15Jul

Configure SSH no seu roteador para obter acesso seguro à Web de qualquer lugar

Conectando-se à Internet a partir de hotspots Wi-Fi, no trabalho ou em qualquer outro lugar fora de casa, expõe seus dados a riscos desnecessários. Você pode facilmente configurar seu roteador para suportar um túnel seguro e proteger o tráfego do navegador remoto - leia para ver como.

O que é e por que configurar um túnel seguro?

Você pode estar curioso por que você quer mesmo configurar um túnel seguro de seus dispositivos para seu roteador doméstico e quais os benefícios que você tiraria de tal projeto. Vamos apresentar alguns cenários diferentes que envolvem você usando a internet para ilustrar os benefícios do tunelamento seguro.

Cenário um: você está em um café usando seu laptop para navegar na internet através de sua conexão Wi-Fi gratuita. Os dados deixam seu modem Wi-Fi, viaja através do ar não criptografado para o nó Wi-Fi no café e, em seguida, é transmitido para a Internet maior. Durante a transmissão do seu computador para a Internet maior, seus dados estão abertos. Qualquer pessoa com um dispositivo Wi-Fi na área pode cheirar seus dados.É tão dolorosamente fácil que um motivado de 12 anos de idade com um laptop e uma cópia do Firesheep pudessem arrumar suas credenciais para todo tipo de coisas.É como se estivesse em uma sala cheia de falantes de língua inglesa, falando em um telefone falando em chinês mandarim. No momento em que alguém que fala chinês mandarim vem( o Wi-Fi sniffer) sua pseudo-privacidade é quebrada.

Cenário dois: Você está em um café usando seu laptop para navegar na internet através de sua conexão Wi-Fi gratuita novamente. Desta vez, você estabeleceu um túnel criptografado entre seu laptop e seu roteador doméstico usando o SSH.Seu tráfego é encaminhado através deste túnel diretamente do seu laptop para seu roteador doméstico que está funcionando como um servidor proxy. Este pipeline é impenetrável para sniffers Wi-Fi que não veriam nada além de um fluxo de dados criptografados. Não importa o quão deslocável o estabelecimento, quão insegura a conexão Wi-Fi, seus dados permanecem no túnel criptografado e só o deixa, uma vez que ele atingiu sua conexão à internet em casa e sai para a Internet maior.

No cenário um que você está navegando bem aberto;No cenário dois, você pode acessar seu banco ou outros sites privados com a mesma confiança que você faria com o seu computador doméstico.

Embora usássemos Wi-Fi em nosso exemplo, você poderia usar o túnel SSH para proteger uma conexão de linha dura, digamos, iniciar um navegador em uma rede remota e perfurar um buraco através do firewall para navegar tão livremente quanto faria em sua conexão doméstica.

Soa bem, não é?É incrivelmente fácil de configurar, então não há tempo como o presente - você pode ter seu túnel SSH em funcionamento dentro de uma hora.

O que você precisa

Existem várias maneiras de configurar um túnel SSH para proteger sua navegação na web. Para este tutorial, estamos nos concentrando na criação de um túnel SSH da maneira mais fácil possível com a menor quantidade de confusão para um usuário com um roteador doméstico e máquinas baseadas no Windows. Para acompanhar o nosso tutorial, você precisará das seguintes coisas:

  • Um roteador que executa o firmware modificado Tomato ou DD-WRT.
  • Um cliente SSH como PuTTY.
  • Um navegador web compatível com SOCKS como o Firefox.

Para o nosso guia, estaremos usando tomate, mas as instruções são quase idênticas às que você seguiria para DD-WRT, então, se você estiver executando o DD-WRT, sinta-se à vontade para seguir. Se você não possui firmware modificado em seu roteador, consulte nosso guia para instalar DD-WRT e Tomato antes de prosseguir.

Gerando chaves para o nosso túnel criptografado

Embora possa parecer estranho saltar diretamente para gerar as chaves antes mesmo de configurar o servidor SSH, se tivermos as chaves prontas, poderemos configurar o servidor em uma única passagem.

Baixe o pacote PuTTY completo e extraie-o para uma pasta de sua escolha. Dentro da pasta você encontrará PUTTYGEN.EXE.Inicie o aplicativo e clique na tecla - & gt;Gere o par de chaves .Você verá uma tela semelhante à foto acima;mova o mouse para gerar dados aleatórios para o processo de criação de chave. Uma vez que o processo tenha terminado, a sua janela do gerador de chaves PuTTY deve ser algo assim;Vá em frente e digite uma senha forte:

Depois de conectar uma senha, vá em frente e clique em Salvar chave particular .Esconda o arquivo. PPK resultante em algum lugar seguro. Copie e cole o conteúdo da caixa "Público para colar. .." em um documento TXT temporário por enquanto.

