Página principal » cómo » Cómo llamar a su red (DD-WRT)

    Cómo llamar a su red (DD-WRT)

    ¿Alguna vez ha querido tener esa "llamada de dormitorio" especial con su enrutador, para tenerla solo "abrir la puerta" cuando se ha reconocido la llamada secreta? How-To Geek explica cómo instalar el demonio Knock en DD-WRT.

    Imagen de Bfick y Aviad Raviv.

    Si aún no lo ha hecho, asegúrese de revisar los artículos anteriores de la serie:

    • Convierta su enrutador doméstico en un enrutador de gran potencia con DD-WRT
    • Cómo instalar software adicional en su enrutador doméstico (DD-WRT)
    • Cómo eliminar anuncios con Pixelserv en DD-WRT

    Suponiendo que esté familiarizado con esos temas, siga leyendo. Tenga en cuenta que esta guía es un poco más técnica, y los principiantes deben tener cuidado al modificar su enrutador.

    Visión general

    Tradicionalmente, para poder comunicarse con un dispositivo / servicio uno tendría que iniciar un completo conexión de red con él. Sin embargo, al exponer, lo que se denomina en la era de seguridad, una superficie de ataque. El demonio de Knock es un tipo de rastreador de red que puede reaccionar cuando se observa una secuencia preconfigurada. Como no es necesario establecer una conexión para que el demonio de detonación reconozca una secuencia configurada, la superficie de ataque se reduce al tiempo que se mantiene la funcionalidad deseada. En cierto sentido, vamos a precondicionar el enrutador con un deseado Respuesta de "dos bits" (a diferencia del pobre Roger ...).

    En este artículo vamos a:

    • Mostrar cómo usar Knockd para que el enrutador Wake-On-Lan tenga una computadora en su red local.
    • Mostrar cómo activar la secuencia de Knock desde una aplicación de Android, así como una computadora.

    Nota: si bien las instrucciones de instalación ya no son relevantes, puede ver la serie de películas que he creado "desde hace mucho tiempo", para ver el resumen completo de la configuración para llamar. (Solo disculpe la cruda presentación).

    Implicaciones de seguridad

    La discusión sobre "¿qué tan seguro es Knockd?", Es larga y se remonta a muchos milenios (en años de Internet), pero la conclusión es la siguiente:

    Knock es una capa de seguridad por oscuridad, que solo debe usarse para mejorar otros medios, como el cifrado, y no deben utilizarse por sí solos como fin, todo es una medida de seguridad.

    Prerrequisitos, Suposiciones y Recomendaciones

    • Se supone que usted tiene un enrutador DD-WRT habilitado para Opkg.
    • Un poco de paciencia, ya que esto puede llevar "un tiempo" para configurar.
    • Se recomienda encarecidamente que obtenga una cuenta DDNS para su IP externa (generalmente dinámica).

    Pongamos manos a la obra

    Instalación y configuración básica

    Instale el demonio de Knock abriendo un terminal al enrutador y emitiendo:

    actualización de opkg; opkg instalar knockd

    Ahora que Knockd está instalado, debemos configurar las secuencias de activación y los comandos que se ejecutarán una vez que se activen. Para hacer esto, abra el archivo "knockd.conf" en un editor de texto. En el enrutador esto sería:

    vi /opt/etc/knockd.conf

    Hacer que su contenido se vea como:

    [opciones]
    logfile = /var/log/knockd.log
    UseSyslog

    [wakelaptop]
    secuencia = 56,56,56,43,43,43,1443,1443,1443
    seq_timeout = 30
    comando = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
    tcpflags = sync

    Vamos a explicar lo anterior:

    • El segmento de "opciones" permite configurar parámetros globales para el daemon. En este ejemplo, le hemos dado instrucciones al demonio para que mantenga un registro tanto en el registro del sistema como en un archivo. Si bien no es perjudicial usar ambas opciones en conjunto, debe considerar mantener solo una de ellas.
    • El segmento "wakelaptop" es un ejemplo de una secuencia que activará el comando WOL en su LAN para una computadora con la dirección MAC de aa: bb: cc: dd: ee: 22.
      Nota: el comando anterior, asume el comportamiento predeterminado de tener una subred de clase C. 

    Para agregar más secuencias, simplemente copie y pegue el segmento "wakelaptop" y ajústelo con los nuevos parámetros y / o comandos que ejecutará el enrutador.

    Puesta en marcha

    Para que el enrutador invoque el demonio en el inicio, agregue lo siguiente al script "geek-init" de la guía OPKG:

    knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"

    Esto iniciará el demonio de Knock en la interfaz "WAN" de su enrutador, para que escuche los paquetes de Internet..

    Llamar desde Android

    En la era de la portabilidad es casi imprescindible "tener una aplicación para eso" ... así que StavFX creó una para la tarea :)
    Esta aplicación realiza las secuencias de detonación directamente desde su dispositivo Android y admite la creación de widgets en sus pantallas de inicio.

