Přáli jste si někdy, aby váš router zaklepal na speciální „neboli zaklepání“, protože jen „otevřel dveře, když bylo rozpoznáno tajné zaklepání? How-To Geek vysvětluje, jak nainstalovat Knockdaemonon DD-WRT.

Obrázek od BfickandAviad Raviv

Pokud jste to ještě neudělali, ujistěte se a podívejte se na předchozí články ze série:

  • Proměňte svůj domácí router na supervýkonný router s DD-WRT
  • Jak nainstalovat další software na váš domácí router (DD-WRT)
  • Jak odstranit reklamy pomocí Pixelserv na DD-WRT

Za předpokladu, že jste obeznámeni s těmito tématy, pokračujte ve čtení. Mějte na paměti, že tato příručka je trochu techničtější a začátečníci by měli být opatrní při úpravě svého routeru.

Přehled

Tradičně, aby bylo možné komunikovat se zařízením/službou, bylo by nutné zahájit a úplný síťové připojení s ním. Jakkoli to odhaluje, čemu se v tomto zabezpečení říká, útočná plocha. Démon Knock je druh síťového snifferu, který dokáže reagovat, když je pozorována předem nakonfigurovaná sekvence. Vzhledem k tomu, že k tomu, aby démon knock rozpoznal nakonfigurovanou sekvenci, nemusí být navázáno spojení, je plocha útoku redukována při zachování požadované funkčnosti. V jistém smyslu předpřipravíme router pomocí apožadovaný„dvoubitová“ odpověď (na rozdíl od chudáka Rogera…).

V tomto článku budeme:

  • Ukažte, jak používat Knockd, abyste měli router Wake-On-Lan jako počítač ve vaší místní síti.
  • Ukažte, jak spustit sekvenci Knock z aplikace pro Android a také z počítače.

Poznámka: Zatímco pokyny k instalaci již nejsou relevantní, můžete se podívat na filmové seriály, které jsem vytvořil „cestou zpět, kdy“, abyste viděli celý přehled konfigurace pro klepání. (Omluvte hrubou prezentaci).

Bezpečnostní důsledky

Diskuse o „howsecure is Knockd?

reklama

Knock je vrstva zabezpečení pomocí nejasností, na kterou by se mělo jen používat zlepšit jiné prostředky, jako je šifrování, a neměly by být používány samostatně jako cíl, to vše je pouze bezpečnostní opatření.

Předpoklady, předpoklady a doporučení

  • Předpokládá se, že máte router DD-WRT s podporou Opkg.
  • Trochu trpělivosti, protože nastavení může „chvíli“ trvat.
  • Důrazně doporučujeme, abyste si pro svou externí (obvykle dynamickou) IP získali účet aDDNS.

Pojďme se rozlousknout

Instalace a základní konfigurace

Nainstalujte démona Knock otevřením terminálu routeru a vydáním:

opkg update ; opkg install knockd

Nyní, když je Knockd nainstalován, musíme nakonfigurovat spouštěcí sekvence a příkazy, které budou provedeny po jejich spuštění. Chcete-li to provést, otevřete soubor „knockd.conf“ v textovém editoru. Na routeru by to bylo:

vi /opt/etc/knockd.conf

Nechte jeho obsah vypadat takto:

[options]
logfile = /var/log/knockd.log
UseSyslog

[wakelaptop]
sequence = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
command = /usr/sbin/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255
tcpflags = sync

Vysvětleme výše uvedené:

  • Segment „options“ umožňuje konfigurovat globální parametry pro démona. V tomto příkladu jsme dali démonovi pokyn, aby uchovával protokol v syslog i v souboru. I když není na škodu používat obě možnosti ve spojení, měli byste zvážit ponechání pouze jedné z nich.
  • Segment „wakelaptop“ je příkladem asequence, který spustí příkaz WOL do vaší LAN pro počítač s MAC adresou aa:bb:cc:dd:ee:22.
    Poznámka: Výše ​​uvedený příkaz předpokládá výchozí chování s podsítí třídy C.

Chcete-li přidat více sekvencí, jednoduše zkopírujte a vložte segment „wakelaptop“ a upravte jej pomocí nových parametrů a/nebo příkazů, které má router provést.

Spuštění

Chcete-li, aby router při spuštění vyvolal démona, připojte níže uvedený skript ke skriptu „geek-init“ z průvodce OPKG:

knockd -d -c /opt/etc/knockd.conf-i "$( nvram get wan_ifname )"

reklama

Tím se spustí démon Knock na „WAN“ rozhraní vašeho routeru, takže bude naslouchat paketům z internetu.

Knock z Androidu

Ve věku přenositelnosti je téměř nevyhnutelné „mít na to aplikaci“… a tak StavFX pro tento úkol jednu vytvořil 🙂
Tato aplikace provádí sekvence klepání přímo z vašeho zařízení Android a podporuje vytváření widgetů na vašich domovských obrazovkách.

  • Nainstalujte si aplikaci Knocker z Android Marketu (buďte také laskaví a ohodnoťte ji dobře).
  • Po instalaci do zařízení spusťte. Měli byste pozdravit něco jako:
  • Můžete dlouze stisknout ikonu příkladu a upravit ji nebo kliknout na „nabídka“ a přidat nový záznam. Nový záznam bude vypadat takto:
  • Přidejte řádky a vyplňte informace potřebné pro vaše klepání. Pro příklad konfigurace WOL shora by to bylo:
  • Ikonu můžete případně změnit dlouhým stisknutím ikony vedle názvu Knock.
  • Uložit Knock.
  • Jediným klepnutím na nový Knock na hlavní obrazovce jej aktivujete.
  • Volitelně pro něj vytvořte widget na domovské obrazovce.

