Image de Bfick et Aviad Raviv
Si vous ne l’avez pas déjà fait, vérifiez les articles précédents de la série:
- Transformez votre routeur domestique en un routeur super-alimenté avec DD-WRT
- Comment installer des logiciels supplémentaires sur votre routeur domestique (DD-WRT)
- Comment supprimer des publicités avec Pixelserv sur DD-WRT
En supposant que vous connaissez ces sujets, continuez à lire. N'oubliez pas que ce guide est un peu plus technique et que les débutants doivent faire attention lorsqu'ils modifient leur routeur.
Vue d'ensemble
Traditionnellement, pour pouvoir communiquer avec un appareil / service, il faudrait initier une plein connexion réseau avec elle. Quoi qu'il en soit, cela expose, ce qu'on appelle à l'ère de la sécurité, une surface d'attaque. Le démon Knock est une sorte de renifleur réseau qui peut réagir lorsqu'une séquence préconfigurée est observée. Comme il n'est pas nécessaire d'établir une connexion pour que le démon knock puisse reconnaître une séquence configurée, la surface d'attaque est réduite tout en conservant la fonctionnalité souhaitée. Dans un sens, nous allons pré-conditionner le routeur avec unvoulu Réponse «deux bits» (contrairement au pauvre Roger…).
Dans cet article nous allons:
- Montrez comment utiliser Knockd pour que le routeur réveille un ordinateur sur votre réseau local.
- Montrez comment déclencher la séquence Knock à partir d'une application Android, ainsi que d'un ordinateur.
Remarque: bien que les instructions d’installation ne soient plus pertinentes, vous pouvez visionner la série de films que j’ai créée «Way back when», pour voir le déroulement complet de la configuration de la frappe. (Juste excuser la présentation brute).
Implications pour la sécurité
La discussion sur le degré de sécurité de Knockd est longue et remonte à plusieurs millénaires (années Internet), mais voici l'essentiel:
Knock est une couche de sécurité par obscurité, qui ne devrait être utilisée que pour améliorer d’autres moyens comme le cryptage et ne doivent pas être utilisés seuls, mais constituent une mesure de sécurité.
Prérequis, hypothèses et recommandations
- Il est supposé que vous avez un routeur DD-WRT activé pour Opkg.
- Un peu de patience car cela peut prendre «un peu de temps» à installer.
- Il est fortement recommandé d’obtenir un compte DDNS pour votre IP externe (généralement dynamique).
Permet de craquer
Installation et configuration de base
Installez le démon Knock en ouvrant un terminal au routeur et en émettant:
opkg update; opkg install knockd
Maintenant que Knockd est installé, nous devons configurer les séquences de déclenchement et les commandes qui seront exécutées une fois qu’elles sont déclenchées. Pour ce faire, ouvrez le fichier «knockd.conf» dans un éditeur de texte. Sur le routeur, ce serait:
vi /opt/etc/knockd.conf
Faire en sorte que son contenu ressemble à:
[options] logfile = /var/log/knockd.log UseSyslog
[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/sbin/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d. -f 1,2,3 ).255 tcpflags = sync
Permet d'expliquer ce qui précède:
- Le segment «options» permet de configurer les paramètres globaux du démon. Dans cet exemple, nous avons demandé au démon de conserver un journal à la fois dans le journal système et dans un fichier. Bien que l’utilisation conjointe des deux options ne présente pas de danger, vous devriez envisager de n'en conserver qu'une.
- Le segment «wakelaptop» est un exemple de séquence qui déclenchera la commande WOL sur votre réseau local pour un ordinateur dont l'adresse MAC est aa: bb: cc: dd: ee: 22. Remarque: La commande ci-dessus suppose le comportement par défaut d'un sous-réseau de classe C.
Pour ajouter d'autres séquences, copiez et collez simplement le segment «wakelaptop» et ajustez-le avec les nouveaux paramètres et / ou commandes à exécuter par le routeur.
Commencez
Pour que le routeur appelle le démon au démarrage, ajoutez ce qui suit au script «geek-init» du guide OPKG:
knockd -d -c /opt/etc/knockd.conf -i '$( nvram get wan_ifname )'
Cela lancera le démon Knock sur l'interface «WAN» de votre routeur, afin qu'il écoute les paquets provenant d'Internet.
Frappez depuis Android
À l'ère de la portabilité, il est presque impératif de "disposer d'une application pour cela" … alors StavFX en a créé une pour la tâche:) Cette application exécute les séquences de frappe directement à partir de votre appareil Android et prend en charge la création de widgets sur vos écrans d'accueil.
- Installez l'application Knocker à partir du marché Android (soyez également aimable et donnez-lui une bonne note).
-
Une fois installé sur votre appareil, lancez-le. Vous devriez être accueilli par quelque chose comme:
Image -
Vous pouvez appuyer longuement sur l’exemple d’icône pour le modifier ou cliquer sur «menu» pour ajouter une nouvelle entrée. Une nouvelle entrée ressemblerait à ceci:
Image -
Ajoutez des lignes et remplissez les informations requises pour votre Knocking. Pour l'exemple de configuration WOL ci-dessus, ceci serait:
Image - Vous pouvez éventuellement modifier l’icône en appuyant longuement sur l’icône située à côté du nom de Knock.
