15Jul
Wenn Sie über Wi-Fi-Hotspots, bei der Arbeit oder an einem anderen Ort, an dem Sie nicht zu Hause sind, mit dem Internet verbunden sind, werden Ihre Daten unnötigen Risiken ausgesetzt. Sie können Ihren Router einfach so konfigurieren, dass er einen sicheren Tunnel unterstützt und den Datenverkehr Ihres Remote-Browsers abschirmt - lesen Sie weiter, um zu sehen, wie.
Was ist und warum baut man einen sicheren Tunnel auf?
Sie könnten neugierig sein, warum Sie sogar einen sicheren Tunnel von Ihren Geräten zu Ihrem Heim-Router einrichten möchten und welche Vorteile Sie aus einem solchen Projekt ziehen würden. Lassen Sie uns ein paar verschiedene Szenarien skizzieren, bei denen Sie das Internet nutzen, um die Vorteile von Secure Tunneling zu veranschaulichen.
Szenario 1: Sie befinden sich in einem Café, in dem Sie mit Ihrem Laptop über die kostenlose Wi-Fi-Verbindung im Internet surfen. Daten verlassen Ihr Wi-Fi-Modem, reisen unverschlüsselt durch die Luft zum WLAN-Knoten im Café und werden dann an das größere Internet weitergeleitet. Während der Übertragung von Ihrem Computer zum größeren Internet sind Ihre Daten weit geöffnet. Jeder mit einem Wi-Fi-Gerät in der Gegend kann Ihre Daten schnüffeln. Es ist so schmerzhaft einfach, dass ein motivierter 12-Jähriger mit einem Laptop und einer Kopie von Firesheep Ihre Anmeldeinformationen für alle möglichen Dinge ergreift. Es ist, als wären Sie in einem Raum, der nur mit Englisch sprechenden Sprechern besetzt ist und in ein Telefon spricht, das Mandarin-Chinesisch spricht. In dem Moment, in dem jemand spricht, der Mandarin-Chinesisch spricht( der Wi-Fi-Sniffer), wird Ihre Pseudo-Privatsphäre zerstört.
Szenario 2: Sie befinden sich in einem Café, in dem Sie mit Ihrem Laptop über die kostenlose Wi-Fi-Verbindung erneut im Internet surfen. Diesmal haben Sie mit SSH einen verschlüsselten Tunnel zwischen Ihrem Laptop und Ihrem Heimrouter eingerichtet. Ihr Verkehr wird durch diesen Tunnel direkt von Ihrem Laptop zu Ihrem Heimrouter geleitet, der als Proxy-Server fungiert. Diese Pipeline ist für Wi-Fi-Sniffer undurchdringlich, die nichts als einen verstümmelten Strom verschlüsselter Daten sehen würden. Egal wie unbeständig die Einrichtung ist, wie unsicher die Wi-Fi-Verbindung ist, Ihre Daten bleiben im verschlüsselten Tunnel und verlassen ihn erst, wenn er Ihre Heim-Internetverbindung erreicht hat und zum größeren Internet gelangt.
In Szenario eins surfen Sie weit offen;In Szenario 2 können Sie sich mit der gleichen Sicherheit wie bei Ihrem Heimcomputer bei Ihrer Bank oder anderen privaten Websites anmelden.
Obwohl wir in unserem Beispiel Wi-Fi verwendet haben, könnten Sie den SSH-Tunnel verwenden, um eine Hardline-Verbindung zu einem Browser in einem entfernten Netzwerk zu sichern und ein Loch durch die Firewall zu bohren, um so frei zu surfen wie auf Ihrer Heimverbindung.
Klingt gut, nicht wahr? Es ist unglaublich einfach einzurichten, so dass es keine Zeit wie die Gegenwart gibt - Sie können Ihren SSH-Tunnel innerhalb einer Stunde hochfahren lassen.
Was Sie benötigen
Es gibt viele Möglichkeiten, einen SSH-Tunnel einzurichten, um das Surfen im Internet zu sichern. In diesem Tutorial konzentrieren wir uns auf die Einrichtung eines SSH-Tunnels auf die einfachste Art und Weise mit dem geringsten Aufwand für einen Benutzer mit einem Heimrouter und Windows-basierten Rechnern. Um unserem Tutorial folgen zu können, benötigen Sie folgende Dinge:
- Ein Router, auf dem die modifizierte Tomato oder DD-WRT Firmware läuft.
- Ein SSH-Client wie PuTTY.
- Ein SOCKS-kompatibler Webbrowser wie Firefox.
Für unsere Anleitung verwenden wir Tomato, aber die Anweisungen sind fast identisch mit denen, die Sie für DD-WRT befolgen würden. Wenn Sie also DD-WRT verwenden, können Sie gerne mitgehen. Wenn Sie keine modifizierte Firmware auf Ihrem Router haben, lesen Sie unsere Anleitung zur Installation von DD-WRT und Tomato, bevor Sie fortfahren.
