Изображение Bfick и Aviad Raviv
Если вы еще этого не сделали, будьте уверены и проверьте предыдущие статьи в серии:
- Превратите свой домашний маршрутизатор в супермощный маршрутизатор с DD-WRT
- Как установить дополнительное программное обеспечение на вашем домашнем маршрутизаторе (DD-WRT)
- Как удалить рекламу с помощью Pixelserv на DD-WRT
Предполагая, что вы знакомы с этими темами, продолжайте читать. Имейте в виду, что это руководство является немного более техническим, и новички должны быть осторожны при модификации своего маршрутизатора.
обзор
Традиционно, чтобы иметь возможность общаться с устройством / службой, нужно было бы инициировать полный сетевое соединение с ним. Тем не менее, это делает так, что называется в эпоху безопасности, поверхности атаки. Демон Knock - это своего рода сетевой сниффер, который может реагировать, когда наблюдается предварительно сконфигурированная последовательность. Поскольку соединение не должно устанавливаться для того, чтобы демон детонации распознавал сконфигурированную последовательность, поверхность атаки уменьшается при сохранении желаемой функциональности. В каком-то смысле мы предусмотрим маршрутизатор сжелательно Ответ «два бита» (в отличие от бедного Роджера …).
В этой статье мы будем:
- Покажите, как использовать Knockd для подключения маршрутизатора Wake-On-Lan к компьютеру в локальной сети.
- Покажите, как запускать последовательность Knock из приложения Android, а также компьютер.
Примечание. Несмотря на то, что инструкции по установке больше не актуальны, вы можете посмотреть серию фильмов, которые я создал «назад», чтобы увидеть всю информацию о настройке на стук. (Просто извините грубую презентацию).
Последствия для безопасности
Дискуссия о том, «насколько безопасна« Knockd? », Длинна и датируется многими тысячелетиями (в интернет-годы), но в итоге:
Knock - это уровень безопасности по неизвестности, который должен использоваться только для усилить другие средства, такие как шифрование, и не должны использоваться на его собственном уровне, поскольку все это все меры безопасности.
Предпосылки, предположения и рекомендации
- Предполагается, что у вас есть маршрутизатор DD-WRT с поддержкой Opkg.
- Некоторое терпение, поскольку это может занять некоторое время.
- Настоятельно рекомендуется получить учетную запись DDNS для вашего внешнего (обычно динамического) IP-адреса.
Позволяет растрескиваться
Установка и базовая конфигурация
Установите демон Knock, открыв терминал маршрутизатору и выдав:
opkg update; opkg install knockd
Теперь, когда установлен Knockd, нам нужно настроить последовательности запуска и команды, которые будут выполняться после их запуска. Для этого откройте файл «knockd.conf» в текстовом редакторе. На маршрутизаторе это будет:
vi /opt/etc/knockd.conf
Сделайте свой контент похожим:
[options] logfile = /var/log/knockd.log UseSyslog
[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/sbin/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d. -f 1,2,3 ).255 tcpflags = sync
Давайте объясним выше:
- Сегмент «options» позволяет настраивать глобальные параметры для демона. В этом примере мы попросили демона сохранить журнал как в syslog, так и в файле. Хотя это не наносит вреда, используя оба варианта в сочетании, вы должны рассмотреть вопрос о сохранении только одного из них.
- Сегмент «wakelaptop» является примером последовательности, которая будет запускать команду WOL в вашу ЛВС для компьютера с MAC-адресом aa: bb: cc: dd: ee: 22. Примечание. Вышеприведенная команда предполагает поведение по умолчанию для подсети класса C.
Чтобы добавить несколько последовательностей, просто скопируйте и вставьте сегмент «wakelaptop» и настройте с новыми параметрами и / или командами, которые будут выполняться маршрутизатором.
Запускать
Чтобы маршрутизатор вызывал демона при запуске, добавьте ниже сценарий «geek-init» из руководства OPKG:
knockd -d -c /opt/etc/knockd.conf -i '$( nvram get wan_ifname )'
Это запустит демон Knock на интерфейсе WAN вашего маршрутизатора, чтобы он прослушивал пакеты из Интернета.
Постучать с Android
В эпоху переносимости его почти необходимо «иметь приложение для этого» … поэтому StavFX создал один для задачи:) Это приложение выполняет последовательности детонации прямо с вашего устройства Android и поддерживает создание виджетов на ваших домашних экранах.
- Установите приложение Knocker с Android-рынка (также, пожалуйста, будьте добры и дайте ему хорошую оценку).
-
После установки на устройство запустите его. Вас следует приветствовать чем-то вроде:
Image -
Вы можете долго нажать значок примера, чтобы отредактировать его, или нажмите «меню», чтобы добавить новую запись. Новая запись будет выглядеть так:
Image -
Добавьте строки и заполните информацию, необходимую для вашего Knocking. Для примера WOL-конфигурация сверху будет выглядеть так:
Image - При необходимости измените значок, долго нажимая значок рядом с именем Knock.
