Como bater na sua rede (DD-WRT)

Índice:

Como bater na sua rede (DD-WRT)
Como bater na sua rede (DD-WRT)

Vídeo: Como bater na sua rede (DD-WRT)

Vídeo: Como bater na sua rede (DD-WRT)
Vídeo: Como instalar programas no Linux? - SUPER FÁCIL! - YouTube 2024, Maio
Anonim
Alguma vez você já quis ter aquele “dormitório” especial com o seu roteador, para tê-lo apenas “abrir a porta” quando a batida secreta foi reconhecida? How-To Geek explica como instalar o daemon do Knock no DD-WRT.
Alguma vez você já quis ter aquele “dormitório” especial com o seu roteador, para tê-lo apenas “abrir a porta” quando a batida secreta foi reconhecida? How-To Geek explica como instalar o daemon do Knock no DD-WRT.

Imagem de Bfick e Aviad Raviv

Se você ainda não o fez, verifique e confira os artigos anteriores da série:

  • Transforme seu roteador doméstico em um roteador super-alimentado com DD-WRT
  • Como instalar software adicional no roteador doméstico (DD-WRT)
  • Como remover anúncios com o Pixelserv no DD-WRT

Supondo que você esteja familiarizado com esses tópicos, continue lendo. Tenha em mente que este guia é um pouco mais técnico, e os iniciantes devem ter cuidado ao modificar seu roteador.

visão global

Tradicionalmente, para poder comunicar com um dispositivo / serviço, seria necessário iniciar um cheio conexão de rede com ele. No entanto, fazendo isso expõe, o que é chamado na era da segurança, uma superfície de ataque. O daemon Knock é um tipo de sniffer de rede que pode reagir quando uma sequência pré-configurada é observada. Como uma conexão não precisa ser estabelecida para que o daemon de reconhecimento reconheça uma sequência configurada, a superfície de ataque é reduzida, mantendo a funcionalidade desejada. Em certo sentido, vamos pré-condicionar o roteador com umdesejado Resposta de “dois bits” (ao contrário do pobre Roger…).

Neste artigo iremos:

  • Mostre como usar o Knockd para que o roteador Wake-On-Lan seja um computador na sua rede local.
  • Mostrar como acionar a sequência Knock de um aplicativo Android, bem como de um computador.

Observação: embora as instruções de instalação não sejam mais relevantes, você pode assistir à série de filmes que criei "quando voltar", para ver todo o resumo da configuração para bater. (Apenas desculpe a apresentação bruta).

Implicações de segurança

A discussão sobre "quão seguro é Knockd?", É longa e remonta a muitos milênios (em anos de internet), mas a linha de fundo é esta:

Knock é uma camada de segurança pela obscuridade, que só deve ser usada para realçar outros meios, como criptografia e não devem ser usados como um fim, tudo isso é uma medida de segurança.

Pré-requisitos, suposições e recomendações

  • Supõe-se que você tenha um roteador DD-WRT habilitado para Opkg.
  • Alguma paciência como isso pode demorar um pouco para configurar.
  • É altamente recomendável que você obtenha uma conta DDNS para seu IP externo (geralmente dinâmico).

Vamos ficar rachando

Instalação e configuração básica

Instale o daemon do Knock abrindo um terminal para o roteador e emitindo:

opkg update; opkg install knockd

Agora que o Knockd está instalado, precisamos configurar as seqüências e os comandos de acionamento que serão executados assim que forem acionados. Para fazer isso, abra o arquivo "knockd.conf" em um editor de texto. No roteador isso seria:

vi /opt/etc/knockd.conf

Faça o seu conteúdo parecer:

[options] logfile = /var/log/knockd.log UseSyslog

[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/sbin/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d. -f 1,2,3 ).255 tcpflags = sync

Vamos explicar o acima:

  • O segmento “opções” permite configurar parâmetros globais para o daemon. Neste exemplo, instruímos o daemon a manter um log no syslog e em um arquivo. Embora não seja prejudicial usar as duas opções em conjunto, você deve considerar manter apenas uma delas.
  • O segmento “wakelaptop”, é um exemplo de uma sequência que disparará o comando WOL para sua LAN para um computador com o endereço MAC de aa: bb: cc: dd: ee: 22. Nota: O comando acima, assume o comportamento padrão de ter uma sub-rede de classe C.

