عالم التكنولوجيا

كيفية اختراق شبكتك ، الجزء 2: حماية VPN الخاص بك (DD-WRT)

ملاحظة: في هذا الدليل ، نستخدم خدمة PPTP VPN كمثال. مع ذلك ، يمكن استخدام نفس الطريقة لأنواع VPN الأخرى ، سيكون عليك فقط تغيير المنفذ المحظور و / أو نوع الاتصال.

المتطلبات والافتراضات والتوصيات

  • من المفترض / المطلوب أن يكون لديك  موجه DD-WRT ممكّن لـ Opkg .
  • من المفترض / المطلوب أنك قمت بالفعل بتنفيذ الخطوات الواردة في دليل ” كيفية الدخول إلى شبكتك (DD-WRT) “.
  • يفترض بعض المعرفة الشبكية.

فلنسرع.

افتراضي  “كتلة الشبكات الخاصة الإفتراضية الجديدة” حكم على DD-WRT

في حين أن المقتطف أدناه من “الكود” من المحتمل أن يعمل على كل ، يحترم نفسه ، iptables باستخدام Linux / GNU ، نظرًا لوجود العديد من المتغيرات ، سنعرض فقط كيفية استخدامه على DD-WRT. لا شيء يمنعك ، إذا كنت ترغب في ذلك ، من تنفيذه مباشرة على صندوق VPN. ومع ذلك ، فإن كيفية القيام بذلك ، خارج نطاق هذا الدليل.

نظرًا لأننا نريد زيادة جدار الحماية الخاص بالموجه ، فمن المنطقي فقط أن نضيف البرنامج النصي “Firewall”. سيؤدي القيام بذلك إلى تنفيذ الأمر iptables في كل مرة يتم فيها تحديث جدار الحماية ، وبالتالي الحفاظ على زيادتنا في مكانها للاحتفاظ بها.

من واجهة المستخدم الرسومية على الويب DD-WRT:

  • انتقل إلى “الإدارة” -> “الأوامر”.
  • أدخل “الرمز” أدناه في مربع النص:

    inline="$( iptables -L INPUT -n | grep -n "state RELATED,ESTABLISHED"  | awk -F : {'print $1'} )"; inline=$(($inline-2+1)); iptables -I INPUT "$inline" -p tcp --dport 1723 -j DROP

  • انقر فوق “حفظ جدار الحماية”.
  • منجز.

ما هو أمر “الفودو” هذا؟

يقوم أمر “سحر الفودو” أعلاه بما يلي:

  • يكتشف أين هو خط iptable الذي يمكّن الاتصالات القائمة بالفعل من المرور. نقوم بذلك ، لأن A. على أجهزة توجيه DD-WRT ، إذا تم تمكين خدمة VPN ، فسيكون موجودًا أسفل هذا الخط مباشرةً و B. إنه أمر ضروري لهدفنا المتمثل في الاستمرار في السماح بجلسات VPN القائمة بالفعل بالعيش بعد يطرق الحدث.
  • اقتطع اثنين (2) من إخراج أمر الإدراج لحساب الإزاحة التي تسببها رؤوس أعمدة المعلومات. بمجرد الانتهاء من ذلك ، قم بإضافة واحد (1) إلى الرقم أعلاه ، بحيث تأتي القاعدة التي ندرجها بعد القاعدة التي تسمح بالاتصال القائم بالفعل. لقد تركت “مسألة حسابية” بسيطة جدًا هنا ، فقط لأوضح منطق “لماذا يحتاج المرء إلى اختزال واحدة من مكان القاعدة بدلاً من إضافة واحدة إليها”.

تكوين KnockD

نحتاج إلى إنشاء تسلسل تشغيل جديد سيمكن من إنشاء اتصالات VPN جديدة. للقيام بذلك ، قم بتحرير ملف knockd.conf عن طريق الإصدار في Terminal:

vi /opt/etc/knockd.conf

إلحاق التكوين الحالي:

[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT
cmd_timeout = 20
stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT

هذا التكوين سوف:

  • اضبط نافذة الفرصة لإكمال التسلسل ، على 60 ثانية. (من المستحسن أن يكون هذا قصيرًا قدر الإمكان)
  • استمع إلى سلسلة من ثلاث نقرات على المنافذ 2 و 1 و 2010 (هذا الأمر متعمد لإبعاد ماسحات المنافذ عن المسار).
  • بمجرد اكتشاف التسلسل ، قم بتنفيذ “start_command”. سيضع أمر “iptables” هذا “قبول حركة المرور الموجهة إلى المنفذ 1723 من حيث أتت الضربات” في الجزء العلوي من قواعد جدار الحماية. (يتم التعامل مع توجيه٪ IP٪ بشكل خاص بواسطة KnockD ويتم استبداله بـ IP الخاص بأصل النقرات).
  • انتظر لمدة 20 ثانية قبل إصدار “أمر الإيقاف”.
  • قم بتنفيذ “stop_command”. حيث يقوم الأمر “iptables” هذا بعكس ما ورد أعلاه ويحذف القاعدة التي تسمح بالاتصال.
هذا كل شيء ، يجب أن تكون خدمة VPN الخاصة بك الآن قابلة للاتصال فقط بعد “ضربة” ناجحة.

نصائح المؤلف

بينما يجب أن تكون جاهزًا تمامًا ، هناك بضع نقاط أشعر بالحاجة إلى ذكرها.

  • استكشاف الأخطاء وإصلاحها. تذكر أنه إذا كنت تواجه مشكلات ، فيجب أن يكون جزء “استكشاف الأخطاء وإصلاحها” في نهاية  المقالة الأولى هو محطتك الأولى.
  • إذا كنت ترغب في ذلك ، يمكنك جعل توجيهات “البدء / الإيقاف” تنفذ أوامر متعددة عن طريق فصلها بنصف كولن (؛) أو حتى نص برمجي. سيمكنك القيام بذلك من القيام ببعض الأشياء الرائعة. على سبيل المثال ، لقد قرعت أرسل لي رسالة بريد إلكتروني تخبرني أنه تم تشغيل تسلسل ومن أين.
  • لا ننسى أن ” هناك التطبيق لذلك ” وعلى الرغم من أن ليست المذكورة في هذه المقالة، كنت مدعوة لانتزاع StavFX الروبوت الصورة برنامج مطرقة .
  • أثناء الحديث عن Android ، لا تنس أن هناك عميل PPTP VPN مدمج عادة في نظام التشغيل من الشركة المصنعة.
  • يمكن استخدام طريقة حظر شيء ما في البداية ثم الاستمرار في السماح بالاتصال القائم بالفعل على أي اتصال يعتمد على بروتوكول التحكم في الإرسال (TCP). في الواقع في Knockd على أفلام DD-WRT 1 ~ 6  ، لقد عدت إلى الوراء عندما استخدمت بروتوكول سطح المكتب البعيد (RDP) الذي يستخدم المنفذ 3389 كمثال.
ملاحظة: من أجل القيام بذلك ، سوف تحتاج إلى الحصول على وظيفة البريد الإلكتروني على جهاز التوجيه الخاص بك ، والذي لا يعمل حاليًا لأن لقطة SVN لحزم OpenWRT’s opkg في حالة من الفوضى. لهذا السبب أقترح استخدام knockd مباشرة في مربع VPN الذي يمكّنك من استخدام جميع خيارات إرسال البريد الإلكتروني المتوفرة في Linux / GNU ، مثل SSMTP  و sendEmail على سبيل المثال لا الحصر.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى
error: Content is protected !!