15Jul
Připojení k internetu z hotspotů Wi-Fi, v práci nebo kdekoli jinde mimo domov, vystavuje vaše data zbytečným rizikům. Své směrovače můžete snadno konfigurovat tak, aby podporovaly bezpečný tunel a chránili vzdálený prohlížeč, aby vás viděli.
Co je a proč nastavit bezpečný tunel?
Možná byste byl zvědavý, proč byste dokonce chtěli vytvořit bezpečný tunel z vašich zařízení do vašeho domácího směrovače a jaké výhody byste z tohoto projektu využili. Ukážeme vám pár různých scénářů, které zahrnují použití internetu k ilustraci výhod bezpečné tunelování.
Scénář jedna: Nacházíte se v kavárně s použitím přenosného počítače pro prohlížení internetu prostřednictvím bezplatného Wi-Fi připojení.Data opustí modem Wi-Fi, prochází vzduchem nezašifrovaným do uzlu Wi-Fi v kavárně a pak je přenášen na větší internet. Během přenosu z počítače na větší internet jsou vaše data otevřená.Kdokoli s přístrojem Wi-Fi v oblasti může snížit data. Je to tak bolestně, že motivace 12 let starý s notebookem a kopií Firesheepu by mohla vyřešit vaše pověření pro všechny věci. Jako byste byli v místnosti, naplněném reproduktory pouze anglicky, mluvící v telefonním jazyce Mandarin Chinese. V okamžiku, kdy přijde někdo, kdo hovoří o čínské Mandarin( Wi-Fi sniffer), vaše pseudo soukromí je rozbité.
Druhý scénář: Nacházíte se v kavárně s notebookem, abyste mohli znovu procházet internetem prostřednictvím bezplatného Wi-Fi připojení.Tentokrát jste vytvořili šifrovaný tunel mezi notebookem a domácím směrovačem pomocí SSH.Váš provoz je směrován přes tento tunel přímo z notebooku do vašeho domácího směrovače, který funguje jako server proxy. Toto potrubí je nepostradatelné pro Wi-Fi sniffery, kteří by viděli nic jiného než zkreslený proud šifrovaných dat. Bez ohledu na to, jak přesunutí zařízení, jak nejisté připojení k síti Wi-Fi, zůstávají vaše data v šifrovaném tunelu a ponechávají je pouze po dosažení domácího připojení k internetu a vystupují z většího internetu.
V scénáři jedna jste surfování otevřené;ve scénáři dva se můžete přihlásit k vaší bance nebo jiným soukromým webovým stránkám se stejnou důvěrou, kterou byste získali z vašeho domácího počítače.
Přestože jsme v našem příkladu použili Wi-Fi, mohli bychom pomocí tunelu SSH zajistit pevnou linku, například spustit prohlížeč ve vzdálené síti a vrhnout díru přes bránu firewall tak, abyste mohli surfovat tak volně, jako byste při domácím připojení.
Zní to dobře? Je to neuvěřitelně snadné nastavit, takže není čas, jako je přítomnost - můžete tunel SSH spustit během jedné hodiny.
Co potřebujete
Existuje mnoho způsobů, jak nastavit tunel SSH pro zabezpečení prohlížení webu. Pro tento tutoriál se zaměřujeme na co nejjednodušší nastavení tunelu SSH s nejmenším množstvím problémů pro uživatele s domácím směrovačem a počítači se systémem Windows. Chcete-li pokračovat spolu s naším výukovým programem, budete potřebovat následující kroky:
- Router s aktualizovaným firmwarem Tomato nebo DD-WRT.
- Klient SSH jako PuTTY.
- SOCKS kompatibilní webový prohlížeč jako Firefox.
Pro náš průvodce použijeme Tomato, ale instrukce jsou téměř shodné s instrukcemi, které byste sledovali pro DD-WRT, takže pokud používáte DD-WRT, neváhejte a pokračujte. Pokud nemáte na routeru upravený firmware, přečtěte si návod k instalaci DD-WRT a Tomato předtím, než budete pokračovat.
