15Jul
La conexión a Internet desde puntos de acceso Wi-Fi, en el trabajo o en cualquier otro lugar fuera de casa expone sus datos a riesgos innecesarios. Puede configurar fácilmente su enrutador para admitir un túnel seguro y proteger el tráfico de su navegador remoto; siga leyendo para ver cómo.
¿Qué es y por qué configurar un túnel seguro?
Es posible que tenga curiosidad acerca de por qué desea configurar un túnel seguro desde sus dispositivos hasta el enrutador de su hogar y qué beneficios obtendrá de dicho proyecto. Vamos a diseñar un par de escenarios diferentes que involucran el uso de Internet para ilustrar los beneficios del túnel seguro.
Escenario uno: Estás en una cafetería usando tu computadora portátil para navegar en internet a través de su conexión Wi-Fi gratuita. Los datos abandonan su módem Wi-Fi, viajan por el aire sin cifrar al nodo Wi-Fi en la cafetería y luego pasan a Internet. Durante la transmisión desde su computadora a Internet, sus datos están abiertos. Cualquier persona con un dispositivo Wi-Fi en el área puede oler tus datos. Es tan dolorosamente fácil que una persona motivada de 12 años con una computadora portátil y una copia de Firesheep podría arrebatarle sus credenciales para todo tipo de cosas. Es como si estuvieras en una habitación llena de hablantes que solo hablan inglés, hablando por teléfono que habla chino mandarín. En el momento en que alguien que habla chino mandarín entra( el rastreador de Wi-Fi) tu pseudo-privacidad se rompe.
Escenario dos: Estás en una cafetería utilizando tu computadora portátil para navegar por Internet a través de su conexión Wi-Fi gratuita nuevamente. Esta vez ha establecido un túnel encriptado entre su computadora portátil y su enrutador usando SSH.Su tráfico se enruta a través de este túnel directamente desde su computadora portátil a su enrutador doméstico que funciona como un servidor proxy. Esta canalización es impenetrable para los rastreadores de Wi-Fi que no verían nada más que una secuencia confusa de datos encriptados. No importa cuán cambiante sea el establecimiento, cuán insegura sea la conexión Wi-Fi, sus datos permanecerán en el túnel encriptado y solo lo abandonarán una vez que haya alcanzado su conexión a Internet y salga a Internet.
En el escenario uno estás navegando de par en par;en el escenario dos, puede iniciar sesión en su banco u otros sitios web privados con la misma confianza que tendría desde la computadora de su casa.
Aunque usamos Wi-Fi en nuestro ejemplo, puede usar el túnel SSH para asegurar una conexión de línea dura, por ejemplo, iniciar un navegador en una red remota y abrir un agujero en el firewall para navegar tan libremente como lo haría en su conexión doméstica.
Suena bien ¿no? Es increíblemente fácil de configurar, por lo que no hay tiempo como el presente; puede tener su túnel SSH funcionando en una hora.
Lo que necesitará
Hay muchas maneras de configurar un túnel SSH para asegurar su navegación web. Para este tutorial nos estamos centrando en configurar un túnel SSH de la manera más fácil posible con la menor cantidad de alboroto para un usuario con un enrutador doméstico y máquinas basadas en Windows. Para seguir con nuestro tutorial, necesitará las siguientes cosas:
- Un enrutador que ejecuta el firmware modificado Tomato o DD-WRT.
- Un cliente SSH como PuTTY.
- Un navegador web compatible con SOCKS como Firefox.
Para nuestra guía, usaremos Tomate, pero las instrucciones son casi idénticas a las que seguiría para DD-WRT, de modo que si ejecuta DD-WRT, no dude en seguirnos. Si no tiene firmware modificado en su enrutador, consulte nuestra guía para instalar DD-WRT y Tomate antes de continuar.
Generando claves para nuestro túnel cifrado
Aunque puede parecer extraño saltar directamente a la generación de claves incluso antes de configurar el servidor SSH, si tenemos las llaves listas, podremos configurar el servidor en una sola pasada.
Descargue el paquete PuTTY completo y extráigalo a la carpeta que elija. Dentro de la carpeta encontrarás PUTTYGEN.EXE.Inicie la aplicación y haga clic en Key - & gt;Genera el par de claves .Verás una pantalla muy parecida a la que se muestra arriba;mueva el mouse para generar datos aleatorios para el proceso de creación de claves. Una vez que el proceso haya finalizado, su ventana PuTTY Key Generator debería verse más o menos así;ingrese una contraseña segura:
Una vez que haya ingresado una contraseña, avance y haga clic en Guardar clave privada .Oculta el archivo. PPK resultante en algún lugar seguro. Copie y pegue el contenido de la casilla "Clave pública para pegar. .." en un documento TXT temporal por ahora.
