Beranda » bagaimana » Cara Mengetuk Jaringan Anda (DD-WRT)

    Cara Mengetuk Jaringan Anda (DD-WRT)

    Pernahkah Anda ingin memiliki "ketukan asrama" khusus dengan router Anda, sehingga hanya "membuka pintu" ketika ketukan rahasia telah dikenali? How-To Geek menjelaskan cara menginstal Knock daemon pada DD-WRT.

    Gambar oleh Bfick dan Aviad Raviv

    Jika Anda belum melakukannya, pastikan dan periksa artikel sebelumnya dalam seri:

    • Ubah Router Rumah Anda Menjadi Router Super-Bertenaga dengan DD-WRT
    • Cara Menginstal Perangkat Lunak Tambahan pada Router Rumah Anda (DD-WRT)
    • Cara Menghapus Iklan dengan Pixelserv di DD-WRT

    Dengan asumsi Anda terbiasa dengan topik-topik itu, teruslah membaca. Ingatlah bahwa panduan ini sedikit lebih teknis, dan pemula harus berhati-hati saat memodifikasi router mereka.

    Ikhtisar

    Secara tradisional, untuk dapat berkomunikasi dengan perangkat / layanan seseorang harus memulai a penuh koneksi jaringan dengannya. Namun hal itu memperlihatkan, apa yang disebut di era keamanan, permukaan serangan. Daemon Knock adalah sejenis sniffer jaringan yang dapat bereaksi ketika urutan pra-konfigurasi diamati. Karena koneksi tidak harus dibuat agar daemon ketukan mengenali urutan yang dikonfigurasi, permukaan serangan dikurangi dengan tetap mempertahankan fungsionalitas yang diinginkan. Dalam arti tertentu, kita akan mengkondisikan router dengan a diinginkan Respons "dua bit" (tidak seperti Roger yang malang ...).

    Dalam artikel ini kita akan:

    • Tunjukkan cara menggunakan Knockd agar router Wake-On-Lan komputer di jaringan lokal Anda.
    • Tunjukkan cara memicu urutan Knock dari aplikasi Android, serta komputer.

    Catatan: Meskipun petunjuk pemasangan tidak lagi relevan, Anda dapat menonton serial film yang saya buat “way back when”, untuk melihat seluruh jadwal konfigurasi mengetuk. (Maafkan presentasi kasar).

    Implikasi keamanan

    Diskusi tentang “seberapa aman Knockd?”, Sudah lama dan sudah ada sejak ribuan tahun yang lalu (dalam tahun internet) tetapi intinya adalah:

    Knock adalah lapisan keamanan oleh ketidakjelasan, yang seharusnya hanya digunakan untuk itu menambah cara lain seperti enkripsi dan tidak boleh digunakan sendiri karena pada akhirnya semua adalah ukuran keamanan.

    Prasyarat, Asumsi & Rekomendasi

    • Diasumsikan bahwa Anda memiliki router DD-WRT yang diaktifkan Opkg.
    • Beberapa kesabaran karena ini mungkin memerlukan "beberapa saat" untuk pengaturan.
    • Sangat disarankan agar Anda memperoleh akun DDNS untuk IP eksternal Anda (biasanya dinamis).

    Mari kita mulai retak

    Instalasi & Konfigurasi dasar

    Instal daemon Knock dengan membuka terminal ke router dan mengeluarkan:

    pembaruan opkg; opkg install knockd

    Sekarang setelah Knockd diinstal, kita perlu mengkonfigurasi urutan pemicu dan perintah yang akan dieksekusi setelah dipicu. Untuk melakukan ini, buka file “knockd.conf” di editor teks. Pada router ini akan menjadi:

    vi /opt/etc/knockd.conf

    Jadikan kontennya terlihat seperti:

    [pilihan]
    logfile = /var/log/knockd.log
    GunakanSyslog

    [wakelaptop]
    urutan = 56,56,56,43,43,43,1443,1443,1443
    seq_timeout = 30
    command = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram dapatkan lan_ipaddr | cut -d. -f 1,2,3) .255
    tcpflags = sinkronisasi