Generieren von Schlüsseln für unseren verschlüsselten Tunnel
Obwohl es seltsam erscheinen mag, direkt zur Generierung der Schlüssel zu springen, bevor wir den SSH-Server konfigurieren, können wir den Server in einem einzigen Durchgang konfigurieren, wenn wir die Schlüssel bereit haben.
Laden Sie das vollständige PuTTY-Paket herunter und extrahieren Sie es in einen Ordner Ihrer Wahl. Im Ordner finden Sie PUTTYGEN.EXE.Starten Sie die Anwendung und klicken Sie auf Key - & gt;Schlüsselpaar generieren. Sie werden einen Bildschirm ähnlich dem oben abgebildeten sehen;Bewegen Sie die Maus, um zufällige Daten für den Schlüsselerstellungsprozess zu generieren. Sobald der Prozess abgeschlossen ist, sollte Ihr PuTTY-Key-Generator-Fenster in etwa so aussehen;Gehen Sie voran und geben Sie ein sicheres Passwort ein:
Sobald Sie ein Passwort eingegeben haben, klicken Sie auf . Speichern Sie den privaten Schlüssel .Verstauen Sie die resultierende. PPK-Datei an einem sicheren Ort. Kopieren Sie den Inhalt des Felds "Öffentlicher Schlüssel zum Einfügen. .." in ein temporäres TXT-Dokument und fügen Sie es vorerst ein.
Wenn Sie mehrere Geräte mit Ihrem SSH-Server( z. B. Laptop, Netbook und Smartphone) verwenden möchten, müssen Sie Schlüsselpaare für jedes Gerät erstellen. Gehen Sie voran und erstellen Sie ein Passwort und speichern Sie die zusätzlichen Schlüsselpaare, die Sie jetzt benötigen. Stellen Sie sicher, dass Sie jeden neuen öffentlichen Schlüssel kopieren und in Ihr temporäres Dokument einfügen.
Konfigurieren des Routers für SSH
Sowohl Tomato als auch DD-WRT verfügen über integrierte SSH-Server. Das ist großartig aus zwei Gründen. Zunächst war es für Telnet in Ihrem Router ein großer Nachteil, einen SSH-Server manuell zu installieren und zu konfigurieren. Zweitens, weil Sie Ihren SSH-Server auf Ihrem Router betreiben( der wahrscheinlich weniger Strom verbraucht als eine Glühbirne), müssen Sie Ihren Hauptcomputer niemals nur für einen leichten SSH-Server einschalten.
Öffnen Sie einen Webbrowser auf einem Computer, der mit Ihrem lokalen Netzwerk verbunden ist. Navigieren Sie zum Web-Interface Ihres Routers, für unseren Router - ein Linksys WRT54G mit Tomato - die Adresse lautet http://192.168.1.1.Melden Sie sich bei der Weboberfläche an und navigieren Sie zu Administration - & gt; SSH Daemon .Dort müssen Sie beim Start und Remote Access aktivieren. Sie können den Remote-Port ändern, wenn Sie möchten, aber der einzige Vorteil besteht darin, dass er den Grund dafür, dass der Port offen ist, nur marginal verschleiert, wenn Sie von einem Port gescannt werden. Deaktivieren Sie Passwort-Login erlauben. Wir werden keine Passwort-Anmeldung verwenden, um von weitem auf den Router zuzugreifen. Wir werden ein Schlüsselpaar verwenden.
Fügen Sie die öffentlichen Schlüssel, die Sie im letzten Teil des Lernprogramms generiert haben, in das Feld Authorized Keys ein. Jeder Schlüssel sollte ein eigener Eintrag sein, der durch einen Zeilenumbruch getrennt ist. Der erste Teil des Schlüssels ssh-rsa ist sehr wichtig. Wenn Sie sie nicht mit jedem öffentlichen Schlüssel einschließen, erscheinen sie für den SSH-Server ungültig.
Klicken Sie auf Starten Sie jetzt und scrollen Sie dann zum unteren Rand der Benutzeroberfläche und klicken Sie auf speichern. Zu diesem Zeitpunkt ist Ihr SSH-Server betriebsbereit.
Konfigurieren Ihres Remote-Computers für den Zugriff auf Ihren SSH-Server
Hier geschieht die Magie. Sie haben ein Schlüsselpaar, Sie haben einen Server in Betrieb, aber nichts davon ist von Wert, es sei denn, Sie können sich aus dem Feld remote verbinden und in Ihren Router tunneln. Zeit, unser treuer Netbook mit Windows 7 zu beenden und ans Werk zu gehen.
