Was DD-WRT ist

DD-WRT ist aus der von Linksys für ihre Router entwickelten Software entstanden, welche unter der GPL-Lizenz veröffentlicht wurde. Somit steht auch DD-WRT unter GPL und kann kostenlos heruntergeladen und verwendet werden. Es gibt unterschiedliche Versionen die sich im Funktionsumfang und somit auch in der Dateigröße unterscheiden. Darum bitte zuerst einen Blick in die unterstützten Hardware-Router werfen um die passende Version zu finden. Dies ist abhängig von dem im Router verfügbarem Flash-Speicher. Es wird außerdem noch eine kostenpflichtige Spezialversion angeboten.

Vor der Installation der neuen Firmware sollte zuerst eine passende Anleitung gelesen werden. Hilfe kann man im DD-WRT Forum finden. abhängig von der Hardware kann die Installation direkt über die bestehende Firmware installiert werden oder muss in zwei Schritten eingerichtet werden. Dazu wird erst die bestehende Firmware vom Router gelöscht und im zweiten Schritt über TFTP neu installiert. Die Standard-Zugangsdaten sind anschließend root/admin.

Verbindungsprobleme beheben

Je mehr Benutzer oder Programme gleichzeitig über den Router das Internet benutzen, umso mehr Verbindungen muss dieser gleichzeitig verarbeiten und halten. Falls es zu Verbindungsabbrüchen kommt, kann unter Administration->Management bei IP-Filter-Einstellungen die maximal mögliche Anzahl von 4096 bei Maximale Ports eingetragen werden.

WLAN Reichweite erhöhen mit WDS

Ein weiteres Feature von DD-WRT ist der sogenannte WDS-Modus (Wikipedia). Hierüber kann über ein weiteren Router der WLAN-Bereich vergrößert werden. Der Vorteil von WDS gegenüber vielen einzelnen Access-Points ist, dass der Benutzer unterbrechungsfrei von einem Raum zum anderen gehen kann, ohne sich in ein anderes WLAN Einbuchen zu müssen, da überall die gleiche SSID verwendet wird. Für diesen zweiten (bzw. jeden weiteren) Router ist keine Verkabelung über ein LAN-Kabel nötig. Wichtig ist hierbei, dass die Router untereinander per WDS lediglich in einer gedachten Linie verbunden werden und nicht jeder Router mit jedem anderen Router eine WLAN-Verbindung aufbaut, da es sonst zu Routing-Problemen kommt da verschiedene Wege genommen werden könnten. Nachzulesen ist alles in der Anleitung WDS im DD-WRT-Wiki.

mit DynDNS zum eigenen VPN-Server

Ist DynDNS und der PPTP-Server konfiguriert kann man sich von unterwegs zum Büro oder Daheim ins Netzwerk verbinden und sogar mit der IP-Adresse vom DD-WRT-Router surfen, während die Verbindung verschlüsselt wird. Dazu wird neben der Konfiguration von DynDNS unter Services->VPN unter PPTP-Server die lokale IP des Routers bei DNS1, WINS1 und Server-IP eintragen. Unter Client-IP(s) werden die zu vergebenden IP-Adressen hinterlegt, welche natürlich nicht im DHCP-Bereich liegen sollten, z.b. 192.168.0.100-150 um 50 VPN Adressen zu bekommen. Bei CHAP-Secrets werden die Zugangsdaten zeilenweise im Klartext hinterlegt in Form von Username * Password * – Wichtig ist hierbei die Reihenfolge einzuhalten und die Lehrzeichen vor und nach den Sternen bestehen zu lassen. Falls eine Verbindung von Außen nicht klappt, einfach unter NAT / QoS eine Port-Weiterleitung für 1723 auf die Router-IP selber einrichten.

SSH (Wikipedia) ist ein Netzwerkprotokoll über welches von extern verschlüsselt der Server gesteuert werden kann und Daten ausgetauscht werden können.

Unter Windows ist ein SSH-Login mit PuTTY (Wikipedia) zur Konfiguration und das kopieren von Dateien mit WinSCP (Wikipedia) möglich.

Sehr unsicher ist jedoch das verwenden eines Kennwortes für den direkten root-Zugriff (Wikipedia) auf den Server. Darum wird zuerst ein eigenes Zertifikat erzeugt, dann der Zugriff eingeschränkt und anschließend das Passwort-Raten per sog. Brute-Force Angriff (Wikipedia) blockiert.

1. eigenes Zertifikat erzeugen

Mit dem Windows Programm PuTTYgen kann ein eigener Schlüssel erzeugt werden. Der Vorteil ist, dass wenn mehrere Server zu betreuen sind, dass man diesen Schlüssel auf jedem Server ablegen kann (siehe dazu Punkt 2. Zugriff einschränken) und auch nicht jedesmal ein Kennwort eingeben muss. Denn dies wird von nun an mit dem zusätzlichen Programm Pageant erledigt.

