Bagaimana Mengetuk Ke Dalam Jaringan Anda (DD-WRT)

Pernahkah Anda ingin memiliki "ketukan asrama" khusus dengan router Anda, karena hanya "membuka pintu" ketika ketukan rahasia telah dikenali? How-To Geek menjelaskan cara menginstal daemon Knock pada DD-WRT.

Gambar oleh Bfick dan Aviad Raviv

Jika Anda belum melakukannya, pastikan dan checkout artikel sebelumnya dalam seri:

• Ubah Router Home Anda Menjadi Router Super-Powered dengan DD-WRT
• Cara Menginstal Perangkat Lunak Tambahan di Router Rumah Anda (DD-WRT)
• Cara Menghapus Iklan dengan Pixelserv pada DD-WRT

Dengan asumsi Anda sudah familiar dengan topik tersebut, teruslah membaca. Perlu diingat bahwa panduan ini sedikit lebih teknis, dan pemula harus berhati-hati ketika memodifikasi router mereka.

Ikhtisar

Secara tradisional, agar dapat berkomunikasi dengan perangkat / layanan yang harus memulai penuh koneksi jaringan dengan itu. Namun demikian mengekspos, apa yang disebut di era keamanan, sebuah permukaan serangan. Knock daemon adalah sejenis sniffer jaringan yang dapat bereaksi ketika urutan pra-konfigurasi diamati. Karena koneksi tidak harus dibuat agar daemon ketukan mengenali urutan yang dikonfigurasikan, permukaan serangan akan berkurang sambil mempertahankan fungsionalitas yang diinginkan. Dalam arti, kami akan melakukan prekondisi router dengandiinginkan Tanggapan “dua bit” (tidak seperti Roger yang malang…).

Dalam artikel ini kita akan:

• Tunjukkan cara menggunakan Knockd untuk membuat router Wake-On-Lan komputer di jaringan lokal Anda.
• Tunjukkan cara memicu urutan Knock dari aplikasi Android, serta komputer.

Catatan: Meskipun petunjuk instalasi tidak lagi relevan, Anda dapat menonton seri film yang saya buat "jalan kembali ketika", untuk melihat seluruh rundown dari konfigurasi untuk mengetuk. (Hanya alasan presentasi kasar).

Implikasi keamanan

Diskusi tentang "seberapa aman Knockd?", Panjang dan berawal dari banyak milenia (dalam tahun internet) tetapi intinya adalah ini:

Ketukan adalah lapisan keamanan oleh ketidakjelasan, yang seharusnya hanya digunakan menambah cara lain seperti enkripsi dan tidak boleh digunakan pada itu sendiri sebagai akhir semua menjadi semua ukuran keamanan.

Prasyarat, Asumsi & Rekomendasi

• Diasumsikan bahwa Anda memiliki router DD-WRT Opkg yang diaktifkan.
• Beberapa kesabaran karena ini mungkin memerlukan waktu "sebentar" untuk pengaturan.
• Sangat disarankan agar Anda mendapatkan akun DDNS untuk IP eksternal (biasanya dinamis) Anda.

Mari kita dapatkan cracking

Instalasi & konfigurasi dasar

Instal daemon Knock dengan membuka terminal ke router dan mengeluarkan:

pembaruan opkg; opkg menginstal ketukan

Sekarang setelah Knockd dipasang, kita perlu mengkonfigurasi urutan dan perintah pemicu yang akan dijalankan setelah dipicu. Untuk melakukan ini, buka file "knockd.conf" di editor teks. Pada router ini akan menjadi:

vi /opt/etc/knockd.conf

Jadikan kontennya seperti:

[pilihan]
logfile = /var/log/knockd.log
UseSyslog

[wakelaptop]
urutan = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
perintah = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram dapatkan lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = sync

Mari jelaskan hal di atas:

• Segmen "opsi" memungkinkan seseorang untuk mengkonfigurasi parameter global untuk daemon. Dalam contoh ini, kami telah menginstruksikan daemon untuk menyimpan log baik di syslog dan di file. Meskipun tidak membahayakan menggunakan kedua opsi bersamaan, Anda harus mempertimbangkan untuk hanya menyimpan salah satu opsi.
• Segmen "wakelaptop", adalah contoh urutan yang akan memicu perintah WOL ke LAN Anda untuk komputer dengan alamat MAC aa: bb: cc: dd: ee: 22.
  Catatan: Perintah di atas, mengasumsikan perilaku default memiliki kelas C subnet.