Kopieren Sie zuerst den von Ihnen erstellten PuTTY-Ordner auf Ihren anderen Computer( oder laden Sie ihn einfach herunter und extrahieren Sie ihn erneut).Von hier an konzentrieren sich alle Anweisungen auf Ihren Remote-Computer. Wenn Sie den PuTTy Key Generator auf Ihrem Heimcomputer ausgeführt haben, stellen Sie sicher, dass Sie für den Rest des Tutorials auf Ihren mobilen Computer umgeschaltet haben. Bevor Sie abrechnen, müssen Sie auch sicherstellen, dass Sie eine Kopie der erstellten. PPK-Datei haben. Sobald Sie PuTTy extrahiert und das. PPK in der Hand haben, sind wir bereit fortzufahren.
Starten Sie PuTTY.Der erste Bildschirm, den Sie sehen, ist der Bildschirm Session .Hier müssen Sie die IP-Adresse Ihrer Internetverbindung eingeben. Dies ist nicht die IP Ihres Routers im lokalen LAN Dies ist die IP Ihres Modems / Routers, wie sie von der Außenwelt gesehen wird. Sie können es finden, indem Sie auf der Haupt-Statusseite auf der Weboberfläche Ihres Routers nachsehen. Ändern Sie den Port in 2222 ( oder was auch immer Sie im SSH-Daemon-Konfigurationsprozess auswählten).Stellen Sie sicher, dass SSH überprüft wird. Gehen Sie voran und geben Sie Ihrer Sitzung einen Namen , so dass Sie für zukünftige Verwendung speichern können. Wir betitelten unsere Tomate SSH.
Navigieren Sie über das linke Fenster zu Connection - & gt;Auth .Hier müssen Sie auf die Schaltfläche Durchsuchen klicken und die. PPK-Datei auswählen, die Sie gespeichert und auf Ihren Remote-Computer übertragen haben.
Gehen Sie im SSH-Untermenü zu SSH - & gt;Tunnel .Hier konfigurieren wir PuTTY als Proxy-Server für Ihren mobilen Computer. Aktivieren Sie beide Kontrollkästchen unter Port Forwarding .Geben Sie im Abschnitt für den neuen -Anschluss für die Weiterleitung den Wert 80 für den -Quellport und die IP-Adresse des Routers für das -Ziel ein.Überprüfen Sie Auto und Dynamisch und klicken Sie dann auf hinzufügen.
Überprüfen Sie, ob im Feld Forwarded Ports ein Eintrag angezeigt wurde. Navigieren Sie zurück zum Abschnitt Sessions und klicken Sie auf erneut speichern, um alle Konfigurationsarbeiten zu speichern. Klicken Sie nun auf Öffnen Sie .PuTTY startet ein Terminalfenster. Möglicherweise wird an dieser Stelle eine Warnung angezeigt, dass der Hostschlüssel des Servers nicht in der Registrierung enthalten ist. Gehen Sie voran und bestätigen Sie, dass Sie dem Host vertrauen. Wenn Sie sich Sorgen machen, können Sie die Fingerabdruck-Zeichenfolge, die Sie in der Warnmeldung erhalten, mit dem Fingerabdruck des Schlüssels vergleichen, den Sie beim Laden in PuTTY Key Generator erstellt haben. Sobald Sie PuTTY geöffnet und die Warnung angeklickt haben, sollten Sie einen Bildschirm sehen, der wie folgt aussieht:
Am Terminal müssen Sie nur zwei Dinge tun. Geben Sie an der Anmeldeaufforderung root ein. Geben Sie in der Passphrase-Eingabeaufforderung Ihr RSA-Schlüsselringpasswort ein. Dies ist das Passwort, das Sie vor ein paar Minuten erstellt haben, als Sie Ihren Schlüssel und nicht das Passwort Ihres Routers generiert haben. Die Router-Shell wird geladen und Sie sind an der Eingabeaufforderung fertig. Sie haben eine sichere Verbindung zwischen PuTTY und Ihrem Heimrouter hergestellt. Jetzt müssen wir Ihre Anwendungen anweisen, wie Sie auf PuTTY zugreifen können.
Hinweis: Wenn Sie den Vorgang vereinfachen möchten, um Ihre Sicherheit leicht zu verringern, können Sie ein Schlüsselpaar ohne Passwort generieren und PuTTY so einstellen, dass er sich automatisch beim root-Konto anmeldet( Sie können diese Einstellung unter Verbinden - & gt; Daten - & gt; Automatische Anmeldung).Dies reduziert den PuTTY-Verbindungsprozess, indem einfach die App geöffnet, das Profil geladen und auf Öffnen geklickt wird.