Mějte na paměti, že zatímco jsme nakonfigurovali příklad konfiguračního souboru se skupinami 3 pro každý port (kvůli níže uvedené části Telnet), u této aplikace neexistuje žádné omezení počtu opakování (pokud vůbec) pro port.
Bavte se pomocí aplikace, kterou StavFX daroval 🙂

Knock z Windows/Linuxu

I když je možné provést klepání pomocí nejjednoduššího nástroje networkutility.ka „Telnet“, Microsoft rozhodl, že Telnet je „bezpečnostní riziko“, a následně jej již neinstaluje ve výchozím nastavení do moderních oken. Pokud se mě zeptáte: „Ti, kteří se mohou vzdát základní svobody, aby získali trochu dočasného bezpečí, si nezaslouží ani svobodu, ani bezpečí. ~Benjamin Franklin“, ale to jsem odbočil.

Důvod, proč jsme nastavili příklady pro skupiny po 3 pro každý port, je ten, že když se telnet nemůže připojit k požadovanému portu, zkusí to automaticky ještě 2krát. To znamená, že telnet ve skutečnosti třikrát zaklepe, než to vzdá. Takže vše, co musíme udělat, je provést příkaz telnet jednou pro každý port ve skupině portů. To je také důvod, proč byl zvolen časový limit 30 sekund, protože musíme čekat na časový limit telnetu pro každý port, dokud nespustíme další skupinu portů. Je doporučeno, abyste po dokončení testovací fáze zautomatizovali tento postup pomocí jednoduchého skriptu Batch/Bash.

Pomocí naší ukázkové sekvence by to vypadalo takto:

  • Pokud používáte systém Windows, nainstalujte Telnet podle pokynů MS.
  • Přejděte na příkazový řádek a zadejte:
    telnet geek.dyndns-at-home.com 56
    telnet geek.dyndns-at-home.com 43
    telnet geek.dyndns-at-home.com 1443

Pokud vše dobře dopadlo, mělo by to být ono.

Odstraňování problémů

reklama

Pokud váš router nereaguje na sekvence, zde je několik kroků pro odstraňování problémů, které můžete podniknout:

  • Zobrazit protokol – Knockd bude uchovávat protokol, který si můžete prohlédnout v reálném čase, abyste zjistili, zda sekvence klepání dorazily k démonovi a zda byl příkaz proveden správně.
    Za předpokladu, že alespoň používáte soubor protokolu jako ve výše uvedeném příkladu, abyste jej viděli v reálném čase, zadejte v terminálu:

    tail -f /var/log/knockd.log

  • Dávejte pozor na firewally – Někdy si váš ISP, pracoviště nebo internetová kavárna může vzít svobodu blokování komunikace za vás. V takovém případě, zatímco váš router může naslouchat, klepání na porty, které jsou blokovány jakoukoli částí řetězce, se k routeru nedostanou a bude mít problém na ně reagovat. Proto se doporučuje vyzkoušet kombinace, které používají dobře známé porty, jako je 80, 443, 3389 a tak dále, než zkusíte více náhodných. Znovu si můžete prohlédnout protokol, abyste viděli, jaké porty dosahují rozhraní WAN routeru.
  • Vyzkoušejte sekvence interně – Před zapojením výše uvedené složitosti, kterou mohou zavádět jiné části řetězce, se doporučuje pokusit se provést sekvence interně, abyste viděli, že A. zasáhly router, jak si myslíte, že by měly B. provést příkaz/příkazy podle očekávání. Chcete-li to provést, můžete spustit Knockd, když jste připojeni k rozhraní LAN pomocí:

    knockd -d -i "$( nvram get lan_ifnameq )" -c /opt/etc/knockd.conf

    Po provedení výše uvedeného můžete klienta Knocking nasměrovat na interní IP routeru namísto jeho externí.
    Tip: Protože knockd naslouchá na úrovni „rozhraní“ a ne na úrovni IP, možná budete chtít mít instanci KnockD spuštěnou na rozhraní LAN neustále. Vzhledem k tomu, že „Knocker“ byl aktualizován, aby podporoval dva hostitele pro klepání, bude tak možné zjednodušit a konsolidovat vaše profily klepání.

  • Pamatujte, na které straně jste – Ve výše uvedené konfiguraci není možné zaklepat rozhraní WAN z rozhraní LAN. Pokud byste chtěli být schopni klepat bez ohledu na to, „na jaké straně jste“, můžete démona jednoduše spustit dvakrát, jednou připojenou k WAN jako v článku a jednou připojenou k LAN jako v kroku ladění shora. Není problém spustit obojí ve spojení jednoduchým připojením příkazu shora ke stejnému skriptu geek-init.

Poznámky

Zatímco výše uvedený příklad by mohl být proveden různými jinými metodami, doufáme, že jej můžete použít k tomu, abyste se naučili, jak dosáhnout pokročilejších věcí. Druhá část tohoto článku, která skrývá službu VPN za zaklepáním, se blíží, takže zůstaňte naladěni.


Prostřednictvím Knocking budete moci: Dynamicky otevírat porty, zakázat/povolit služby, vzdáleně WOL počítače a další…

ČTĚTE DALŠÍ

  • › Jak přidat, zobrazit a odebrat konce stránek a oddílů v Dokumentech Google
  • › Jak někoho odblokovat na Facebook Messengeru
  • › Jak obnovit smazané soubory a složky v Microsoft OneDrive
  • › Jak omezit váš Chromebook na určité uživatele
  • › Jak změnit svůj Yahoo! Heslo k účtu