If-Koubou

Kuinka koputtaa verkkoon (DD-WRT)

Kuinka koputtaa verkkoon (DD-WRT) (Miten)

Oletko koskaan halunnut, että erityinen "nukkumiskoe" reitittimesi kanssa, että se vain "avaa oven", kun salainen koputus on tunnustettu? How-To Geek selittää kuinka asentaa Knock-demoon DD-WRT: lle.

Kuva Bfick ja Aviad Raviv

Jos et ole vielä varma, varmista ja tarkista sarjan aikaisemmat artikkelit:

  • Käännä kotireititunnistimesi DD-WRT: n Super-Powered-reitittimeen
  • Lisäohjelmiston asentaminen kotiruudussa (DD-WRT)
  • Kuinka poistaa mainoksia Pixelservilla DD-WRT: ssä

Olettaen, että olet perehtynyt näihin aiheisiin, jatka lukemista. Muista, että tämä opas on hieman teknisempi, ja aloittelijoiden tulisi olla varovainen, kun muokkaavat reitittimensa.

Yleiskatsaus

Perinteisesti, jotta voisimme kommunikoida laitteen / palvelun kanssa, olisi aloitettava a koko verkkoyhteyttä sen kanssa. Tämä kuitenkin tuo esiin, mitä turvallisuusjaksolla kutsutaan hyökkäyspinnaksi. Knock daemon on eräänlainen verkkohaku, joka voi reagoida ennalta määritetyn sekvenssin havaitsemisen yhteydessä. Koska yhteys ei ole määritettävä, jotta koputusdemoni pystyy tunnistamaan konfiguroidun sekvenssin, hyökkäyspinta pienenee samalla kun ylläpidetään haluttua toimintoa. Jossain mielessä ennakkoehdimme reitittimen ahaluttu "Kaksi bittiä" vastausta (toisin kuin huono Roger ...).

Tässä artikkelissa:

  • Näytä, miten Knockdia käytetään reitittimen Wake-On-Lan tietokoneen paikallisverkossa.
  • Näytä, kuinka käynnistää Knock-sekvenssin Android-sovelluksesta ja tietokoneesta.

Huomaa: Vaikka asennusohjeet eivät ole enää relevantteja, voit katsoa elokuvan sarjaa, jonka olen luonut "takaisin, kun", nähdä koko kokoonpanon kopioinnin kopioimalla. (Anteeksi raaka esitys).

Turvallisuusvaikutukset

Keskustelu "kuinka turvallinen on Knockd?", On pitkä ja juontaa juurensa useita vuosituhansia (Internet-vuodenaikoina), mutta pohja on tämä:

Knock on tietoturvan epätarkkuus, jota pitäisi vain käyttää parantaa muita keinoja, kuten salausta, eikä sitä pitäisi käyttää sen omana lopettamisena, kaikki ovat kaikki turvatoimenpiteitä.

Edellytykset, olettamukset ja suositukset

  • Oletetaan, että sinulla on Opkg-käytössä oleva DD-WRT -reititin.
  • Jotkut kärsivällisyydestä, koska tämä voi kestää "jonkin aikaa" setup.
  • On erittäin suositeltavaa hankkia DDNS-tili ulkoiselle (yleensä dynaamiselle) IP: lle.

Halkeilee

Asennus ja perusasetukset

Asenna Knock-demoni avaamalla päätelaite reitittimeen ja antamalla:

opkg-päivitys; opkg asenna knockd

Nyt, kun Knockd on asennettu, meidän on määritettävä käynnissä olevat sekvenssit ja komennot, jotka suoritetaan niiden käynnistämisen jälkeen. Voit tehdä tämän avaamalla "knockd.conf" -tiedoston tekstieditorissa. Reitittimessä tämä olisi:

vi /opt/etc/knockd.conf

Tee sen sisältö näyttävät:

[Optiot]
logfile = /var/log/knockd.log
UseSyslog

[Wakelaptop]
sekvenssi = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
komento = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram saa lan_ipaddr | leikata-d .f 1,2,3) .255
tcpflags = synkronointi

Selittäkää edellä:

  • "Asetukset" -segmentin avulla voidaan konfiguroida demonin globaalit parametrit. Tässä esimerkissä olemme neuvoneet daemon pitää kirjaa sekä syslogissa että tiedostossa. Vaikka se ei haittaa molempien vaihtoehtojen käyttämistä yhdessä, kannattaa harkita vain yhden näistä.
  • "Wakelaptop" -segmentti on esimerkki sekvenssistä, joka käynnistää WOL-komennon lähiverkkoon tietokoneelle, jonka MAC-osoite on aa: bb: cc: dd: ee: 22.
    Huomaa: Yllä oleva komento olettaa, että oletusluvulla on luokan C aliverkko.