    • Instale la aplicación Knocker del mercado Android (también sea amable y déle una buena calificación).
    • Una vez instalado en su dispositivo, ejecútelo. Usted debe ser recibido por algo como:
    • Puede presionar prolongadamente el icono del ejemplo para editarlo o hacer clic en "menú" para agregar una nueva entrada. Una nueva entrada se vería como:
    • Agregue líneas y complete la información requerida para su Knocking. Para el ejemplo de configuración de WOL desde arriba, esto sería:
    • Opcionalmente, cambie el ícono presionando el ícono junto al nombre de Knock.
    • Guardar el golpe.
    • Solo toca el nuevo Knock en la pantalla principal para activarlo..
    • Opcionalmente cree un widget para él en una pantalla de inicio.

    Tenga en cuenta que, si bien hemos configurado el archivo de configuración de ejemplo con grupos de 3 para cada puerto (debido a la sección de Telnet a continuación), con esta aplicación no hay restricciones en la cantidad de repeticiones (si las hay) para un puerto.
    Diviértete usando la aplicación que StavFX ha donado :-)

    Llamar desde Windows / Linux

    Si bien es posible realizar el Knocking con la utilidad de red más simple a.k.a "Telnet", Microsoft ha decidido que Telnet es un "riesgo de seguridad" y, por lo tanto, ya no lo instala de forma predeterminada en las ventanas modernas. Si me preguntas "Los que pueden renunciar a la libertad esencial para obtener un poco de seguridad temporal, no merecen libertad ni seguridad". ~ Benjamin Franklin "pero estoy divagando.

    La razón por la que configuramos la secuencia de ejemplo en grupos de 3 para cada puerto, es que cuando telnet no puede conectarse al puerto deseado, intentará automáticamente de nuevo 2 veces más. Esto significa que telnet en realidad llamará 3 veces antes de rendirse. Entonces, todo lo que tenemos que hacer es ejecutar el comando telnet una vez para cada puerto en el grupo de puertos. También es la razón por la que se seleccionó un intervalo de tiempo de espera de 30 segundos, ya que tenemos que esperar el tiempo de espera de telnet para cada puerto hasta que ejecutemos el siguiente grupo de puertos. Se recomienda que cuando haya terminado con la fase de prueba, automatice este procedimiento con un simple script Batch / Bash..

    Usando nuestra secuencia de ejemplo, esto se vería así:

    • Si está en Windows, siga las instrucciones de MS para instalar Telnet..
    • Colocar en una línea de comando y emitir:
      telnet geek.dyndns-at-home.com 56
      telnet geek.dyndns-at-home.com 43
      telnet geek.dyndns-at-home.com 1443

    Si todo salió bien, debería ser eso..

    Solución de problemas

    Si su enrutador no reacciona a las secuencias, aquí hay algunos pasos de solución de problemas que puede seguir:

    • Ver el registro: Knockd mantendrá un registro que puede ver en tiempo real para ver si las secuencias de detonación han llegado al demonio y si el comando se ha ejecutado correctamente..
      Suponiendo que está utilizando al menos el archivo de registro como en el ejemplo anterior, para verlo en tiempo real, emita un problema en un terminal:

      cola -f /var/log/knockd.log

    • Tenga en cuenta los cortafuegos: a veces su ISP, su lugar de trabajo o su cibercafé se toman la libertad de bloquear la comunicación para usted. En tal caso, mientras su enrutador esté escuchando, los golpes en los puertos que están bloqueados por cualquier parte de la cadena, no alcanzarán al enrutador y les será difícil reaccionar. Es por eso que se recomienda probar combinaciones que usen puertos bien conocidos, como 80, 443, 3389, etc., antes de probar otros más aleatorios. De nuevo, puede ver el registro para ver qué puertos llegan a la interfaz WAN del enrutador.
    • Intente las secuencias internamente. Antes de involucrar la complejidad anterior que pueden introducir otras partes de la cadena, se recomienda que intente ejecutar las secuencias internamente para ver que A. golpean el enrutador como usted cree que deberían B. ejecute el comando / s como se esperaba. Para lograr esto, puede iniciar Knockd mientras está vinculado a su interfaz LAN con:

      knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf

      Una vez que se ejecuta lo anterior, puede dirigir el cliente de Knocking a la IP interna del enrutador en lugar de a la externa.
      Consejo: dado que knockd escucha a nivel de "interfaz" y no a nivel de IP, es posible que desee tener una instancia de KnockD ejecutándose en la interfaz de LAN todo el tiempo. Como "Knocker" se ha actualizado para que sea compatible con dos hosts para la detonación, esto lo hará para simplificar y consolidar sus perfiles de detonación..

    • Recuerde de qué lado está encendido: no es posible bloquear la interfaz WAN desde la interfaz LAN en la configuración anterior. Si desea poder golpear sin importar "en qué lado está", simplemente puede ejecutar el demonio dos veces, una vez vinculado a la WAN como en el artículo y una vez vinculado a la LAN como en el paso de depuración de arriba. No hay problemas para ejecutar ambos en conjunto simplemente agregando el comando desde arriba al mismo script geek-init.

    Observaciones

    Si bien el ejemplo anterior podría lograrse mediante otros métodos, esperamos que pueda usarlo para aprender cómo lograr cosas más avanzadas. Se acerca la segunda parte de este artículo que oculta el servicio VPN detrás de una llamada, así que estad atentos..

    A través de Knocking, podrá: Abrir puertos dinámicamente, Deshabilitar / Habilitar servicios, Computadoras WOL remotas y más ...