    Mari kita jelaskan di atas:

    • Segmen "opsi" memungkinkan seseorang untuk mengkonfigurasi parameter global untuk daemon. Dalam contoh ini kami telah menginstruksikan daemon untuk menyimpan log baik di syslog dan di file. Meskipun tidak ada salahnya menggunakan kedua opsi bersamaan, Anda harus mempertimbangkan untuk tetap menggunakan salah satunya saja.
    • Segmen "wakelaptop", adalah contoh dari urutan yang akan memicu perintah WOL ke LAN Anda untuk komputer dengan alamat MAC aa: bb: cc: dd: ee: 22.
      Catatan: Perintah di atas, mengasumsikan perilaku default memiliki subnet kelas C. 

    Untuk menambahkan lebih banyak urutan, cukup salin & tempel segmen "wakelaptop" dan sesuaikan dengan parameter dan / atau perintah baru yang akan dieksekusi oleh router.

    Memulai

    Agar perute menjalankan daemon saat startup, tambahkan skrip di bawah ini ke "geek-init" dari panduan OPKG:

    knockd -d -c /opt/etc/knockd.conf -i "$ (nvram dapatkan wan_ifname)"

    Ini akan memulai Knock daemon pada antarmuka "WAN" dari router Anda, sehingga ia akan mendengarkan paket dari internet.

    Ketuk dari Android

    Di era portabilitas, hampir penting untuk "memiliki aplikasi untuk itu" ... jadi StavFX menciptakan satu untuk tugas tersebut :)
    Aplikasi ini melakukan urutan ketukan langsung dari perangkat Android Anda dan mendukung pembuatan widget di layar beranda.

    • Instal aplikasi Knocker dari pasar Android (harap berbaik hati dan beri peringkat yang baik).
    • Setelah diinstal pada perangkat Anda, luncurkan. Anda harus disambut oleh sesuatu seperti:
    • Anda dapat menekan ikon contoh untuk mengeditnya, atau mengklik "menu" untuk menambahkan entri baru. Entri baru akan terlihat seperti:
    • Tambahkan baris dan isi informasi yang diperlukan untuk Mengetuk Anda. Sebagai contoh konfigurasi WOL dari atas ini adalah:
    • Secara opsional ubah ikon dengan menekan lama ikon di sebelah nama Knock.
    • Simpan Ketukan.
    • Ketuk tunggal Ketuk baru di layar utama untuk mengaktifkannya.
    • Opsional buat widget untuk itu di layar beranda.

    Ingatlah bahwa walaupun kami telah mengonfigurasi file konfigurasi contoh dengan grup 3 untuk setiap port (karena bagian Telnet di bawah), dengan aplikasi ini tidak ada batasan jumlah pengulangan (jika ada) untuk port.
    Bersenang-senang menggunakan aplikasi yang telah disumbangkan StavFX :-)

    Ketuk dari Windows / Linux

    Meskipun dimungkinkan untuk melakukan Knocking dengan utilitas jaringan paling sederhana a.k.a "Telnet", Microsoft telah memutuskan bahwa Telnet adalah "risiko keamanan" dan kemudian tidak lagi menginstalnya secara default di windows modern. Jika Anda bertanya kepada saya, “Mereka yang dapat melepaskan kebebasan esensial untuk mendapatkan sedikit keselamatan sementara, tidak layak mendapatkan kebebasan atau keselamatan. ~ Benjamin Franklin ”tetapi saya ngelantur.

    Alasan kami menetapkan contoh urutan ke grup 3 untuk setiap port, adalah bahwa ketika telnet tidak dapat terhubung ke port yang diinginkan, maka secara otomatis akan mencoba lagi 2 kali lagi. Ini berarti telnet akan benar-benar mengetuk 3 kali sebelum menyerah. Jadi yang harus kita lakukan adalah menjalankan perintah telnet sekali untuk setiap port dalam grup port. Ini juga merupakan alasan interval waktu habis 30 detik telah dipilih, karena kita harus menunggu batas waktu telnet untuk setiap port sampai kita menjalankan grup-port berikutnya. Disarankan bahwa ketika Anda telah selesai dengan fase pengujian, Anda mengotomatiskan prosedur ini dengan skrip Batch / Bash sederhana.

