So stoßen Sie in Ihr Netzwerk (DD-WRT)
Wollten Sie schon immer einmal diesen speziellen "Wohnheimklopf" mit Ihrem Router haben, um nur die Tür zu öffnen, wenn das geheime Klopfen erkannt wurde? How-To-Geek erklärt, wie der Knock-Daemon auf DD-WRT installiert wird.
Bild von Bfick und Aviad Raviv
Wenn Sie dies noch nicht getan haben, überprüfen Sie die vorherigen Artikel der Serie:
- Verwandeln Sie Ihren Heimrouter in einen Super-Powered-Router mit DD-WRT
- So installieren Sie zusätzliche Software auf Ihrem Heimrouter (DD-WRT)
- So entfernen Sie Werbung mit Pixelserv auf DD-WRT
Vorausgesetzt, Sie sind mit diesen Themen vertraut, lesen Sie weiter. Beachten Sie, dass dieses Handbuch etwas technischer ist. Anfänger sollten beim Modden ihres Routers vorsichtig sein.
Überblick
Um mit einem Gerät / Dienst kommunizieren zu können, müsste man traditionell ein voll Netzwerkverbindung damit. Dadurch wird jedoch, was im Sicherheitszeitalter genannt wird, eine Angriffsfläche freigelegt. Der Knock-Daemon ist eine Art Netzwerk-Sniffer, der auf eine vorkonfigurierte Sequenz reagieren kann. Da keine Verbindung hergestellt werden muss, damit der Knock-Daemon eine konfigurierte Sequenz erkennt, wird die Angriffsfläche reduziert, während die gewünschte Funktionalität erhalten bleibt. In gewissem Sinne werden wir den Router mit einem erwünscht Antwort „zwei Bits“ (im Gegensatz zum armen Roger…).
In diesem Artikel werden wir:
- Zeigen Sie, wie Sie mit Knockd den Router über einen Wake-On-Lan-Computer in Ihrem lokalen Netzwerk aktivieren können.
- Zeigen Sie, wie die Knock-Sequenz von einer Android-Anwendung sowie einem Computer ausgelöst wird.
Hinweis: Während die Installationsanweisungen nicht mehr relevant sind, können Sie sich die Filmserie ansehen, die ich bereits erstellt habe, um den gesamten Ablauf der Konfiguration bis zum Klopfen zu sehen. (Entschuldigen Sie einfach die rohe Präsentation).
Auswirkungen auf die Sicherheit
Die Diskussion über „Wie sicher ist Knockd?“ Ist lang und geht viele Jahrtausende zurück (in Internetjahren), aber das Endergebnis lautet:
Knock ist eine Sicherheitsschicht durch Unbekanntheit, an die nur gewöhnt werden sollte verbessern andere Mittel wie Verschlüsselung und sollten nicht alleine verwendet werden, um alle Sicherheitsmaßnahmen zu erfüllen.
Voraussetzungen, Annahmen und Empfehlungen
- Es wird davon ausgegangen, dass Sie einen DD-WRT-Router mit aktivierter Opkg-Funktion haben.
- Es dauert etwas Geduld, bis das Setup „etwas dauert“.
- Es wird dringend empfohlen, einen DDNS-Account für Ihre externe (normalerweise dynamische) IP-Adresse zu erhalten.
Lass uns krachen
Installation & Grundkonfiguration
Installieren Sie den Knock-Daemon, indem Sie ein Terminal am Router öffnen und Folgendes ausgeben:
opkg Update; opkg install knockd
Nun, da Knockd installiert ist, müssen wir die auslösenden Sequenzen und Befehle konfigurieren, die ausgeführt werden, sobald sie ausgelöst werden. Öffnen Sie dazu die Datei „knockd.conf“ in einem Texteditor. Auf dem Router wäre dies:
vi /opt/etc/knockd.conf
Machen Sie den Inhalt so aussehen:
[Optionen]
logfile = /var/log/knockd.log
UseSyslog
[wakelaptop]
Sequenz = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
Befehl = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = sync
Erklären wir das oben:
- Das "Options" -Segment ermöglicht die Konfiguration globaler Parameter für den Dämon. In diesem Beispiel haben wir den Dämon angewiesen, sowohl im Syslog als auch in einer Datei ein Protokoll zu führen. Wenn Sie beide Optionen gemeinsam nutzen, sollten Sie nur eine davon behalten.