Untuk menambahkan lebih banyak urutan, cukup salin & tempel segmen "wakelaptop" dan sesuaikan dengan parameter dan / atau perintah baru untuk dieksekusi oleh router.

Memulai

Agar router memanggil daemon saat startup, tambahkan di bawah ini ke skrip "geek-init" dari panduan OPKG:

ketukan -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"


Ini akan memulai Knock daemon pada interface "WAN" router Anda, sehingga ia akan mendengarkan paket-paket dari internet.

Ketuk dari Android

Di era portabilitas, hampir penting untuk "memiliki aplikasi untuk itu" ... jadi StavFX membuat satu untuk tugas :)
Aplikasi ini melakukan urutan ketukan langsung dari perangkat Android Anda dan mendukung pembuatan widget di layar beranda Anda.

• Instal aplikasi Knocker dari pasar Android (juga harap berbaik hati dan berikan peringkat yang baik).
• Setelah dipasang di perangkat Anda, luncurkan. Anda harus disambut oleh sesuatu seperti:
  
• Anda dapat menekan lama ikon contoh untuk mengeditnya, atau klik "menu" untuk menambahkan entri baru. Entri baru akan terlihat seperti:
  
• Tambahkan baris dan isi informasi yang diperlukan untuk Knocking Anda. Untuk konfigurasi WOL contoh dari atas ini akan menjadi:
  
• Opsional ubah ikon dengan menekan lama ikon di sebelah nama Knock.
• Simpan Ketukan.
• Ketuk satu ketukan baru di layar utama untuk mengaktifkannya.
• Secara opsional, buat widget untuknya di layar beranda.

Perlu diingat bahwa sementara kami telah mengkonfigurasi file konfigurasi contoh dengan kelompok 3 untuk setiap port (karena bagian Telnet di bawah), dengan aplikasi ini tidak ada batasan pada jumlah pengulangan (jika sama sekali) untuk port.
Bersenang-senang menggunakan aplikasi yang telah disumbangkan oleh StavFX :-)

Ketuk dari Windows / Linux

Meskipun mungkin untuk melakukan Knocking dengan yang paling sederhana dari utilitas jaringan a.k.a "Telnet", Microsoft telah memutuskan bahwa Telnet adalah "risiko keamanan" dan kemudian tidak lagi menginstalnya secara default pada jendela modern. Jika Anda bertanya kepada saya, “Mereka yang dapat melepaskan kebebasan esensial untuk mendapatkan sedikit keselamatan sementara, tidak layak mendapat kebebasan atau keselamatan. ~ Benjamin Franklin ”tetapi saya ngelantur.

Alasan kami menetapkan urutan contoh ke grup 3 untuk setiap port, adalah bahwa ketika telnet tidak dapat terhubung ke port yang diinginkan, secara otomatis akan mencoba lagi 2 kali lagi. Ini berarti telnet benar-benar akan mengetuk 3 kali sebelum menyerah. Jadi yang harus kita lakukan adalah menjalankan perintah telnet sekali untuk setiap port di grup port. Ini juga merupakan alasan interval waktu 30 detik telah dipilih, karena kita harus menunggu waktu habis telnet untuk setiap port sampai kita mengeksekusi port-grup berikutnya. Disarankan bahwa ketika Anda selesai dengan fase pengujian, Anda mengotomatiskan prosedur ini dengan skrip Batch / Bash sederhana.

