Πώς να χτυπήσετε στο δίκτυό σας (DD-WRT)
Έχετε ποτέ θελήσει να έχετε αυτό το ειδικό "dorm knock" με το δρομολογητή σας, για να το έχετε μόνο "ανοίξει την πόρτα" όταν αναγνωριστεί ο μυστικός χτύπος; Το How-To Geek εξηγεί πώς να εγκαταστήσετε τον δαίμονα Knock στο DD-WRT.
Εικόνα από τον Bfick και τον Aviad Raviv
Εάν δεν το έχετε κάνει ήδη, βεβαιωθείτε ότι έχετε κλείσει τα προηγούμενα άρθρα της σειράς:
- Γυρίστε τον δρομολογητή του σπιτιού σας σε έναν δρομολογητή Super-Powered με το DD-WRT
- Πώς να εγκαταστήσετε πρόσθετο λογισμικό στον δρομολογητή οικιακής χρήσης (DD-WRT)
- Πώς να αφαιρέσετε τις διαφημίσεις με το Pixelserv στο DD-WRT
Υποθέτοντας ότι είστε εξοικειωμένοι με αυτά τα θέματα, συνεχίστε να διαβάζετε. Λάβετε υπόψη ότι αυτός ο οδηγός είναι λίγο πιο τεχνικός και οι αρχάριοι θα πρέπει να είναι προσεκτικοί όταν τροποποιούν το δρομολογητή τους.
ΣΦΑΙΡΙΚΗ ΕΙΚΟΝΑ
Παραδοσιακά, για να είναι σε θέση να επικοινωνεί με μια συσκευή / υπηρεσία θα έπρεπε να ξεκινήσει ένα γεμάτος σύνδεση δικτύου με αυτό. Ωστόσο, με αυτόν τον τρόπο αποκαλύπτει, αυτό που ονομάζεται στην εποχή της ασφάλειας, μια επιφάνεια επίθεσης. Ο δαίμονας Knock είναι ένα είδος διαγνωστικού δικτύου που μπορεί να αντιδράσει όταν παρατηρηθεί μια προκαθορισμένη ακολουθία. Καθώς δεν χρειάζεται να δημιουργηθεί σύνδεση για να αναγνωρίσει ο δαίμονας knock μια διαμορφωμένη ακολουθία, η επιφάνεια επίθεσης μειώνεται ενώ διατηρείται η επιθυμητή λειτουργικότητα. Κατά μία έννοια, θα προετοιμάσουμε τον δρομολογητή με ένα επιθυμείτε "Δύο bits" απάντηση (σε αντίθεση με φτωχούς Ρότζερ ...).
Σε αυτό το άρθρο θα:
- Δείξτε πώς να χρησιμοποιήσετε το Knockd για να έχετε τον δρομολογητή Wake-On-Lan έναν υπολογιστή στο τοπικό σας δίκτυο.
- Δείξτε πώς να ενεργοποιήσετε την ακολουθία Knock από μια εφαρμογή Android, καθώς και έναν υπολογιστή.
Σημείωση: Ενώ οι οδηγίες εγκατάστασης δεν είναι πλέον σχετικές, θα μπορούσατε να παρακολουθήσετε τη σειρά ταινιών που έχω δημιουργήσει "τρόπος πίσω όταν", για να δείτε ολόκληρη τη συρρίκνωση της διαμόρφωσης στο χτύπημα. (Ακριβώς δικαιολογήστε την ακατέργαστη παρουσίαση).
Επιπλοκές ασφαλείας
Η συζήτηση για το πόσο ασφαλής είναι ο Knockd; είναι μακρύς και χρονολογείται εδώ και πολλά χιλιετία (σε διαδικτυακά έτη), αλλά η κατώτατη γραμμή είναι αυτή:
Το Knock είναι ένα στρώμα ασφάλειας από την ασάφεια, που πρέπει να το χρησιμοποιείτε μόνο ενισχύω άλλα μέσα όπως η κρυπτογράφηση και δεν πρέπει να χρησιμοποιούνται από μόνος του ως τέλος όλα θα είναι όλα τα μέτρα ασφαλείας.
Προαπαιτούμενα, υποθέσεις και συστάσεις
- Θεωρείται ότι έχετε δρομολογητή DD-WRT με δυνατότητα Opkg.