    Menggunakan contoh urutan kami ini akan terlihat seperti:

    • Jika ada di windows Anda, ikuti instruksi MS untuk menginstal Telnet.
    • Lepaskan ke baris perintah dan masalah:
      telnet geek.dyndns-at-home.com 56
      telnet geek.dyndns-at-home.com 43
      telnet geek.dyndns-at-home.com 1443

    Jika semuanya berjalan dengan baik, itu harusnya.

    Penyelesaian masalah

    Jika router Anda tidak bereaksi terhadap urutan, berikut adalah beberapa langkah pemecahan masalah yang dapat Anda ambil:

    • Lihat log - Knockd akan menyimpan log Anda dapat melihat secara real time untuk melihat apakah urutan ketukan telah sampai ke daemon dan jika perintah telah dijalankan dengan benar.
      Dengan asumsi Anda setidaknya menggunakan file-log seperti dalam contoh di atas, untuk melihatnya secara real-time, masalah dalam terminal:

      tail -f /var/log/knockd.log

    • Berhati-hatilah terhadap firewall - Terkadang ISP Anda, tempat kerja atau warnet, ambil kebebasan memblokir komunikasi untuk Anda. Dalam kasus seperti itu, ketika router Anda mungkin mendengarkan, ketukan pada port yang diblokir oleh bagian mana pun dari rantai, tidak akan mencapai router dan itu akan sulit bereaksi terhadapnya. Itulah sebabnya disarankan untuk mencoba kombinasi yang menggunakan port terkenal seperti 80, 443, 3389 dan seterusnya sebelum mencoba yang lebih acak. Sekali lagi, Anda dapat melihat log untuk melihat port apa yang mencapai antarmuka WAN router.
    • Coba urutannya secara internal - Sebelum melibatkan kompleksitas di atas yang dapat diperkenalkan oleh bagian lain dari rantai, disarankan agar Anda mencoba menjalankan urutan tersebut secara internal untuk melihat bahwa mereka menekan router seperti yang Anda pikir harus dijalankan. Jalankan perintah / Seperti yang diharapkan. Untuk mencapai ini, Anda dapat memulai Knockd sambil terikat ke antarmuka LAN Anda dengan:

      knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

      Setelah hal di atas dieksekusi, Anda dapat mengarahkan klien Knocking ke IP internal router alih-alih yang eksternal.
      Tip: Karena knockd mendengarkan pada level "antarmuka" dan bukan level IP, Anda mungkin ingin instance KnockD berjalan pada antarmuka LAN setiap saat. Karena "Pengetuk" telah diperbarui untuk mendukung dua host untuk mengetuk, hal itu akan dilakukan untuk menyederhanakan dan mengkonsolidasikan profil ketukan Anda.

    • Ingat sisi mana pada Anda - Tidak mungkin untuk mengetuk antarmuka WAN dari antarmuka LAN dalam konfigurasi di atas. Jika Anda ingin dapat mengetuk tidak peduli "apa sisi Anda" Anda cukup menjalankan iblis dua kali, Setelah terikat ke WAN seperti dalam artikel dan sekali terikat ke LAN seperti pada langkah debugging dari atas. Tidak ada masalah menjalankan keduanya bersamaan dengan hanya menambahkan perintah dari atas ke skrip geek-init yang sama.

    Komentar

    Meskipun contoh di atas dapat diselesaikan dengan berbagai metode lain, kami harap Anda dapat menggunakannya untuk mempelajari cara mencapai hal-hal yang lebih maju. Bagian dua artikel ini yang menyembunyikan layanan VPN di belakang ketukan akan datang, jadi tetaplah disini.

    Melalui Knocking, Anda akan dapat: Secara dinamis membuka port, Nonaktifkan / Aktifkan layanan, komputer WOL jarak jauh dan banyak lagi ...