Generování klíčů pro náš šifrovaný tunel
Přestože by se mohlo zdát zvláštní překonat vytvoření klíčů ještě předtím, než dokonce nakonfigurujeme server SSH, pokud máme klíče připraveni, budeme moci server nakonfigurovat v jediném průchodu.
Stáhněte úplný balíček PuTTY a extrahujte jej do složky podle vašeho výběru. Uvnitř složky najdete PUTTYGEN.EXE.Spusťte aplikaci a klikněte na tlačítko Key - & gt;Generovat pár klíčů .Uvidíte obrazovku, která vypadá jako na obrázku;přesuňte myš kolem, abyste generovali náhodná data pro proces vytváření klíčů.Jakmile proces dokončí okno PuTTY Key Generator, mělo by vypadat něco takového;pokračujte a zadejte silné heslo:
Po přihlášení hesla pokračujte a klikněte na Uložit soukromý klíč .Zachyťte výsledný soubor. PPK někde v bezpečí.Zkopírujte a vložte obsah pole "Veřejný klíč pro vkládání. .." do dočasného dokumentu TXT.
Pokud máte v plánu používat více zařízení se serverem SSH( například notebook, netbook a smartphone), potřebujete pro každý přístroj generovat dvojice klíčů.Pokračujte a vygenerujte heslo a uložte další klíčové dvojice, které potřebujete. Ujistěte se, že každý nový veřejný klíč zkopírujete a vložíte do dočasného dokumentu.
Konfigurace směrovače pro SSH
Tomato a DD-WRT mají zabudované servery SSH.To je úžasné ze dvou důvodů.Za prvé, bylo to obrovské bolest, že telnet do vašeho směrovače ručně nainstaloval server SSH a nakonfiguroval ho. Zadruhé, protože používáte váš SSH server na směrovači( který pravděpodobně spotřebovává méně energie než žárovka), nikdy nemusíte opustit hlavní počítač pouze pro lehký SSH server.
Otevřete webový prohlížeč na počítači připojeném k místní síti. Přejděte do webového rozhraní vašeho směrovače pro náš směrovač - Linksys WRT54G se systémem Tomato - adresa je http://192.168.1.1.Přihlaste se do webového rozhraní a přejděte do administrace - & gt; SSH Daemon .Zde je třeba zkontrolovat zapnutí funkce Zapnout při spuštění a Vzdálený přístup .Vzdálený port můžete změnit, pokud si přejete, ale jediným přínosem je, že to okrajově obnaží důvod, proč je port otevřený, pokud vás někdo prohlédne. Zrušte zaškrtnutí políčka Povolit přihlašovací heslo .Nepoužíváme heslo pro přihlášení k routeru z dálky, budeme používat pár klíčů.
Vložte veřejné klíče generované v poslední části tutoriálu do pole Autorizované klíče .Každá klávesa by měla být vlastním záznamem odděleným čárkou. První část klíče ssh-rsa je velmi důležitá.Pokud jej nezadáte s každým veřejným klíčem, zobrazí se SSH server neplatný.
Klepněte na tlačítko Spustit nyní a pak přejděte dolů na spodní straně rozhraní a klepněte na tlačítko Uložit .V tomto okamžiku je váš SSH server spuštěn.
Konfigurace vzdáleného počítače pro přístup k serveru SSH
Zde se děje kouzlo. Máte pár klíčů, máte server v chodu, ale nic z toho nemá žádnou hodnotu, pokud se nebudete moci vzdáleně připojit z pole a tunelovat do směrovače.Čas vypustit naši důvěryhodnou síťovou knihu se systémem Windows 7 a spustit práci.