- Κάποια υπομονή καθώς αυτό μπορεί να πάρει "λίγο" για να ρυθμίσετε.
- Συνιστάται ιδιαίτερα να αποκτήσετε λογαριασμό DDNS για την εξωτερική σας (συνήθως δυναμική) διεύθυνση IP.
Ας πάρουμε ρωγμές
Εγκατάσταση και βασικές ρυθμίσεις
Εγκαταστήστε το δαίμονα Knock ανοίγοντας ένα τερματικό στο δρομολογητή και εκδίδοντας:
opkg ενημέρωση; opkg εγκαταστήσετε knockd
Τώρα που είναι εγκατεστημένο το Knockd, πρέπει να διαμορφώσουμε τις ακολουθίες ενεργοποίησης και τις εντολές που θα εκτελεστούν μόλις ενεργοποιηθούν. Για να το κάνετε αυτό, ανοίξτε το αρχείο "knockd.conf" σε ένα πρόγραμμα επεξεργασίας κειμένου. Στον δρομολογητή αυτό θα ήταν:
vi /opt/etc/knockd.conf
Κάντε το περιεχόμενό της να μοιάζει με:
[επιλογές]
logfile = /var/log/knockd.log
ΧρησιμοποιήστεSyslog
[wakelaptop]
ακολουθία = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
εντολή = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = συγχρονισμός
Ας εξηγήσουμε τα παραπάνω:
- Το τμήμα "επιλογές" επιτρέπει σε κάποιον να ρυθμίσει τις συνολικές παραμέτρους του δαίμονα. Σε αυτό το παράδειγμα έχουμε δώσει εντολή στον δαίμονα να διατηρεί ένα αρχείο καταγραφής τόσο στο syslog όσο και σε ένα αρχείο. Ενώ δεν βλάπτει τη χρήση και των δύο επιλογών σε συνδυασμό, θα πρέπει να εξετάσετε τη διατήρηση μόνο ενός από αυτά.
- Το τμήμα "wakelaptop", είναι ένα παράδειγμα ακολουθίας που θα ενεργοποιήσει την εντολή WOL στο LAN σας για έναν υπολογιστή με τη διεύθυνση MAC του aa: bb: cc: dd: ee: 22.
Σημείωση: Η παραπάνω εντολή, αναλαμβάνει την προεπιλεγμένη συμπεριφορά του υποδικτύου κατηγορίας C..
Για να προσθέσετε περισσότερες ακολουθίες, απλά αντιγράψτε & επικολλήστε το τμήμα "wakelaptop" και προσαρμόστε με νέες παραμέτρους ή / και εντολές που θα εκτελεστούν από το δρομολογητή.
Ξεκίνα
Για να έχει ο δρομολογητής να καλέσει τον δαίμονα κατά την εκκίνηση, προσαρμόστε τα παρακάτω στη δέσμη "geek-init" από τον οδηγό OPKG:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Αυτό θα ξεκινήσει τον δαίμονα Knock στη διεπαφή "WAN" του δρομολογητή σας, έτσι ώστε να ακούσει πακέτα από το διαδίκτυο.
Χτυπήστε από το Android
Στην εποχή της φορητότητας είναι σχεδόν επιτακτική ανάγκη να "έχει μια εφαρμογή για αυτό" ... έτσι StavFX δημιούργησε ένα για το έργο :)
Αυτή η εφαρμογή εκτελεί τις ακολουθίες κτυπήματος απευθείας από τη συσκευή σας Android και υποστηρίζει τη δημιουργία γραφικών στοιχείων στις οθόνες σας.
- Εγκαταστήστε την εφαρμογή Knocker από την αγορά Android (επίσης παρακαλούμε να είστε ευγενικοί και να τους δώσετε μια καλή βαθμολογία).
- Μόλις εγκατασταθεί στη συσκευή σας, ξεκινήστε την. Θα πρέπει να σας υποδεχτεί κάτι σαν:
- Μπορείτε να πατήσετε πατημένο το εικονίδιο του παραδείγματος για να το επεξεργαστείτε ή κάντε κλικ στο "μενού" για να προσθέσετε μια νέα καταχώρηση. Μια νέα καταχώρηση θα μοιάζει με:
- Προσθέστε γραμμές και συμπληρώστε τις πληροφορίες που απαιτούνται για το κτύπημά σας. Για παράδειγμα, η διαμόρφωση WOL από τα παραπάνω θα ήταν:
- Προαιρετικά αλλάξτε το εικονίδιο πατώντας παρατεταμένα το εικονίδιο δίπλα στο όνομα Knock.