Das hier verwendete Prinzip setzt auf einem öffentlichen Schlüssel (Wipipedia), der ohne Bedenken weitergegeben werden kann und einem privaten Schlüssel (Wikipedia) auf, welcher mit einem Kennwort und vor fremdem Zugriff geschützt werden muss.

In PuTTYgen wird unter Parameters die Einstellung auf SSH-2 DSA gewählt und mit einem Klick auf Generate der Schlüssel erstellt. Nachdem Mausbewegungen für Zufallsparameter gesorgt haben kann ein Kommentar wie z.B. der eigene Name oder E-Mail Adresse eingegeben werden um später mehrere Schlüssel auseinander zu halten.

Für maximale Sicherheit muss der Schlüssel mit einer Passphrase geschützt werden. Im Unterschied zu einem Passwort kann hier auch ein ganzer Satz eingegeben werden.

Der Public key für OpenSSH wird aus dem Fenster rauskopiert und in einer Textdatei gespeichert. Der mit einer Passphrase geschützten Private key wird mit der Endung .ppk auf der Festplatte gespeichert. Dieser kann später mit Pageant geöffnt werden und verschwindet dann als Icon in der Statuszeile neben der Windows-Uhr, um dann Logins mit PuTTY oder WinSCP automatisch mit dem passenden Schlüssel zu versorgen und so einem Zugriff ohne eine nochmalige Passwort-Eingabe zu ermöglichen.

2. Zugriff einschränken

Der eben eingerichteten und kopierten öffentlichen Schlüssel aus dem Feld Public key für OpenSSH wird nun auf dem Server eingerichtet. Dazu benötigt man zuerst einen neuen Benutzer, wenn man sich vorher nur über root verbunden hat.

adduser –ingroup users –disabled-password BENUTZERNAME

im neu erstellten Home-Verzeichniss wird ein neuer Ordner .ssh erstellt und eine neue Datei authorized_keys erstellt und mit den richtigen Rechten versehen:

mkdir /home/BENUTZERNAME/.ssh
touch /home/BENUTZERNAME/.ssh/authorized_keys
chown -R BENUTZERNAME:users /home/BENUTZERNAME/

In diese neue Datei authorized_keys wird der öffentliche Schlüssel kopiert.

Während die Verbindung mit root-Rechten offen bleibt, wird versucht eine neue zusätzliche Verbindung zum Server aufzunehmen. Klappt alles hat man sich nicht selber ausgesperrt.

Nun ist es soweit den Root-Login auf den Server zu verbieten, in der Datei /etc/ssh/sshd_config wird folgende Einstellung vorgenommen:

PermitRootLogin no

Somit wird in Zukunft, nach einem Neustart von sshd ein direkter Root-Zugriff verhindert:

/etc/init.d/ssh restart

Befehle oder Aktionen, wie das einspielen der Sicherheitsupdates, erfordern natürlich auch weiterhin root-Rechte, die aber für normale Benutzer mit entsprechender Kenntnis des Root-Kennworts einfach zu erlangen sind:

su -

3. Brute-Force Angriffe blockieren

beim verfolgen der Einträge in der Protokolldatei /var/log/auth.log fällt sofort auf, dass hier ständig probiert wird Benutzernamen und entsprechende Passwörter zu raten. Die passiert per Brute-Force und meist sogar ohne Wissen der Benutzer der IP. Dies kann sowohl ein von Viren befallener PC, oder ein gehackter Server sein. Da diese meist im Ausland beheimatet sind, ist eine Meldung oder Anzeige kaum erfolgreich.

Hier hilft nur den Server selber mit einer eigenen Firewall zu schützen. Das Tool iptables (Wikipedia) ist dafür ausgelegt, Pakete zu prüfen und entsprechend eingestellter Regeln zu verwerfen.

Wenn gewünscht ist den Angreifer auszubremsen und ihm so ein Passwort-Raten zu erschweren wird ein Shell-Script angelegt, z.b. bfstopper.sh und mit dem folgenden Inhalt befüllt:

iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –dport ssh -m recent –update –seconds 600 -j DROP
iptables -A INPUT -p tcp –dport ssh –tcp-flags syn,ack,rst syn -m recent –set -j ACCEPT

Somit werden alle wiederholten Verbindungen auf den SSH-Port 22 von der gleichen IP für 600 Sekunden, also 10 Minuten geblockt.

Alternativ gibt es natürlich weitere Methoden, wie das verlegen von SSH auf einen anderen Port, oder ein aktives Pflegen der hosts.allow und hosts.deny Dateien, oder durch das verwenden von fail2ban. Alles etwas überdimensioniert.

OpenSSH
iptables