Menggunakan urutan contoh kami ini akan terlihat seperti:

• Jika Anda di windows, ikuti instruksi MS untuk menginstal Telnet.
• Jatuhkan ke baris perintah dan terbitkan:
  telnet geek.dyndns-at-home.com 56
  telnet geek.dyndns-at-home.com 43
  telnet geek.dyndns-at-home.com 1443

Jika semua berjalan dengan baik, seharusnya itu.

Penyelesaian masalah

Jika router Anda tidak bereaksi terhadap urutan, berikut adalah beberapa langkah pemecahan masalah yang mungkin Anda ambil:

• Lihat log - Knockd akan menyimpan log Anda dapat melihat secara real time untuk melihat apakah urutan ketukan telah tiba ke daemon dan jika perintah telah dijalankan dengan benar.
  Dengan asumsi Anda setidaknya menggunakan file log seperti pada contoh di atas, untuk melihatnya secara real-time, masalah di terminal:

  tail -f /var/log/knockd.log

• Berhati-hatilah dengan firewall - Terkadang ISP Anda, tempat kerja atau warnet, ambil kebebasan memblokir komunikasi untuk Anda. Dalam kasus seperti itu, sementara router Anda mungkin mendengarkan, ketukan pada port yang diblokir oleh bagian manapun dari rantai, tidak akan mencapai router dan itu akan memiliki waktu yang sulit bereaksi terhadapnya. Itulah mengapa disarankan untuk mencoba kombinasi yang menggunakan port terkenal seperti 80, 443, 3389 dan seterusnya sebelum mencoba yang lebih acak. Sekali lagi, Anda dapat melihat log untuk melihat port apa yang mencapai antarmuka WAN router.
• Cobalah urutan secara internal - Sebelum melibatkan kerumitan di atas yang dapat diperkenalkan oleh bagian lain dari rantai, disarankan agar Anda mencoba mengeksekusi rangkaian secara internal untuk melihat bahwa mereka A. tekan router seperti Anda pikir mereka harus B. menjalankan perintah / seperti yang diharapkan. Untuk mencapai hal ini, Anda dapat memulai Knockd ketika terikat ke antarmuka LAN Anda dengan:
  

  knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

  Setelah hal di atas dieksekusi, Anda dapat mengarahkan klien Knocking ke IP internal router daripada yang eksternal.
  Tip: Karena ketukan mendengarkan pada tingkat "antarmuka" dan bukan tingkat IP, Anda mungkin ingin memiliki turunan dari KnockD yang berjalan di antarmuka LAN sepanjang waktu. Karena "Knocker" telah diperbarui untuk mendukung dua host untuk mengetuk, hal itu akan dilakukan untuk menyederhanakan dan mengkonsolidasikan profil ketukan Anda.

• Ingat sisi mana Anda di - Tidak mungkin untuk mengetuk antarmuka WAN dari antarmuka LAN dalam konfigurasi di atas. Jika Anda ingin dapat mengetuk tidak peduli "apa sisi Anda" Anda dapat menjalankan demon dua kali, Setelah terikat ke WAN seperti di artikel dan sekali terikat ke LAN seperti pada langkah debugging dari atas. Tidak ada masalah saat menjalankan keduanya bersamaan dengan hanya menambahkan perintah dari atas ke skrip geek-init yang sama.

Keterangan

Sementara contoh di atas dapat diselesaikan dengan berbagai metode lain, kami berharap Anda dapat menggunakannya untuk belajar cara mencapai hal-hal yang lebih maju. Bagian kedua dari artikel ini yang menyembunyikan layanan VPN di balik ketukan akan datang, jadi tetaplah bersama.

Melalui Knocking, Anda akan dapat: Port yang terbuka secara dinamis, layanan Nonaktifkan / Aktifkan, komputer WOL dari jarak jauh dan banyak lagi ...