Jos haluat lisätä lisää sekvenssejä, kopioi ja liitä "wakelaptop" -segmentti ja säädä reitittimen suorittamilla uusilla parametreilla ja / tai komennoilla.

Aloittaa

Jos reititin hakee daemonia käynnistyksen yhteydessä, liitä alla olevaan kohtaan "geek-init" -skripti OPKG-oppaasta:

knockd -d -c /opt/etc/knockd.conf -i "$ (nvram saa wan_ifname)"

Tämä käynnistää Knock-demonin reitittimen "WAN" -rajapinnalla, jotta se kuuntelee paketteja internetistä.

Knock Androidista

Siirrettävyyden ikäisenä on ehdottomasti "oltava sovellus siihen" ... joten StavFX loi tehtävän :)
Tämä sovellus suorittaa koputusjaksoja suoraan Android-laitteestasi ja tukee widgetien luomista kotisivustossasi.

  • Asenna Knocker-sovellus Android-markkinoilta (myös ole ystävällinen ja anna sille hyvä arvostelu).
  • Kun laite on asennettu laitteeseen, käynnistä se. Sinua pitäisi tervehtiä jotain:
  • Voit pitkään painaa esimerkkikuvaketta muokata sitä tai lisätä uuden merkinnän valitsemalla "valikko". Uusi merkintä näyttää:
  • Lisää linjat ja täytä tarvittavat tiedot kopioitavaksi. Esimerkiksi WOL-konfiguraatiosta ylhäältä tämä olisi:
  • Vaihtoehtoisesti voit muuttaa kuvaketta painamalla pitkään Knockin nimen vieressä olevaa kuvaketta.
  • Tallenna koputus.
  • Yhdistä napauttamalla uutta koputusta päänäytöllä sen aktivoimiseksi.
  • Valinnaisesti voit luoda widgetin kotisivulle.

Muista, että kun olemme määrittäneet esimerkkikokoonpanotiedoston, jossa on kolme ryhmää jokaiselle portille (alla olevan Telnet-osion vuoksi), tällä sovelluksella ei ole rajoituksia porttien toistokertojen määrälle (jos ollenkaan).
Pidä hauskaa sovelluksen avulla, jonka StavFX lahjoitti :-)

Knock Windows / Linuxista

Vaikka on mahdollista suorittaa koputus yksinkertaisimmalla verkkoapuohjelmalla a.k.a "Telnet", Microsoft on päättänyt, että Telnet on "tietoturvariski" eikä sen jälkeen enää asenna sitä oletusarvoisesti nykyaikaisilla ikkunoilla. Jos kysyt minulta, "Ne, jotka voivat luopua keskeisestä vapaudesta saadakseen vähän väliaikaisen turvallisuuden, eivät anna vapautta eikä turvallisuutta. ~ Benjamin Franklin "mutta minä poistun.

Syynä, miksi olemme asettaneet esimerkkisarjan kolmelle ryhmälle jokaiselle portille, on se, että kun telnet ei pysty muodostamaan yhteyttä haluttuun porttiin, se yrittää automaattisesti 2 kertaa uudelleen. Tämä tarkoittaa, että telnet todella koputtaa 3 kertaa ennen luovuttamista. Joten meidän on vain suoritettava telnet-komento kerran porttiryhmän jokaiselle portille. Tämä on myös syynä siihen, että 30 sekunnin aikakatkaisuarvot on valittu, koska meidän on odotettava telnetin aikakatkaisua jokaiselle portille, kunnes suoritetaan seuraava porttiryhmä. On suositeltavaa, että kun olet suorittanut testausvaiheen, automatisoidaan tämä menettely yksinkertaisella Batch / Bash-komentosarjalla.

