøv sekvensene internt - Før du involverer kompleksiteten ovenfor som andre deler av kjeden kan introdusere, anbefales det at du prøver å utføre sekvensene internt for å se at de A. treffer ruteren som du tror de burde B. utføre kommandoen / s som forventet. For å oppnå dette kan du starte Knockd mens du er bundet til LAN-grensesnittet ditt med:
knockd -d -i "$ (nvram få lan_ifnameq)" -c /opt/etc/knockd.conf
Når ovennevnte er utført, kan du lede Knocking-klienten til ruterenes interne IP i stedet for den eksterne.
Tips: Fordi knockd lytter på grensesnittnivå og ikke IP-nivå, kan det hende du vil ha en forekomst av KnockD kjører på LAN-grensesnittet hele tiden. Som "Knocker" har blitt oppdatert for å støtte to vertskap for å banke, gjør det for å forenkle og konsolidere bankprofilene dine. - Husk hvilken side du har på - Det er ikke mulig å slå WAN-grensesnittet fra LAN-grensesnittet i konfigurasjonen ovenfor. Hvis du ønsker å kunne slå, uansett hvilken side du er på, kan du bare kjøre demonen to ganger, En gang bundet til WAN som i artikkelen og en gang bundet til LAN som i feilsøkingstrinnet ovenfra. Det er ikke noe problem å kjøre både i sammenheng ved ganske enkelt å legge kommandoen fra oven til det samme geek-init-skriptet.
Merknader
Selv om eksemplet ovenfor kunne oppnås ved hjelp av forskjellige andre metoder, håper vi at du kan bruke den til å lære å oppnå flere fremskritt. En del to til denne artikkelen som skjuler VPN-tjenesten bak en knock kommer, så hold deg innstilt.Gjennom Knocking vil du kunne: Dynamisk åpne porter, deaktivere / aktivere tjenester, ekstern WOL-datamaskiner og mer ...