- Sauvez le coup.
- Appuyez une fois sur le nouveau Knock dans l'écran principal pour l'activer.
- Créez éventuellement un widget pour celui-ci sur un écran d'accueil.
N'oubliez pas que, bien que nous ayons configuré l'exemple de fichier de configuration avec des groupes de 3 pour chaque port (à cause de la section Telnet ci-dessous), cette application n'impose aucune restriction quant au nombre de répétitions (le cas échéant) d'un port. Amusez-vous avec l'application que StavFX a donnée:-)
Frapper à partir de Windows / Linux
Bien qu'il soit possible d'exécuter Knocking avec le plus simple des utilitaires réseau a.k.a «Telnet», Microsoft a décidé que Telnet constituait un «risque de sécurité» et ne l'installait plus par défaut par la suite sur les fenêtres modernes.Si vous me demandez: «Ceux qui peuvent renoncer à la liberté essentielle pour obtenir un peu de sécurité temporaire ne méritent ni la liberté ni la sécurité. ~ Benjamin Franklin”mais je m'éloigne du sujet.
La raison pour laquelle nous avons défini l'exemple de séquence sur des groupes de 3 pour chaque port est que si Telnet ne parvient pas à se connecter au port souhaité, il réessayera automatiquement 2 autres fois. Cela signifie que telnet frappera réellement 3 fois avant d'abandonner. Il suffit donc d'exécuter la commande telnet une fois pour chaque port du groupe de ports. C’est aussi la raison pour laquelle un délai de 30 secondes a été sélectionné, car nous devons attendre le délai de telnet pour chaque port avant d’exécuter le groupe de ports suivant. Il est recommandé d’automatiser cette procédure à l’issue de la phase de test à l’aide d’un script Batch / Bash simple.
En utilisant notre exemple de séquence, cela ressemblerait à:
- Si vous utilisez Windows, suivez les instructions MS pour installer Telnet.
- Passez à une ligne de commande et lancez: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443
Si tout s'est bien passé, ça devrait être ça.
Dépannage
Si votre routeur ne réagit pas aux séquences, voici quelques étapes de dépannage que vous pouvez suivre:
-
Afficher le journal - Knockd tiendra un journal que vous pourrez visualiser en temps réel pour voir si les séquences de frappe ont été envoyées au démon et si la commande a été exécutée correctement. En supposant que vous utilisiez au moins le fichier journal comme dans l'exemple ci-dessus, pour le voir en temps réel, émettez dans un terminal:
tail -f /var/log/knockd.log
- Attention aux pare-feu - Parfois, votre fournisseur d'accès Internet, votre lieu de travail ou votre cybercafé se permettent de bloquer la communication pour vous. Dans ce cas, même si votre routeur est à l’écoute, les frappes sur les ports bloqués par n’importe quelle partie de la chaîne n’atteindront pas le routeur et il aura du mal à réagir. C'est pourquoi il est recommandé d'essayer des combinaisons qui utilisent les ports bien connus tels que 80, 443, 3389 et ainsi de suite avant d'essayer des ports plus aléatoires. Là encore, vous pouvez consulter le journal pour voir quels ports atteignent l’interface WAN du routeur.
-
Essayez les séquences en interne - Avant d’impliquer la complexité ci-dessus que d’autres parties de la chaîne peuvent présenter, il est recommandé d’essayer d’exécuter les séquences en interne pour vérifier qu’ils A. frappent le routeur comme vous le pensez B. devrait exécuter la commande s comme prévu. Pour ce faire, vous pouvez démarrer Knockd en étant connecté à votre interface LAN avec:
knockd -d -i '$( nvram get lan_ifnameq )' -c /opt/etc/knockd.conf
Une fois que ce qui précède est exécuté, vous pouvez diriger le client Knocking vers l’adresse IP interne du routeur plutôt que vers son adresse IP externe. Conseil: Knockd étant à l’écoute au niveau «interface» et non au niveau IP, vous souhaiterez peut-être qu’une instance de KnockD soit toujours exécutée sur l’interface LAN. Comme «Knocker» a été mis à jour pour prendre en charge deux hôtes, vous pourrez ainsi simplifier et consolider vos profils.
- N'oubliez pas de quel côté vous êtes - Il n'est pas possible de déconnecter l'interface WAN de l'interface LAN dans la configuration ci-dessus. Si vous souhaitez pouvoir frapper n'importe quel côté, vous pouvez simplement exécuter le démon deux fois, une fois lié au réseau étendu (WAN) comme dans l'article et une fois lié au réseau local (LAN) comme dans l'étape de débogage d'en haut. Il n'y a aucun problème à exécuter les deux en même temps en ajoutant simplement la commande précédente au même script geek-init.
Remarques
Bien que l'exemple ci-dessus puisse être réalisé par diverses autres méthodes, nous espérons que vous pourrez vous en servir pour apprendre à accomplir des tâches plus avancées. La deuxième partie de cet article qui cache le service VPN après un coup est à venir, alors restez à l’écoute.
Grâce à Knocking, vous pourrez: ouvrir des ports de manière dynamique, désactiver / activer des services, des ordinateurs WOL à distance, etc.