Nejprve zkopírujte složku PuTTY, kterou jste vytvořili, do jiného počítače( nebo jej jednoduše stáhněte a extrahujte).Odtud jsou všechny pokyny zaměřeny na vzdálený počítač.Pokud jste spustili generátor klíčů PuTTy na svém domácím počítači, ujistěte se, že jste přešli na mobilní počítač po zbytek tutoriálu. Než budete spokojeni, budete se muset také ujistit, že máte kopii souboru. PPK, který jste vytvořili. Jakmile získáte PuTTy extrahovaný a. PPK v ruce, jsme připraveni pokračovat.
Spusťte PuTTY.První obrazovka, kterou uvidíte, je obrazovka relace .Zde musíte zadat adresu IP domácího připojení k internetu. Nejedná se o IP vašeho směrovače v lokální síti LAN, to je IP vašeho modemu / směrovače, jak to vidí vnější svět. Najdete ji na hlavní stránce Stav ve webovém rozhraní routeru. Změňte port na hodnotu 2222 ( nebo jakoukoli náhradu v procese konfigurace SSH Daemon).Zkontrolujte, zda je SSH zaškrtnuto .Pokračujte a dáte vaší relaci název , abyste mohli uložit to pro budoucí použití.Jsme jmenovali naše Tomato SSH.
Navigujte pomocí levého panelu dolů na připojení - & gt;Auth .Zde musíte kliknout na tlačítko Procházet a vybrat soubor. PPK, který jste uložili a přenesli do vzdáleného počítače.
Zatímco v podnabídce SSH pokračujte až k položce SSH - & gt;Tunely .Právě zde nastavíme PuTTY, aby fungoval jako proxy server pro váš mobilní počítač.Zaškrtněte obě políčka pod položkou Port Forwarding .Níže v sekci Přidat nový předaný port zadejte 80 pro zdrojový port a adresu IP směrovače pro cíl .Zkontrolujte Auto a Dynamic a potom klepněte na tlačítko Přidat .
Zkontrolujte, zda se v poli Forwarded objevila položka. Projděte sekci relací a klikněte znovu na Uložit znovu a uložte všechny konfigurační práce. Nyní klikněte na Open .PuTTY spustí terminálové okno. V tomto okamžiku se může zobrazit upozornění, že klíč hostitele serveru není v registru. Pokračujte a potvrďte, že důvěřujete hostiteli. Pokud se o to obáváte, můžete porovnat řetězec otisku prstu, který vám poskytuje varovná zpráva s otisky prstů klíčem, který jste vygenerovali vložením do generátoru klíčů PuTTY.Jakmile otevřete PuTTY a kliknete na varování, měli byste vidět obrazovku, která vypadá takto:
Na terminálu budete potřebovat pouze dvě věci. Na příkazovém řádku zadejte kořen .Na výzvu k zadání hesla zadejte své heslo klíče RSA - toto je heslo, které jste vytvořili před několika minutami, když jste vygenerovali klíč a ne heslo routeru. Směrovač routeru se načte a skončíte na příkazovém řádku. Vytvořili jste zabezpečené spojení mezi PuTTY a domácím směrovačem. Nyní musíme vaše aplikace požádat, jak přistupovat k PuTTY.
Poznámka: Pokud chcete proces zjednodušit za cenu mírného snížení bezpečnosti, můžete vygenerovat klíčenku bez hesla a nastavit PuTTY, abyste se automaticky přihlásili do kořenového účtu( toto nastavení můžete přepínat v části Připojit - & gt; Data - & gt;; Automatické přihlášení).Tím se snižuje proces připojení PuTTY tak, že jednoduše otevřete aplikaci, načtete profil a klikněte na Otevřít.