- Αποθήκευση του Knock.
- Απλώς πατήστε το νέο κουμπί Knock στην κύρια οθόνη για να το ενεργοποιήσετε.
- Προαιρετικά δημιουργήστε ένα widget για αυτό σε μια αρχική οθόνη.
Λάβετε υπόψη ότι ενώ έχουμε διαμορφώσει το παράδειγμα του αρχείου ρυθμίσεων με ομάδες των 3 για κάθε θύρα (λόγω της ενότητας Telnet παρακάτω), με αυτήν την εφαρμογή δεν υπάρχει περιορισμός στο ποσό των επαναλήψεων (εάν υπάρχει) για μια θύρα.
Διασκεδάστε χρησιμοποιώντας την εφαρμογή που έχει δωρίσει το StavFX :-)
Κτυπήστε από τα Windows / Linux
Ενώ είναι δυνατό να εκτελεστεί το κτύπημα με το απλούστερο βοηθητικό πρόγραμμα δικτύου "Telnet", η Microsoft αποφάσισε ότι το Telnet αποτελεί "κίνδυνο ασφαλείας" και, στη συνέχεια, δεν το εγκαθιστά πλέον από προεπιλογή στα σύγχρονα παράθυρα. Αν με ρωτάς "Αυτοί που μπορούν να εγκαταλείψουν την απαραίτητη ελευθερία για να αποκτήσουν μια μικρή προσωρινή ασφάλεια, δεν αξίζουν ούτε ελευθερία ούτε ασφάλεια. ~ Benjamin Franklin ", αλλά εγώ εκτρέπω.
Ο λόγος που ορίσαμε την ακολουθία παραδειγμάτων σε ομάδες των 3 για κάθε θύρα είναι ότι όταν το telnet δεν μπορεί να συνδεθεί στην επιθυμητή θύρα, θα προσπαθήσει αυτόματα ξανά 2 φορές. Αυτό σημαίνει ότι το telnet θα χτυπήσει 3 φορές πριν εγκαταλείψει. Το μόνο που πρέπει να κάνουμε είναι να εκτελέσουμε μία φορά την εντολή telnet για κάθε θύρα στην ομάδα θυρών. Είναι επίσης ο λόγος για τον οποίο έχει επιλεγεί χρονικό διάστημα 30 δευτερολέπτων, καθώς πρέπει να περιμένουμε το χρονικό όριο του telnet για κάθε θύρα μέχρι να εκτελέσουμε την επόμενη ομάδα θυρών. Συνιστάται, όταν τελειώσετε με τη φάση δοκιμών, να αυτοματοποιήσετε αυτήν τη διαδικασία με ένα απλό σενάριο Batch / Bash.
Χρησιμοποιώντας την ακολουθία παραδειγμάτων μας, αυτό θα μοιάζει με:
- Εάν τα παράθυρά σας, ακολουθήστε τις οδηγίες MS για να εγκαταστήσετε το Telnet.
- Πτώση σε μια γραμμή εντολών και έκδοση:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Αν όλα πήγαν καλά, αυτό θα έπρεπε να είναι.
Αντιμετώπιση προβλημάτων
Εάν ο δρομολογητής σας δεν αντιδράσει σε ακολουθίες, ακολουθούν δύο βήματα αντιμετώπισης προβλημάτων που μπορείτε να ακολουθήσετε:
- Προβολή του αρχείου καταγραφής - Το Knockd διατηρεί ένα αρχείο καταγραφής που μπορείτε να προβάλετε σε πραγματικό χρόνο για να δείτε αν οι ακολουθίες χτυπήματος έχουν φθάσει στον δαίμονα και αν η εντολή έχει εκτελεστεί σωστά.