Konfigurieren Ihres Browsers für die Verbindung mit PuTTY
An dieser Stelle im Tutorial ist Ihr Server betriebsbereit, Ihr Computer ist damit verbunden und es bleibt nur ein Schritt. Sie müssen den wichtigen Anwendungen mitteilen, dass PuTTY als Proxy-Server verwendet werden soll. Jede Anwendung, die das SOCKS-Protokoll unterstützt, kann mit PuTTY - wie Firefox, mIRC, Thunderbird und uTorrent, um nur einige zu nennen - verbunden werden, wenn Sie nicht sicher sind, ob eine Anwendung SOCKS unterstützt oder in der Dokumentation nachschlägt. Dies ist ein kritisches Element, das nicht übersehen werden sollte: Ihr gesamter Datenverkehr wird standardmäßig nicht über den PuTTY-Proxy geleitet. muss an den SOCKS-Server angehängt werden. Sie könnten zum Beispiel einen Webbrowser haben, in dem Sie SOCKS und einen Webbrowser einschalten, in dem Sie nicht waren - beide auf demselben Computer - und einer würde Ihren Datenverkehr verschlüsseln, und das würde nicht der Fall sein.
Für unsere Zwecke wollen wir unseren Webbrowser, Firefox Portable, sichern, der einfach genug ist. Der Konfigurationsprozess für Firefox übersetzt praktisch jede Anwendung, für die Sie SOCKS-Informationen verwenden müssen. Starte Firefox und navigiere zu Optionen - & gt;Erweitert - & gt;Einstellungen .Wählen Sie im -Verbindungseinstellungen-Menü Manuelle Proxy-Konfiguration und unter SOCKS-Host-Plugin 127.0.0.1 - Sie verbinden sich mit der auf Ihrem lokalen Computer ausgeführten PuTTY-Anwendung, so dass Sie die lokale Host-IP-Adresse angeben müssendie IP Ihres Routers, wie Sie bisher in jeden Slot gesteckt haben. Setzen Sie den Port auf 80 und klicken Sie auf OK.
Wir müssen noch ein kleines bisschen zwicken, bevor wir fertig sind. Standardmäßig leitet Firefox keine DNS-Anfragen über den Proxy-Server weiter. Dies bedeutet, dass Ihr Verkehr immer verschlüsselt ist, aber jemand, der die Verbindung schnüffelt, würde alle Ihre Anfragen sehen. Sie würden wissen, dass Sie auf Facebook.com oder Google Mail.com waren, aber sie konnten nichts anderes sehen. Wenn Sie Ihre DNS-Anfragen über die SOCKS weiterleiten möchten, müssen Sie sie aktivieren.
Typ über: Konfiguration in der Adressleiste, dann klicken Sie auf "Ich werde vorsichtig sein, ich verspreche!", Wenn Sie eine strenge Warnung erhalten, wie Sie Ihren Browser vermasseln können. Fügen Sie network.proxy.socks_remote_dns in das -Filter: ein und klicken Sie dann mit der rechten Maustaste auf den Eintrag für network.proxy.socks_remote_dns und . Schalten Sie auf True um. Von hier aus werden sowohl Ihre Browsing- als auch Ihre DNS-Anfragen durch den SOCKS-Tunnel gesendet.
Obwohl wir unseren Browser ständig für SSH konfigurieren, möchten Sie vielleicht Ihre Einstellungen einfach umschalten. Firefox hat eine praktische Erweiterung, FoxyProxy, die es sehr einfach macht, die Proxy-Server ein- und auszuschalten. Es unterstützt eine Vielzahl von Konfigurationsoptionen wie den Wechsel zwischen Proxies basierend auf der Domain, auf der Sie sich befinden, den von Ihnen besuchten Websites usw. Wenn Sie Ihren Proxy-Service einfach und automatisch ausschalten möchten, je nachdem, ob Sie gerade dabei sindZuhause oder weg, zum Beispiel, FoxyProxy hat dich abgedeckt. Chrome-Nutzer werden Proxy Switchy ausprobieren!für ähnliche Funktionalität.
Mal sehen, ob alles wie geplant funktioniert hat, sollen wir? Um das auszuprobieren, haben wir zwei Browser geöffnet: Chrome( siehe links) ohne Tunnel und Firefox( rechts), der für den Tunnel neu konfiguriert wurde.
Auf der linken Seite sehen wir die IP-Adresse des Wi-Fi-Knotens, mit dem wir uns verbinden, und auf der rechten Seite, dank unseres SSH-Tunnels, sehen wir die IP-Adresse unseres entfernten Routers. Der gesamte Firefox-Datenverkehr wird über den SSH-Server geleitet. Erfolg!
Haben Sie einen Tipp oder Trick, um den Fernverkehr zu sichern? Verwenden Sie einen SOCKS-Server / SSH mit einer bestimmten App und lieben Sie es? Benötigen Sie Hilfe beim Ermitteln der Verschlüsselung Ihres Datenverkehrs? Lass es uns in den Kommentaren hören.