Si planea usar varios dispositivos con su servidor SSH( como una computadora portátil, una netbook y un teléfono inteligente), debe generar pares de claves para cada dispositivo. Continúe y genere, ingrese la contraseña y guarde los pares de claves adicionales que necesita ahora. Asegúrese de copiar y pegar cada nueva clave pública en su documento temporal.
Configuración de su enrutador para SSH
Tanto Tomato como DD-WRT tienen servidores SSH incorporados. Esto es asombroso por dos razones. En primer lugar, solía ser un gran dolor hacer telnet en su enrutador para instalar manualmente un servidor SSH y configurarlo. Segundo, porque está ejecutando su servidor SSH en su enrutador( que probablemente consuma menos energía que una bombilla), nunca tiene que dejar su computadora principal encendida solo para un servidor SSH liviano.
Abra un navegador web en una máquina conectada a su red local. Navegue a la interfaz web de su enrutador, para nuestro enrutador, un Linksys WRT54G con Tomato, la dirección es http://192.168.1.1.Inicie sesión en la interfaz web y vaya a Administration - & gt; SSH Daemon .Allí debe verificar Habilitar al inicio y Acceso remoto .Puede cambiar el puerto remoto si lo desea, pero el único beneficio de hacerlo es que ofusca marginalmente la razón por la cual el puerto está abierto si alguien lo escanea. Desmarque Permitir contraseña Iniciar sesión .No usaremos un inicio de sesión con contraseña para acceder desde lejos al enrutador, utilizaremos un par de claves.
Pegue las claves públicas que generó en la última parte del tutorial en el recuadro Authorized Keys .Cada clave debe ser su propia entrada separada por un salto de línea. La primera parte de la clave ssh-rsa es muy importante. Si no lo incluye con cada clave pública, parecerá que no es válido para el servidor SSH.
Haga clic en Inicie ahora y luego desplácese hacia abajo hasta la parte inferior de la interfaz y haga clic en Guardar .En este punto, su servidor SSH está en funcionamiento.
Configuración de su computadora remota para acceder a su servidor SSH
Aquí es donde ocurre la magia. Tienes un par de claves, tienes un servidor en funcionamiento, pero nada de eso tiene ningún valor a menos que puedas conectarte remotamente desde el campo y túnel a tu enrutador. Es hora de descubrir nuestro confiable libro de red que ejecuta Windows 7 y ponerlo a trabajar.
Primero, copie esa carpeta PuTTY que creó en su otra computadora( o simplemente descárguela y extráigala).Desde aquí, todas las instrucciones se enfocan en su computadora remota. Si ejecutó PuTTy Key Generator en la computadora de su hogar, asegúrese de haber cambiado a su computadora móvil durante el resto del tutorial. Antes de establecerse, también deberá asegurarse de tener una copia del archivo. PPK que creó.Una vez que haya extraído PuTTy y el. PPK en mano, estamos listos para continuar.
Lanza PuTTY.La primera pantalla que verá es la pantalla Session .Aquí deberá ingresar la dirección IP de su conexión de internet doméstica. Esta no es la IP de su enrutador en la LAN local; esta es la IP de su módem / enrutador, como lo ve el mundo exterior. Puede encontrarlo mirando la página principal de estado en la interfaz web de su enrutador. Cambie el puerto a 2222 ( o lo que haya sustituido en el proceso de configuración de SSH Daemon).Asegúrese de que SSH esté marcado .Continúe y le dará a su sesión un nombre para que pueda guardarlo para uso futuro. Titulamos nuestro Tomate SSH.
Navegue, a través del panel izquierdo, hasta la conexión - & gt;Auth .Aquí debe hacer clic en el botón Examinar y seleccionar el archivo. PPK que guardó y que se transfirió a su máquina remota.
Mientras se encuentra en el submenú SSH, continúe hasta SSH - & gt;Túneles .Aquí vamos a configurar PuTTY para que funcione como servidor proxy para su computadora móvil. Marque ambas casillas bajo Port Forwarding .A continuación, en , agregue la nueva sección del puerto reenviado, ingrese 80 para el Source port y la dirección IP de su enrutador para Destination .Verifique Auto y dinámico, luego haga clic en Agregue .
Compruebe que ha aparecido una entrada en el recuadro de puertos reenviados .Navegue hacia atrás en la sección Sesiones y haga clic en Guarde nuevamente para guardar todo su trabajo de configuración. Ahora haga clic en Abra .PuTTY lanzará una ventana de terminal. Puede recibir una advertencia en este momento indicando que la clave de host del servidor no está en el registro. Continúa y confirma que confías en el host. Si le preocupa, puede comparar la secuencia de huellas dactilares que le proporciona en el mensaje de advertencia con la huella digital de la clave que generó al cargarla en PuTTY Key Generator. Una vez que hayas abierto PuTTY y hayas hecho clic en la advertencia, deberías ver una pantalla que se ve así:
En la terminal, solo necesitarás hacer dos cosas. En el indicador de inicio de sesión, escriba root .En el indicador de frase de contraseña ingrese su contraseña de clave RSA : esta es la contraseña que creó hace unos minutos cuando generó su clave y no la contraseña de su enrutador. El shell del enrutador se cargará y finalizará en el símbolo del sistema. Has formado una conexión segura entre PuTTY y tu enrutador doméstico. Ahora necesitamos instruir a sus aplicaciones sobre cómo acceder a PuTTY.