Υποθέτοντας ότι χρησιμοποιείτε τουλάχιστον το αρχείο καταγραφής όπως στο παραπάνω παράδειγμα, για να το δείτε σε πραγματικό χρόνο, εκδώστε σε ένα τερματικό:ουρά -f /var/log/knockd.log
- Λάβετε υπόψη σας τα τείχη προστασίας - Μερικές φορές ο πάροχος υπηρεσιών διαδικτύου, ο χώρος εργασίας ή το internet cafe σας έχουν την ελευθερία να μπλοκάρουν την επικοινωνία για εσάς. Σε μια τέτοια περίπτωση, ενώ ο δρομολογητής σας μπορεί να ακούει, τα χτυπήματα σε θύρες που είναι μπλοκαρισμένες από οποιοδήποτε τμήμα της αλυσίδας, δεν θα φτάσουν στο δρομολογητή και θα έχουν έναν σκληρό χρόνο να αντιδράσουν σε αυτά. Αυτός είναι ο λόγος για τον οποίο συνιστάται να δοκιμάσετε συνδυασμούς που χρησιμοποιούν τις γνωστές θύρες όπως 80, 443, 3389 και ούτω καθεξής πριν δοκιμάσετε περισσότερες τυχαίες. Και πάλι, μπορείτε να δείτε το αρχείο καταγραφής για να δείτε τι θύρες φτάνουν στη διασύνδεση WAN του δρομολογητή.
- Δοκιμάστε τις αλληλουχίες εσωτερικά - Πριν από τη συμμετοχή της παραπάνω πολυπλοκότητας που μπορεί να εισάγουν άλλα τμήματα της αλυσίδας, συνιστάται να προσπαθήσετε να εκτελέσετε τις ακολουθίες εσωτερικά για να δείτε ότι Α. Χτύπησε τον δρομολογητή όπως νομίζετε ότι θα έπρεπε B. εκτελέστε την εντολή / s όπως αναμένεται. Για να το επιτύχετε, μπορείτε να ξεκινήσετε το Knockd ενώ είστε συνδεδεμένοι στη διεπαφή LAN με:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Μόλις εκτελεστεί το παραπάνω, μπορείτε να κατευθύνετε τον πελάτη Knocking στην εσωτερική διεύθυνση IP του δρομολογητή αντί του εξωτερικού του.
Συμβουλή: Επειδή το knockd ακούει στο επίπεδο "διεπαφής" και όχι στο επίπεδο IP, ίσως να θέλετε να εμφανίζεται συνεχώς μια παρουσία του KnockD στη διασύνδεση LAN. Καθώς το "Knocker" έχει ενημερωθεί για να υποστηρίξει δύο κεντρικούς υπολογιστές για να χτυπήσει, θα κάνει έτσι ώστε να απλοποιήσει και να εδραιώσει τα χτυπήματα προφίλ σας. - Θυμηθείτε ποια πλευρά είναι ενεργοποιημένη - Δεν είναι δυνατό να χτυπήσετε τη διασύνδεση WAN από τη διασύνδεση LAN στην παραπάνω διαμόρφωση. Εάν θέλετε να χτυπήσετε ανεξάρτητα από την "ποια πλευρά σας" μπορείτε απλά να εκτελέσετε τον δαίμονα δύο φορές, Μόλις συνδεθείτε στο WAN όπως στο άρθρο και μόλις συνδεθείτε στο LAN όπως στο βήμα εντοπισμού σφαλμάτων από πάνω. Δεν υπάρχει κανένα πρόβλημα να τρέχετε και σε συνδυασμό με την απλή προσθήκη της εντολής από πάνω στο ίδιο σενάριο geek-init.
Παρατηρήσεις
Ενώ το παραπάνω παράδειγμα θα μπορούσε να επιτευχθεί με διάφορες άλλες μεθόδους, ελπίζουμε ότι μπορείτε να το χρησιμοποιήσετε για να μάθετε πώς να πετύχετε περισσότερα πράγματα. Ένα δεύτερο μέρος σε αυτό το άρθρο που κρύβει την υπηρεσία VPN πίσω από ένα χτύπημα έρχεται, οπότε μείνετε συντονισμένοι.Μέσω του Knocking, θα είστε σε θέση να: Δυναμικά ανοιχτές θύρες, Απενεργοποίηση / Ενεργοποίηση υπηρεσιών, απομακρυσμένες υπολογιστές WOL και πολλά άλλα ...