Se você planeja usar vários dispositivos com seu servidor SSH( como um laptop, um netbook e um smartphone), você precisa gerar pares de chaves para cada dispositivo. Vá em frente e gere, senha e guarde os pares de chaves adicionais que você precisa agora. Certifique-se de copiar e colar cada nova chave pública em seu documento temporário.

Configurando o seu roteador para SSH

Tanto o Tomato quanto o DD-WRT possuem servidores SSH embutidos. Isso é impressionante por dois motivos. Primeiro, costumava ser uma enorme dor para o telnet em seu roteador instalar manualmente um servidor SSH e configurá-lo. Em segundo lugar, porque você está executando seu servidor SSH no seu roteador( o que provavelmente consome menos energia do que uma lâmpada), você nunca precisa deixar seu computador principal apenas para um servidor SSH leve.

Abra um navegador da Web em uma máquina conectada à sua rede local. Navegue até a interface web do seu roteador, para o nosso roteador - um Linksys WRT54G com Tomato - o endereço é http://192.168.1.1.Faça login na interface da web e navegue para Administration - & gt; SSH Daemon .Lá você precisa verificar Habilitar no Startup e Remote Access .Você pode alterar a porta remota se desejar, mas o único benefício para fazê-lo é que ela obscurece marginalmente a razão pela qual a porta está aberta se qualquer porta escaneá-lo. Desmarque o Permitir o login da senha .Não utilizaremos um login de senha para acessar o roteador de longe, usaremos um par de chaves.

Cole as chaves públicas que você gerou na última parte do tutorial na caixa Authorized Keys .Cada chave deve ser sua própria entrada separada por uma quebra de linha. A primeira parte da chave ssh-rsa é muito importante. Se você não o incluir com cada chave pública, eles aparecerão inválidos para o servidor SSH.

Clique em Inicie agora e, em seguida, role para baixo até a parte inferior da interface e clique em Salvar .Neste ponto, seu servidor SSH está funcionando.

Configurando seu computador remoto para acessar seu servidor SSH

Este é o lugar onde a magia acontece. Você tem um par de chaves, você tem um servidor funcionando, mas nada disso é de qualquer valor a menos que seja capaz de se conectar remotamente do campo e do túnel ao seu roteador. Tempo para destruir nosso confiável livro de rede executando o Windows 7 e configurado para funcionar.

Primeiro, copie essa pasta PuTTY que você criou no seu outro computador( ou simplesmente baixe e extraie novamente).A partir daqui, todas as instruções estão focadas no seu computador remoto. Se você executou o PuTTy Key Generator no seu computador doméstico, verifique se você mudou para o seu computador móvel para o resto do tutorial. Antes de resolver, você também precisa ter certeza de ter uma cópia do arquivo. PPK que você criou. Depois de ter PuTTy extraído e o. PPK na mão, estamos prontos para prosseguir.

Lançamento PuTTY.A primeira tela que você verá é a tela Sessão .Aqui, você precisará inserir o endereço IP da sua conexão de internet em casa. Este não é o IP do seu roteador na LAN local, este é o IP do seu modem / roteador visto pelo mundo externo. Você pode encontrá-lo olhando a página principal do Status na interface da web do seu roteador. Mude a porta para 2222 ( ou o que você substituiu no processo de configuração do SSD Daemon).Verifique se o SSH está assinalado com .Vá em frente e dê a sua sessão um nome para que você possa salvar o para uso futuro. Nós titulamos o nosso Tomato SSH.

Navegue, através do painel esquerdo, até Connection - & gt;Auth .Aqui você precisa clicar no botão Procurar e selecionar o arquivo. PPK que você salvou e trouxe para sua máquina remota.

Enquanto estiver no submenu SSH, continue com SSH - & gt;Túneles .É aqui que vamos configurar o PuTTY para funcionar como servidor proxy para o seu computador móvel. Verifique ambas as caixas em Port Forwarding .Abaixo, na seção Adicionar nova porta encaminhada , digite 80 para a porta de origem e o endereço IP do seu roteador para Destino .Verifique Auto e Dynamic , em seguida, clique em Adicionar .