Nota: Si desea simplificar el proceso al precio de disminuir ligeramente su seguridad, puede generar un par de claves sin una contraseña y configurar PuTTY para iniciar sesión en la cuenta raíz automáticamente( puede alternar esta configuración en Conectar - & gt; Datos - & gt; Ingreso automático).Esto reduce el proceso de conexión de PuTTY a simplemente abrir la aplicación, cargar el perfil y hacer clic en Abrir.
Configuración de su navegador para conectarse a PuTTY
En este punto del tutorial, su servidor está en funcionamiento, su computadora está conectada a él y solo le queda un paso. Debe indicar las aplicaciones importantes para usar PuTTY como un servidor proxy. Cualquier aplicación que admita el protocolo SOCKS puede vincularse a PuTTY, como Firefox, mIRC, Thunderbird y uTorrent, por nombrar algunas, si no está seguro de si una aplicación admite SOCKS en los menús de opciones o consulte la documentación. Este es un elemento crítico que no debe pasarse por alto: todo su tráfico no se enruta a través del proxy PuTTY de manera predeterminada;es debe estar conectado al servidor SOCKS.Podrías, por ejemplo, tener un navegador web donde hayas activado SOCKS y un navegador web donde no estuviste-ambos en la misma máquina-y uno encriptaría tu tráfico y otro no.
Para nuestros propósitos, queremos asegurar nuestro navegador web, Firefox Portable, que es lo suficientemente simple. El proceso de configuración de Firefox se traduce prácticamente en cualquier aplicación para la que deba ingresar información de SOCKS.Inicie Firefox y navegue a Opciones - & gt;Avanzado - & gt;Configuraciones .Desde el menú Configuración de conexión , seleccione Configuración de proxy manual y en SOCKS Conector de host 127.0.0.1 : se está conectando a la aplicación PuTTY que se ejecuta en su computadora local, por lo que debe colocar la IP del host local, nola IP de su enrutador como ha estado poniendo en cada ranura hasta el momento. Establezca el puerto en 80 y haga clic en OK.
Tenemos una pequeña modificación para aplicar antes de que estemos listos. Firefox, de forma predeterminada, no enruta las solicitudes DNS a través del servidor proxy. Esto significa que su tráfico siempre estará encriptado, pero alguien que espíe la conexión verá todas sus solicitudes. Sabrían que estabas en Facebook.com o Gmail.com pero no podrían ver nada más. Si desea enrutar sus solicitudes de DNS a través de SOCKS, deberá activarlo.
Escriba sobre: configure en la barra de direcciones, luego haga clic en "Tendré cuidado, lo prometo" si recibe una advertencia severa sobre cómo puede estropear su navegador. Pegue network.proxy.socks_remote_dns en el cuadro Filter: y luego haga clic con el botón derecho en la entrada de network.proxy.socks_remote_dns y Cambie a True .Desde aquí, tanto su navegación como sus solicitudes de DNS se enviarán a través del túnel SOCKS.
Aunque estamos configurando nuestro navegador para SSH-todo el tiempo, es posible que desee alternar fácilmente su configuración. Firefox tiene una práctica extensión, FoxyProxy, que hace que sea muy fácil activar y desactivar sus servidores proxy. Es compatible con una gran cantidad de opciones de configuración, como alternar entre proxies según el dominio en el que se encuentre, los sitios que visita, etc. Si desea poder desactivar su servicio de proxy de manera fácil y automática en función de si se encuentra ena casa o fuera, por ejemplo, FoxyProxy lo tiene cubierto.¡Los usuarios de Chrome querrán ver Proxy Switchy!para una funcionalidad similar.
Veamos si todo funcionó como estaba planeado, ¿de acuerdo? Para probar las cosas, abrimos dos navegadores: Chrome( visto a la izquierda) sin túnel y Firefox( visto a la derecha) recién configurado para usar el túnel.
A la izquierda vemos la dirección IP del nodo de Wi-Fi al que nos estamos conectando y, a la derecha, cortesía de nuestro túnel SSH, vemos la dirección IP de nuestro enrutador distante. Todo el tráfico de Firefox se enruta a través del servidor SSH.¡Éxito!
¿Tiene alguna sugerencia o truco para asegurar el tráfico remoto? Use un servidor SOCKS / SSH con una aplicación en particular y me encanta?¿Necesita ayuda para averiguar cómo cifrar su tráfico? Escuchemos esto en los comentarios.