- Das "Wakelaptop" -Segment ist ein Beispiel für eine Sequenz, die den WOL-Befehl für Ihr Computer mit der MAC-Adresse von aa: bb: cc: dd: ee: 22 in Ihrem LAN auslöst.
Hinweis: Der obige Befehl setzt das Standardverhalten eines Subnetzes der Klasse C voraus.
Um weitere Sequenzen hinzuzufügen, kopieren Sie einfach das "Wakelaptop" -Segment und passen Sie es mit neuen Parametern und / oder Befehlen an, die vom Router ausgeführt werden sollen.
Anlaufen
Damit der Router den Daemon beim Start aufruft, hängen Sie das folgende an das Skript "geek-init" aus dem OPKG-Handbuch an:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Dadurch wird der Knock-Daemon auf der "WAN" -Schnittstelle Ihres Routers gestartet, sodass Pakete aus dem Internet empfangen werden.
Klopfen Sie von Android
Im Zeitalter der Portabilität ist es fast zwingend notwendig, "eine App dafür zu haben" ... also hat StavFX eine für diese Aufgabe erstellt :)
Diese App führt die Klopfsequenzen direkt von Ihrem Android-Gerät aus durch und unterstützt das Erstellen von Widgets auf Ihren Startbildschirmen.
- Installieren Sie die Knocker-Anwendung vom Android-Markt (bitte seien Sie auch nett und geben Sie eine gute Bewertung ab).
- Starten Sie es nach der Installation auf Ihrem Gerät. Sie sollten von etwas begrüßt werden:
- Sie können lange auf das Beispielsymbol drücken, um es zu bearbeiten, oder auf „Menü“ klicken, um einen neuen Eintrag hinzuzufügen. Ein neuer Eintrag würde folgendermaßen aussehen:
- Fügen Sie Zeilen hinzu und geben Sie die erforderlichen Informationen für Ihr Klopfen ein Für die Beispiel-WOL-Konfiguration von oben wäre dies:
- Ändern Sie optional das Symbol, indem Sie lange auf das Symbol neben dem Knock-Namen drücken.
- Speichern Sie den Schlag.
- Tippen Sie im Hauptbildschirm einmal auf den neuen Schlag, um ihn zu aktivieren.
- Erstellen Sie optional ein Widget dafür auf einem Startbildschirm.
Beachten Sie, dass die Beispielkonfigurationsdatei zwar für jeden Port mit 3er-Gruppen konfiguriert wurde (aufgrund des Telnet-Abschnitts unten), jedoch gibt es bei dieser Anwendung keine Einschränkung für die Anzahl der Wiederholungen (wenn überhaupt) für einen Port.
Viel Spaß mit der von StavFX gespendeten App :-)
Klopfen Sie von Windows / Linux
Während es möglich ist, das Knocking mit dem einfachsten Netzwerkdienstprogramm a.k.a "Telnet" durchzuführen, hat Microsoft entschieden, dass Telnet ein "Sicherheitsrisiko" ist, und installiert es anschließend standardmäßig nicht mehr in modernen Fenstern. Wenn Sie mich fragen: „Diejenigen, die die wesentliche Freiheit aufgeben können, um ein wenig vorübergehende Sicherheit zu erlangen, verdienen weder Freiheit noch Sicherheit. ~ Benjamin Franklin “, aber ich schweife ab.
Der Grund, warum wir die Beispielsequenz für jeden Port auf 3er-Gruppen setzen, besteht darin, dass Telnet, wenn es nicht möglich ist, eine Verbindung zum gewünschten Port herzustellen, automatisch noch zweimal versucht. Dies bedeutet, dass Telnet tatsächlich 3 Mal klopft, bevor er aufgibt. Wir müssen also nur einmal den Befehl telnet für jeden Port in der Portgruppe ausführen. Dies ist auch der Grund, warum ein Timeout-Intervall von 30 Sekunden gewählt wurde, da wir für jeden Port auf das Timeout von Telnet warten müssen, bis wir die nächste Port-Gruppe ausführen. Es wird empfohlen, dass Sie nach Abschluss der Testphase diese Prozedur mit einem einfachen Batch / Bash-Skript automatisieren.
