네트워크 노크하는 방법, 2 부 : 귀하의 VPN을 보호하십시오 (DD 형식)

라우터에서 “포트 노킹 (Port Knocking)”을 통해 원격으로 WOL을 트리거하는 방법을 설명했습니다. 이 기사에서는이를 사용하여 VPN 서비스를 보호하는 방법을 보여줍니다.

Aviad Raviv & bfick의 이미지.

DD-WRT에 내장 된 VPN 기능을 사용하거나 네트워크에 다른 VPN 서버가있는 경우 노크 시퀀스 뒤에 숨겨서 무차별 공격으로부터 시스템을 보호 할 수 있습니다. 이렇게하면 네트워크 액세스 권한을 얻으려는 스크립트 키디를 걸러 낼 수 있습니다. 이전 기사에서 언급했듯이, 포트 노킹은 좋은 암호 및 / 또는 보안 정책을 대체하지 않습니다. 충분한 인내심을 가지고 공격자가 시퀀스를 발견하고 재생 공격을 수행 할 수 있음을 기억하십시오. 또한 구현의 단점은 모든 VPN 클라이언트가 연결할 때 노크 시퀀스를 트리거해야한다는 것입니다 어떤 이유로 든 시퀀스를 완료 할 수 없으면 VPN에 전혀 액세스 할 수 없습니다.

VPN 서비스를 보호하기 위해 먼저 1723의 인스턴스 포트를 차단하여 가능한 모든 통신을 비활성화합니다.이 목표를 달성하기 위해 iptables를 사용합니다. 이것은 통신이 대부분의 최신 Linux / GNU 배포판에서 특히 DD-WRT에서 필터링되는 방식 때문입니다. iptables checkout에 관한 더 많은 정보를 원하신다면 wiki 항목을 보시고 주제에 관한 이전 기사를 살펴보십시오. 일단 서비스가 보호되면, VPN 인스턴스 포트를 일시적으로 열어 놓고, 이미 설정된 VPN 세션을 유지하면서 구성된 시간 후에 자동으로 닫는 노크 시퀀스를 만듭니다.

참고 :이 가이드에서는 PPTP VPN 서비스를 예로 들어 설명합니다. 즉, 다른 VPN 유형에도 동일한 방법을 사용할 수 있습니다. 차단 된 포트 및 / 또는 통신 유형을 변경하면됩니다.

금이 간다.

DD-WRT의 기본 “새 VPN 차단”규칙

아래의 “코드”스 니펫은 Linux / GNU 배포판을 사용하는 모든 자존심있는 iptables에서 작동하지만, DD-WRT에서 사용하는 방법 만 보여줄 것입니다. 원하는 경우 VPN 상자에서 직접 구현하는 것을 막을 수있는 방법은 없습니다. 그러나이를 수행하는 방법은이 가이드의 범위를 벗어납니다.

우리는 라우터의 방화벽을 확장하려고하기 때문에 “방화벽”스크립트에 추가하는 것은 논리적 일뿐입니다. 이렇게하면 방화벽이 새로 고침 될 때마다 iptables 명령이 실행되어 유지를 위해 우리의 기능 보강이 유지됩니다.

DD-WRT의 웹 GUI에서

inline = $ (($ inline-2 + 1)); iptables – “grep -n”상태에서 $ {iptables -L | 나는 “$ inline”을 입력한다. -p tcp –dport 1723 -j DROP

이 “부두”명령은 무엇입니까?

위의 “voodoo magic”명령은 다음을 수행합니다.

녹다운 구성

새 VPN 연결을 만들 수있는 새로운 트리거링 시퀀스를 만들어야합니다. 이렇게하려면 터미널에서 실행하여 knockd.conf 파일을 편집하십시오

vi /opt/etc/knockd.conf

기존 구성에 추가

iptables -I INPUT 1 -s % IP % -p tcp –dport 1723 – enable-VPN – 시퀀스가 ​​0,0,0,0,0,0,0,0,1,01,2010,2010,2010이고 seq_timeout이 60입니다. j ACCEPT; cmd_timeout = 20; stop_command = iptables -D INPUT -s % IP % -p tcp –dport 1723 -j ACCEPT

이 구성은

작성자의 팁

당신이 모든 준비가되어 있어야하지만, 언급 할 필요가있는 몇 가지 요점이 있습니다.

누가 내 잠을 방해합니까?

스크린 샷에서 GUI의 이름은 무엇입니까? 감사!

@casper GUI는 버팔로 라우터에서 가져온 것입니다 …

루비 크 큐브 (Rubik ‘s Cube)는 실제로 수십억 가지의 구성을 가지고 있다고 광고되지만 사실 루비 크 큐브는 43.25 억 개의 잠재 구성을 가지고 있습니다.