Konfigurace prohlížeče pro připojení k PuTTY
V tomto okamžiku v tutoriálu je váš server spuštěn a počítač je připojen k němu a zůstane pouze jeden krok. Musíte říct důležitým aplikacím používat PuTTY jako proxy server. Každá aplikace, která podporuje protokol SOCKS, může být propojena s PuTTY - např. Firefoxem, mIRC, Thunderbird a uTorrentem, abychom mohli jména několika - pokud si nejste jisti, jestli aplikace podporuje SOCKS v nabídkách voleb nebo v dokumentaci. Jedná se o kritický prvek, který by neměl být přehlédnut: veškerá vaše návštěvnost není ve výchozím nastavení směrována prostřednictvím serveru PuTTY proxy; musí být připojen k serveru SOCKS.Mohli byste například mít webový prohlížeč, na kterém jste zapnuli SOCKS a webový prohlížeč, kde jste nebyli - oba na stejném počítači - a jeden by šifroval vaši návštěvnost a jeden by ne.
Pro naše účely chceme zabezpečit náš webový prohlížeč, Firefox Portable, který je dost jednoduchý.Konfigurační proces pro aplikaci Firefox se převádí prakticky na libovolnou aplikaci, kterou potřebujete k připojení informací SOCKS.Spusťte aplikaci Firefox a přejděte na možnosti - & gt;Rozšířené - & gt;Nastavení .Z nabídky zvolte Manuální konfigurace proxy a pod SOCKS Host plug-in 127.0.0.1 - Připojíte se k PuTTY aplikaci spuštěné v místním počítači, takže musíte zadat lokální hostitelskou IP adresu, neIP vašeho směrovače, jak jste dali do každého slotu tak daleko. Nastavte port 80 a klepněte na tlačítko OK.
Máme jeden maličký trochu vyladit, než se budeme moci setkat. Firefox ve výchozím nastavení neprovádí žádosti DNS prostřednictvím serveru proxy. To znamená, že provoz bude vždy šifrován, ale někdo, kdo snoopuje připojení, uvidí všechny vaše požadavky. Věděli, že jste byli na Facebook.com nebo Gmail.com, ale nemohli by vidět nic jiného. Chcete-li směrovat vaše žádosti DNS prostřednictvím SOCKS, musíte jej zapnout.
Typ o: config v adresním řádku a poté klikněte na tlačítko "Budu opatrný, slibuji!", Pokud dostanete přísné varování o tom, jak můžete propadnout váš prohlížeč.Vložte network.proxy.socks_remote_dns do pole Filter: a klepněte pravým tlačítkem myši na položku pro network.proxy.socks_remote_dns a Přepněte na True .Odtud budou vaše prohlížení i vaše DNS požadavky odeslány přes tunel SOCKS.
Ačkoli konfigurujeme náš prohlížeč pro SSH-all-time, možná budete chtít snadno přepínat nastavení.Firefox má praktické rozšíření, FoxyProxy, díky němuž můžete snadno zapínat a vypínat proxy servery. Podporuje spoustu možností konfigurace, jako je přepínání mezi proxy založenými na doméně, na které se nacházíte, na stránkách, které navštěvujete, atd. Pokud chcete být schopni snadno a automaticky vypnout službu proxy na základě toho, zda jstedoma nebo pryč, například vás FoxyProxy pokrýváte. Uživatelé Chrome se budou chtít podívat na Proxy Switchy!pro podobné funkce.
Podívejme se, jestli všechno fungovalo tak, jak bylo plánováno? Chcete-li otestovat věci, otevřeli jsme dva prohlížeče: prohlížeč Chrome( viditelný vlevo) bez tunelu a prohlížeč Firefox( viditelný vpravo), který byl nakonfigurován pro použití tunelu.
Na levé straně vidíme adresu IP uzlu Wi-Fi, ke kterému se připojujeme, a vpravo, s laskavým svolením tunelu SSH, vidíme adresu IP vzdáleného směrovače. Veškerý provoz Firefoxu je směrován přes server SSH.Úspěch!
Máte tip nebo trik pro zajištění vzdáleného provozu? Používáte server SOCKS / SSH s konkrétní aplikací a milujete ji? Potřebujete pomoc při zjišťování, jak šifrovat vaši návštěvnost? Slyšíme o tom v komentářích.