Esimerkkisekvenssin avulla tämä näyttää:

  • Jos käytössäsi on ikkunoita, noudata MS: n ohjeita Telnetin asennukseen.
  • Pudota komentoriville ja anna:
    telnet geek.dyndns-at-home.com 56
    telnet geek.dyndns-at-home.com 43
    telnet geek.dyndns-at-home.com 1443

Jos kaikki meni hyvin, sen pitäisi olla se.

Ongelmien karttoittaminen

Jos reititin ei reagoinut sekvensseihin, tässä on muutamia vianetsintävaiheita, joita voit tehdä:

  • Tarkastele loki - Knockd pitää kirjaa, jota voit tarkastella reaaliaikaisesti, onko koputusjakso saapunut daemiin ja mikäli komento on suoritettu oikein.
    Olettaen, että ainakin käytät lokitiedostoa, kuten yllä olevassa esimerkissä, nähdä se reaaliaikaisesti, anna pääte:

    tail -f /var/log/knockd.log

  • Muista palomuurit - Joskus Internet-palveluntarjoaja, työpaikka tai internet-kahvila, ota vapaus estää viestintää sinulle. Tällaisessa tapauksessa, vaikka reititin voi kuunnella, ketjun minkä tahansa osan estävien porttien koput eivät tule reitittimeen ja niillä on vaikeuksia reagoida niihin. Siksi on suositeltavaa kokeilla yhdistelmiä, jotka käyttävät tunnettuja portteja, kuten 80, 443, 3389 ja niin edelleen, ennen kuin kokeilet enemmän satunnaisia. Jälleen voit tarkastella lokia nähdäksesi mitä portteja pääsee reitittimen WAN-käyttöliittymään.
  • Kokeile sekvenssejä sisäisesti - Ennen kuin edellä mainitut monimutkaisuus, johon muut ketjun osat voivat ottaa käyttöön, on suositeltavaa suorittaa sekvenssit sisäisesti, jotta näet, että ne A. osuvat reitittimeen, kuten luulette niiden olevan. B. suorita komento / s odotetulla tavalla. Tämän suorittamiseksi voit käynnistää Knockd-ohjelman, kun se on sidottu lähiverkkoyhteyksiisi:

    knockd -d -i "$ (nvram saa lan_ifnameq)" -c /opt/etc/knockd.conf

    Kun edellä on suoritettu, voit ohjata koputtavan asiakkaan reitittimen sisäiseen IP-osoitteeseen sen ulkoisen sijaan.
    Vihje: Koska knockd kuuntelee "käyttöliittymätasolla" eikä "IP-tasoa", saatat haluta saada KnockD-esiintymän aina LAN-käyttöliittymässä. Koska "Knocker" on päivitetty tukemaan kahta isäntäkohtaa koputtaa, se tekee niin yksinkertaistaaksesi ja vahvistaaksesi koputusprofiilit.

  • Muista, miltä sivulta olet - Ei ole mahdollista kopioida WAN-rajapinta LAN-liitännästä yllä olevassa konfiguraatiossa. Jos haluat haluta koputtaa riippumatta "miltä puolelta olet", voit yksinkertaisesti suorittaa demonin kahdesti, kun olet sidottu WAN: hen, kuten artikkelissa ja kun olet sidottuna lähiverkkoon, kuten yllä olevassa virheenkorjausvaiheessa. Ei ole ongelmaa, joka toimii yhdessä yhdistämällä yksinkertaisesti yllä oleva komento samaan geek-init-komentosarjaan.

Huomautukset

Vaikka edellä oleva esimerkki voitaisiin toteuttaa useilla muilla menetelmillä, toivomme, että voit käyttää sitä oppiaksesi tekemään enemmän etenemistä. Tämän artikkelin toinen osa, joka piilottaa VPN-palvelun koputuksen takana, on tulossa, joten pysy kuulolla.

Kaatumisen avulla voit: avata portteja dynaamisesti, poistaa käytöstä / ottaa käyttöön palveluja, etäpolkuja WOL-tietokoneita ja paljon muuta ...