Skip to main content

Slik knocker du inn i nettverket ditt (DD-WRT)

Slik knocker du inn i nettverket ditt (DD-WRT)

Geoffrey Carr

Har du noen gang ønsket å ha den spesielle "dormknock" med ruteren din, for å få den bare "åpne døren" når den hemmelige banken er blitt gjenkjent? How-To Geek forklarer hvordan du installerer Knock-demonen på DD-WRT.

Bilde av Bfick og Aviad Raviv

Hvis du ikke allerede har det, vær sikker og sjekk ut tidligere artikler i serien:

  • Slå din hjemmerouter inn i en superdrevet router med DD-WRT
  • Slik installerer du tilleggsprogramvare på Home Router (DD-WRT)
  • Slik fjerner du annonser med Pixelserv på DD-WRT

Forutsatt at du er kjent med emnene, fortsett å lese. Husk at denne veiledningen er litt mer teknisk, og nybegynnere bør være forsiktige når de modger ruteren.

Oversikt

Tradisjonelt, for å kunne kommunisere med en enhet / tjeneste, må man starte en full nettverksforbindelse med den. Men det viser seg, det som kalles i sikkerhetsalderen, en angrepsoverflate. Knock-demonen er en slags nettverkssniffer som kan reagere når en pre-konfigurert sekvens blir observert. Ettersom en forbindelse ikke må etableres for at knock daemonen kan gjenkjenne en konfigurert sekvens, blir angrepsoverflaten redusert mens den ønskede funksjonaliteten opprettholdes. På en måte forutsetter vi ruteren med enønskede "To bits" -svar (i motsetning til dårlig Roger ...).

I denne artikkelen vil vi:

  • Vis hvordan du bruker Knockd til å ha ruteren Wake-On-Lan en datamaskin på ditt lokale nettverk.
  • Vis hvordan du utløser Knock-sekvensen fra et Android-program, samt en datamaskin.

Merk: Mens installasjonsinstruksjonene ikke lenger er relevante, kan du se filmserien jeg har opprettet "vei tilbake når", for å se hele rundownet av konfigurering for å banke. (Bare unnskyld råpresentasjonen).

Sikkerhetsimplikasjoner

Diskusjonen om "hvor sikker er Knockd?", Er lang og går tilbake mange tusen år (i internettår), men bunnlinjen er dette:

Knock er et lag av sikkerhet ved dunkelhet, som bare burde brukes til forbedre andre måter som kryptering og ikke skal brukes på egenhånd som en slutt, alle er alle sikkerhetsmålinger.

Forutsetninger, antagelser og anbefalinger

  • Det antas at du har en Opkg-aktivert DD-WRT-ruter.
  • Enkel tålmodighet som dette kan ta en stund å sette opp.
  • Det anbefales sterkt at du får en DDNS-konto for din eksterne (vanligvis dynamiske) IP.

Lar deg sprekke

Installasjon og grunnleggende konfigurasjon

Installer Knock-demonen ved å åpne en terminal til ruteren og utstede:

opkg update ; opkg install knockd

Nå som Knockd er installert, må vi konfigurere utløsende sekvenser og kommandoer som skal utføres når de utløses. For å gjøre dette, åpne "knockd.conf" filen i et tekstredigeringsprogram. På ruteren ville dette være:

vi /opt/etc/knockd.conf

Lag innholdet slik:

[options] logfile = /var/log/knockd.log UseSyslog

[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/sbin/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255 tcpflags = sync

Kan forklare det ovennevnte:

  • Med "Options" -segmentet kan man konfigurere globale parametere for demonen. I dette eksemplet har vi instruert demonen til å holde en logg både i syslog og i en fil. Selv om det ikke skader ved hjelp av begge alternativene i forbindelse, bør du vurdere å holde bare en av dem.
  • Segmentet "wakelaptop" er et eksempel på en sekvens som vil utløse WOL-kommandoen til ditt LAN for en datamaskin med MAC-adressen til aa: bb: cc: dd: ee: 22. Merk: Kommandoen ovenfor forutsetter standard oppførsel for å ha et klasse C-undernett.

For å legge til flere sekvenser, kopier og lim inn "wakelaptop" -segmentet og juster med nye parametere og / eller kommandoer som skal utføres av ruteren.

oppstart

For å få ruteren til å påkalle demonen ved oppstart legger du til undernavnet til "geek-init" -skriptet fra OPKG-guiden:

knockd -d -c /opt/etc/knockd.conf -i '$( nvram get wan_ifname )'

Dette vil starte Knock-demonen på "WAN" -grensesnittet til ruteren, slik at den vil lytte til pakker fra Internett.

Knock fra Android

I en alder av bærbarhet er det nesten viktig å "ha en app for det" ... så StavFX opprettet en for oppgaven :) Denne appen utfører slå sekvensene rett fra Android-enheten din, og den støtter å lage widgets på startskjermen.