Anhand unserer Beispielsequenz würde dies folgendermaßen aussehen:
- Wenn Sie sich unter Windows befinden, befolgen Sie die MS-Anweisungen zur Installation von Telnet.
- Gehen Sie zu einer Befehlszeile und geben Sie Folgendes aus:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Wenn alles gut gegangen ist, sollte es das sein.
Fehlerbehebung
Wenn Ihr Router nicht auf Sequenzen reagiert, können Sie folgende Schritte zur Fehlerbehebung durchführen:
- Protokoll anzeigen - Knockd führt ein Protokoll, das Sie in Echtzeit anzeigen können, um zu sehen, ob die Klopfsequenzen beim Dämon eingetroffen sind und ob der Befehl korrekt ausgeführt wurde.
Angenommen, Sie verwenden mindestens die Protokolldatei wie im obigen Beispiel, um sie in Echtzeit zu sehen, geben Sie sie in einem Terminal aus:tail -f /var/log/knockd.log
- Achten Sie auf Firewalls - Manchmal ist es Ihrem ISP, Ihrem Arbeitsplatz oder Ihrem Internet-Café gestattet, die Kommunikation für Sie zu blockieren. In diesem Fall erreichen die Anschläge an den Ports, die von einem Teil der Kette blockiert werden, den Router nicht, und Ihr Router kann den Router nicht erreichen, und es wird schwierig sein, darauf zu reagieren. Aus diesem Grund wird empfohlen, Kombinationen auszuprobieren, die die bekannten Ports wie 80, 443, 3389 usw. verwenden, bevor Sie weitere zufällige versuchen. Sie können das Protokoll erneut anzeigen, um zu sehen, welche Ports die WAN-Schnittstelle des Routers erreichen.
- Probieren Sie die Sequenzen intern aus - Bevor Sie die oben genannte Komplexität, die andere Teile der Kette einführen können, mit einbeziehen, sollten Sie die Sequenzen intern ausführen, um zu sehen, dass sie A. auf den Router schlagen, wie Sie denken, B. den Befehl ausführen / s wie erwartet. Um dies zu erreichen, können Sie Knockd starten, während Sie an Ihre LAN-Schnittstelle gebunden sind, mit:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Sobald der obige Vorgang ausgeführt wurde, können Sie den Knocking-Client an die interne IP-Adresse des Routers weiterleiten.
Tipp: Da knockd auf der Schnittstellenebene und nicht auf der IP-Ebene hört, möchten Sie möglicherweise, dass eine Instanz von KnockD immer auf der LAN-Schnittstelle ausgeführt wird. Da „Klopfer“ so aktualisiert wurde, dass zwei Hosts für das Klopfen unterstützt werden, wird dies zur Vereinfachung und Konsolidierung Ihrer Klopfprofile verwendet. - Denken Sie daran, auf welcher Seite Sie sich befinden. Es ist nicht möglich, die WAN-Schnittstelle in der obigen Konfiguration von der LAN-Schnittstelle zu trennen. Wenn Sie ungeachtet dessen "auf welcher Seite Sie" anklopfen möchten, können Sie den Dämon einfach zweimal ausführen. Einmal im WAN wie im Artikel und einmal im LAN wie im Debugging-Schritt von oben gebunden. Es ist kein Problem, beide gleichzeitig auszuführen, indem der Befehl einfach von oben an dasselbe geek-init-Skript angehängt wird.
Bemerkungen
Während das obige Beispiel durch verschiedene andere Methoden erreicht werden kann, hoffen wir, dass Sie es verwenden können, um zu lernen, wie Sie weitere Fortschritte erzielen können. Ein zweiter Teil dieses Artikels, der den VPN-Dienst hinter einem Klopfen verbirgt, steht vor der Tür. Bleiben Sie also dran.Über das Klopfen können Sie: Ports dynamisch öffnen, Dienste deaktivieren / aktivieren, WOL-Computer aus der Ferne und vieles mehr…