- Сохраните стук.
- Чтобы активировать его, нажмите «Новый стук» на главном экране.
- При желании создайте виджет для него на главном экране.
Имейте в виду, что, хотя мы сконфигурировали примерный файл конфигурации с группами по 3 для каждого порта (из-за раздела Telnet ниже), в этом приложении нет ограничений на количество повторений (если вообще) для порта. Получайте удовольствие от приложения, которое StavFX пожертвовал:-)
Стук из Windows / Linux
Хотя можно выполнить Knocking с простейшей сетевой утилитой a.k.a «Telnet», Microsoft решила, что Telnet является «угрозой безопасности» и впоследствии больше не устанавливает ее по умолчанию в современных окнах.Если вы спросите меня: «Они могут отказаться от существенной свободы, чтобы получить небольшую временную безопасность, не заслуживают ни свободы, ни безопасности. ~ Бенджамин Франклин, но я отвлекся.
Причина, по которой мы устанавливаем последовательность примеров для групп по 3 для каждого порта, заключается в том, что, когда telnet не может подключиться к нужному порту, он будет автоматически повторять попытку еще два раза. Это означает, что telnet фактически постучит 3 раза, прежде чем сдаться. Поэтому нам нужно только выполнить команду telnet для каждого порта в группе портов. Это также причина, когда был выбран интервал тайм-аута 30 секунд, поскольку нам нужно ждать тайм-аута telnet для каждого порта, пока мы не выполним следующую группу портов. Рекомендуется, чтобы после завершения фазы тестирования вы автоматизировали эту процедуру с помощью простого сценария Batch / Bash.
Используя нашу последовательность примеров, это будет выглядеть так:
- Если вы на окнах, следуйте инструкциям MS для установки Telnet.
- Перейдите в командную строку и введите: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443
Если все пойдет хорошо, это должно быть так.
Поиск проблемы
Если ваш маршрутизатор не реагирует на последовательности, выполните несколько шагов по устранению неполадок, которые вы можете предпринять:
-
Просмотр журнала - Knockd будет вести журнал, который вы можете просмотреть в режиме реального времени, чтобы узнать, пришли ли демонические последовательности к демону и если команда выполнена правильно. Предполагая, что вы, по крайней мере, используете лог-файл, как в приведенном выше примере, чтобы увидеть его в режиме реального времени в терминале:
tail -f /var/log/knockd.log
- Помните о брандмауэрах. Иногда ваш интернет-провайдер, рабочее место или интернет-кафе позволяют вам блокировать общение. В таком случае, когда ваш маршрутизатор может прослушивать, удары по портам, которые блокируются какой-либо частью цепочки, не дойдут до маршрутизатора, и ему будет сложно реагировать на них. Именно поэтому рекомендуется попробовать комбинации, которые используют известные порты, такие как 80, 443, 3389 и т. Д., Прежде чем пытаться использовать более случайные. Опять же, вы можете просмотреть журнал, чтобы узнать, какие порты достигают интерфейса WAN маршрутизатора.
-
Попробуйте последовательности внутри. Прежде чем приступать к описанной выше сложности, которую могут представить другие части цепочки, рекомендуется попытаться выполнить последовательности внутри, чтобы увидеть, что они попали в маршрутизатор, как вы думаете, они должны B. выполнить команду / как ожидалось. Для этого вы можете запустить Knockd, привязавшись к вашему LAN-интерфейсу, с помощью:
knockd -d -i '$( nvram get lan_ifnameq )' -c /opt/etc/knockd.conf
Как только это будет выполнено, вы можете направить клиент Knocking на внутренний IP-адрес маршрутизатора вместо его внешнего. Совет. Поскольку knockd прослушивается на уровне «интерфейса», а не на уровне IP, вы можете иметь экземпляр KnockD, работающий в интерфейсе LAN все время. Поскольку «Knocker» был обновлен для поддержки двух хостов для детонации, сделайте это, чтобы упростить и консолидировать ваши профили детонации.
- Помните, с какой стороны вы включили. Невозможно выбить интерфейс WAN из интерфейса LAN в приведенной выше конфигурации. Если вы хотите, чтобы у вас была возможность постучать независимо от того, с какой стороны вы находитесь, вы можете просто запустить демона дважды, После привязки к WAN, как в статье, и после привязки к локальной сети, как на этапе отладки сверху. Нет проблем с запуском обоих в сочетании, просто добавив команду сверху к одному и тому же сценарию geek-init.
замечания
Хотя приведенный выше пример может быть выполнен различными другими способами, мы надеемся, что вы сможете использовать его, чтобы узнать, как добиться большего прогресса. Часть вторая к этой статье, которая скрывает VPN-сервис за стуком, подходит, поэтому следите за обновлениями.
Через Knocking вы сможете: динамически открывать порты, отключать / разрешать услуги, удаленно WOL-компьютеры и многое другое …