  • Installer Knocker-programmet fra Android-markedet (vær også snill og gi den en god vurdering).
  • Når du er installert på enheten, starter du den. Du bør bli møtt av noe som:

  • Du kan lenge trykke på eksempelikonet for å redigere det, eller klikk på "meny" for å legge til en ny oppføring. En ny oppføring vil se ut som:

  • Legg til linjer og fyll inn informasjonen som kreves for din banking. For eksempelet WOL-konfigurasjon ovenfra ville dette være:

  • Endre ikonet ved å trykke lenge på ikonet ved siden av Knock-navnet.
  • Lagre Knock.
  • Enkelt trykk på den nye Knock på hovedskjermen for å aktivere den.
  • Opprett eventuelt en widget for den på en startskjerm.

Husk at mens vi har konfigurert eksempelkonfigurasjonsfilen med grupper på 3 for hver port (på grunn av Telnet-delen nedenfor), med dette programmet er det ingen begrensning på mengden repeter (hvis i det hele tatt) for en port. Ha det gøy å bruke appen som StavFX har donert :-)

Knock fra Windows / Linux

Mens det er mulig å utføre Knocking med det enkleste nettverksverktøyet a.k.a "Telnet", har Microsoft bestemt at Telnet er en "sikkerhetsrisiko" og senere ikke lenger installerer den som standard på moderne vinduer.Hvis du spør meg "De som kan gi opp avgjørende frihet til å oppnå litt midlertidig sikkerhet, fortjener ingen frihet eller sikkerhet. ~ Benjamin Franklin ", men jeg går ut.

Grunnen til at vi stiller eksempelsekvensen til grupper på 3 for hver port, er at når telnet ikke kan koble til ønsket port, vil den automatisk prøve igjen 2 ganger. Dette betyr at telnet faktisk vil slå 3 ganger før du gir opp. Så alt vi trenger å gjøre er å utføre telnet-kommandoen en gang for hver port i portgruppen. Det er også grunnen til at et 30-sekunders tidsintervall er valgt, da vi må vente på telnet tidsavbrudd for hver port til vi utfører neste portgruppe. Det anbefales at når du er ferdig med testfasen, automatiserer du denne prosedyren med et enkelt Batch / Bash-skript.

Ved hjelp av vår eksempeleksempel ser dette ut som:

  • Hvis du er på Windows, følg MS instruksjonene for å installere Telnet.
  • Slett til en kommandolinje og problem: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443

Hvis alt gikk bra, det burde det være.

Feilsøking

Hvis ruteren din ikke reagerer på sekvenser, er det noen få feilsøkingstrinn du kan ta:

  • Se loggen - Knockd vil beholde en logg som du kan se i sanntid for å se om de knappe sekvensene er kommet til demonen og hvis kommandoen er utført korrekt. Forutsatt at du i det minste bruker loggfilen som i eksempelet ovenfor, for å se det i sanntid, utgis i en terminal:

    tail -f /var/log/knockd.log

  • Vær oppmerksom på brannmurer - Noen ganger din ISP, arbeidsplass eller internettkafé, ta friheten til å blokkere kommunikasjon for deg. I et slikt tilfelle, mens ruteren din kanskje lytter, slår knocks på porter som er blokkert av en hvilken som helst del av kjeden, ikke til ruteren, og det vil ha vanskelig å reagere på dem. Derfor anbefales det å prøve kombinasjoner som bruker de velkjente porter som 80, 443, 3389 og så videre før du prøver flere tilfeldige. Igjen kan du se loggen for å se hvilke porter som kommer til ruterenes WAN-grensesnitt.
  • Prøv sekvensene internt - Før du involverer kompleksiteten ovenfor som andre deler av kjeden kan introdusere, anbefales det at du prøver å utføre sekvensene internt for å se at de A. treffer ruteren som du tror de burde B. utføre kommandoen / s som forventet. For å oppnå dette kan du starte Knockd mens du er bundet til LAN-grensesnittet ditt med:

    knockd -d -i '$( nvram get lan_ifnameq )' -c /opt/etc/knockd.conf

    Når ovennevnte er utført, kan du lede Knocking-klienten til ruterenes interne IP i stedet for den eksterne. Tips: Fordi knockd lytter på grensesnittnivå og ikke IP-nivå, kan det hende du ønsker å ha en forekomst av KnockD kjører på LAN-grensesnittet hele tiden. Som "Knocker" har blitt oppdatert for å støtte to verter for å banke, gjør det for å forenkle og konsolidere bankprofilene dine.

  • Husk hvilken side du har på - Det er ikke mulig å Knock WAN-grensesnittet fra LAN-grensesnittet i konfigurasjonen ovenfor. Hvis du ønsker å kunne slå, uansett hvilken side du er på, kan du bare kjøre demonen to ganger, En gang bundet til WAN som i artikkelen og en gang bundet til LAN som i debugging-trinnet ovenfor. Det er ikke noe problem å kjøre både i sammenheng ved ganske enkelt å legge kommandoen fra oven til det samme geek-init-skriptet.

Merknader

Mens eksemplet ovenfor kunne oppnås ved hjelp av forskjellige andre metoder, håper vi at du kan bruke den til å lære hvordan du oppnår flere fremskritt. En del to til denne artikkelen som skjuler VPN-tjenesten bak en knock kommer, så hold deg innstilt.

Gjennom Knocking vil du kunne: Dynamisk åpne porter, deaktivere / aktivere tjenester, ekstern WOL-datamaskiner og mer ...

Link
Plus
Send
Send
Pin