Para adicionar mais sequências, basta copiar e colar o segmento “wakelaptop” e ajustar com novos parâmetros e / ou comandos a serem executados pelo roteador.

Comece

Para que o roteador chame o daemon na inicialização, anexe o abaixo ao script “geek-init” do guia OPKG:

knockd -d -c /opt/etc/knockd.conf -i '$( nvram get wan_ifname )'

Isso iniciará o daemon Knock na interface “WAN” do seu roteador, para que ele ouça os pacotes da Internet.

Bata do Android

Na era da portabilidade, é quase imperativo “ter um aplicativo para isso”… então a StavFX criou um para a tarefa:) Este aplicativo executa as seqüências de bater direito de seu dispositivo Android e suporta a criação de widgets em suas telas iniciais.

  • Instale o aplicativo Knocker do mercado Android (também por favor, seja gentil e dar-lhe uma boa classificação).

  • Uma vez instalado no seu dispositivo, inicie-o. Você deve ser saudado por algo como:

    Image
    Image

  • Você pode pressionar o ícone de exemplo para editá-lo ou clicar em "menu" para adicionar uma nova entrada. Uma nova entrada seria semelhante a:

    Image
    Image

  • Adicione linhas e preencha as informações necessárias para o seu Knocking. Para o exemplo de configuração do WOL acima, seria:

    Image
    Image
  • Opcionalmente, altere o ícone pressionando longamente o ícone ao lado do nome do Knock.
  • Salve o Knock.
  • Único toque no novo Knock na tela principal para ativá-lo.
  • Opcionalmente, crie um widget para ele em uma tela inicial.

Lembre-se de que, embora tenhamos configurado o arquivo de configuração de exemplo com grupos de 3 para cada porta (devido à seção Telnet abaixo), com este aplicativo não há restrição quanto à quantidade de repetições (se houver) de uma porta. Divirta-se usando o aplicativo que StavFX doou:-)

Bata do Windows / Linux

Embora seja possível executar o Knocking com o mais simples dos utilitários de rede a.k.a “Telnet”, a Microsoft decidiu que o Telnet é um “risco de segurança” e, posteriormente, não o instala por padrão em janelas modernas.Se você me perguntar: “Aqueles que podem desistir da liberdade essencial para obter um pouco de segurança temporária não merecem nem liberdade nem segurança. ~ Benjamin Franklin , mas eu discordo.

A razão pela qual definimos a seqüência de exemplo para grupos de 3 para cada porta é que, quando o telnet não puder se conectar à porta desejada, ele tentará automaticamente novamente mais duas vezes. Isso significa que o telnet vai realmente bater 3 vezes antes de desistir. Portanto, tudo o que precisamos fazer é executar o comando telnet uma vez para cada porta no grupo de portas. É também a razão pela qual um intervalo de tempo limite de 30 segundos foi selecionado, já que temos que esperar pelo tempo limite do telnet para cada porta até que executemos o próximo grupo de portas. Recomenda-se que, ao concluir a fase de testes, você automatize esse procedimento com um script simples de lote / bash.

Usando nossa sequência de exemplo, seria assim:

  • Se você estiver no Windows, siga as instruções do MS para instalar o Telnet.
  • Solte para uma linha de comando e emita: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443

Se tudo corresse bem, deveria ser isso.

Solução de problemas

Se o seu roteador não reagir a sequências, aqui estão alguns passos de solução de problemas que você pode tomar:

  • Visualizar o log - O Knockd manterá um log que você pode visualizar em tempo real para ver se as seqüências de bloqueio chegaram ao daemon e se o comando foi executado corretamente. Supondo que você esteja, pelo menos, usando o arquivo de log como no exemplo acima, para vê-lo em tempo real, emita um terminal:

    tail -f /var/log/knockd.log

  • Lembre-se de firewalls - Às vezes, seu ISP, local de trabalho ou internet café, podem bloquear a comunicação para você. Nesse caso, enquanto o seu roteador estiver escutando, os batimentos nas portas bloqueadas por qualquer parte da cadeia não atingirão o roteador e dificilmente haverá uma reação a eles. É por isso que é recomendável tentar combinações que usem as portas bem conhecidas, como 80, 443, 3389 e assim por diante, antes de tentar outras mais aleatórias. Novamente, você pode visualizar o log para ver quais portas alcançam a interface WAN do roteador.

  • Experimente as seqüências internamente - Antes de envolver a complexidade acima que outras partes da cadeia podem introduzir, é recomendável que você tente executar as sequências internamente para ver se elas A. acessaram o roteador como você acha que deveriam B. executar o comando / s como esperado. Para conseguir isso, você pode iniciar o Knockd enquanto estiver vinculado à sua interface LAN com:

    knockd -d -i '$( nvram get lan_ifnameq )' -c /opt/etc/knockd.conf

    Depois que o acima for executado, você poderá direcionar o cliente do Knocking para o IP interno do roteador, em vez de para o externo. Dica: Como o knockd escuta no nível de “interface” e não no nível de IP, você pode querer ter uma instância do KnockD rodando na interface da LAN o tempo todo. Como o “Knocker” foi atualizado para suportar dois hosts para bater, isso irá simplificar e consolidar seus perfis de impacto.

  • Lembre-se de que lado está ligado - Não é possível bater a interface WAN a partir da interface LAN na configuração acima. Se você gostaria de ser capaz de bater não importa “de que lado você está” você pode simplesmente executar o demônio duas vezes, Uma vez ligado à WAN como no artigo e uma vez ligado à LAN como na etapa de depuração acima. Não há problema em executar ambos em conjunto simplesmente anexando o comando acima ao mesmo script geek-init.

Observações

Embora o exemplo acima possa ser realizado por vários outros métodos, esperamos que você possa usá-lo para aprender a realizar coisas mais avançadas. Uma parte dois deste artigo que esconde o serviço de VPN por trás de uma batida está chegando, portanto, fique atento.

Através do Knocking, você será capaz de: Dinamicamente abrir portas, Desativar / Ativar serviços, remotamente computadores WOL e mais…

Recomendado:

Quatro câmeras point-and-shoot ainda conseguem bater os smartphones

Quatro câmeras point-and-shoot ainda conseguem bater os smartphones

As câmeras de smartphones estão ficando cada vez melhores a cada ano, e embora ninguém argumente que as DSLRs são a melhor opção para a fotografia séria, os smartphones tornaram os point-and-snakes mais raros nos arsenais das pessoas. Mas ainda existem algumas áreas nas quais câmeras point-and-shoot são superiores ao telefone no seu bolso.

Como bater em sua rede, parte 2: Proteja sua VPN (DD-WRT)

Como bater em sua rede, parte 2: Proteja sua VPN (DD-WRT)

Mostramos a você como acionar o WOL remotamente por "Port Knocking" no seu roteador. Neste artigo, mostraremos como usá-lo para proteger um serviço VPN.

5 razões pelas quais a superfície poderia bater iPad

5 razões pelas quais a superfície poderia bater iPad

Este artigo mostrará a você como o novo Surface RT poderia dar uma briga dura ao iPad, tendo em vista seus ótimos recursos.

Google Chrome Shockwave Plugin Flash Video Bater Problema

Google Chrome Shockwave Plugin Flash Video Bater Problema

Procurando a correção de falha do plug-in do Google Chrome Shockwave? Um plug-in Shockwave Flash não está respondendo. Leia o artigo! Isso ajudará você a corrigir o problema em poucos passos.

Redefinição de rede: reinstalar adaptadores de rede, redefinir componentes de rede

Redefinição de rede: reinstalar adaptadores de rede, redefinir componentes de rede

Use o botão Redefinir rede do Windows 10 para reinstalar os adaptadores de rede e redefinir os componentes de rede para as configurações padrão se você enfrentar problemas de conectividade.