Verifique se uma entrada apareceu na caixa Forwarded Ports .Navegue de volta para a seção Sessions e clique em Salvar novamente para salvar todo o seu trabalho de configuração. Agora, clique em Abrir .O PuTTY lançará uma janela de terminal. Você pode obter um aviso neste momento, indicando que a chave do host do servidor não está no registro. Vá em frente e confirme que confia no host. Se você está preocupado com isso, você pode comparar a string de impressão digital que lhe dá na mensagem de aviso com a impressão digital da chave que você gerou ao carregá-la no PuTTY Key Generator. Depois de abrir o PuTTY e clicar no aviso, você deve ver uma tela que se parece com isso:

No terminal, você só precisa fazer duas coisas. No prompt de login digite root .No prompt da frase de senha , digite sua senha de chaveiro RSA - esta é a senha que você criou há alguns minutos quando você gerou sua chave e não a senha do seu roteador. O shell do roteador será carregado e você terminou no prompt de comando. Você formou uma conexão segura entre PuTTY e seu roteador doméstico. Agora precisamos instruir seus aplicativos como acessar o PuTTY.

Nota: Se você quiser simplificar o processo ao preço de diminuir ligeiramente sua segurança, você pode gerar um par de chaves sem uma senha e configurar PuTTY para fazer login na conta de root automaticamente( você pode alternar esta configuração em Connect - & gt; Data - & gt; Login automático).Isso reduz o processo de conexão PuTTY para simplesmente abrir o aplicativo, carregar o perfil e clicar em Abrir.

Configurando seu navegador para se conectar ao PuTTY

Neste ponto, no tutorial, seu servidor está funcionando, seu computador está conectado a ele e apenas um passo permanece. Você precisa informar os aplicativos importantes para usar PuTTY como um servidor proxy. Qualquer aplicativo que ofereça suporte ao protocolo SOCKS pode ser vinculado ao PuTTY - como o Firefox, o mIRC, o Thunderbird e o uTorrent, para citar alguns - se você não tiver certeza se um aplicativo suportar SOCKS escavar nos menus de opções ou consultar a documentação. Este é um elemento crítico que não deve ser ignorado: todo o seu tráfego não é roteado pelo proxy PuTTY por padrão;o deve ser anexado ao servidor SOCKS .Você poderia, por exemplo, ter um navegador da Web onde você ativou o SOCKS e um navegador da Web onde você não, ambos na mesma máquina, e alguém criptografia seu tráfego e não o faria.

Para nossos propósitos, queremos proteger nosso navegador da Web, o Firefox Portable, que é simples o suficiente. O processo de configuração do Firefox traduz-se praticamente em qualquer aplicativo que você precisa para conectar as informações do SOCKS.Inicie o Firefox e navegue para Options - & gt;Avançado - & gt;Configurações .A partir do menu Connection Settings , selecione Configuração manual do proxy e sob SOCKS Host plug in 127.0.0.1 - você se está conectando ao aplicativo PuTTY que está sendo executado em seu computador local para que você deva colocar o IP do host local, nãoo IP do seu roteador como você colocou em cada slot até agora. Defina a porta para 80 , e clique em OK.

Temos um pequeno tweak pequeno a ser aplicado antes que todos estejamos configurados. O Firefox, por padrão, não roteia solicitações DNS através do servidor proxy. Isso significa que seu tráfego sempre será criptografado, mas alguém bisbilhotando a conexão verá todos os seus pedidos. Eles saberiam que você estava no Facebook.com ou no Gmail.com, mas eles não poderiam ver mais nada. Se você quiser encaminhar seus pedidos de DNS através do SOCKS, você precisará ativá-lo.

Digite sobre: ​​config na barra de endereços e, em seguida, clique em "Eu vou ter cuidado, eu prometo!", Se você receber um aviso severo sobre como você pode estragar seu navegador. Cole network.proxy.socks_remote_dns no filtro : e clique com o botão direito do mouse na entrada para network.proxy.socks_remote_dns e Alternar para True .A partir daqui, tanto a sua navegação como os seus pedidos de DNS serão enviados através do túnel SOCKS.

Embora estejamos configurando nosso navegador para SSH-all-the-time, você pode alternar facilmente suas configurações. O Firefox possui uma extensão útil, FoxyProxy, que torna mais fácil alternar seus servidores proxy para ligar e desligar. Ele suporta toneladas de opções de configuração, como alternar entre proxies com base no domínio em que você está, nos sites que você está visitando, etc. Se você quiser poder desligar seu serviço de proxy fácil e automaticamente com base em se você estiver emCasa ou fora, por exemplo, o FoxyProxy tem coberto. Os usuários do Chrome quererão verificar o Proxy Switchy!para funcionalidades semelhantes.

Vamos ver se tudo funcionou como planejado, devemos? Para testar as coisas, abrimos dois navegadores: Chrome( visto à esquerda) sem túnel e Firefox( visto à direita) recém configurado para usar o túnel.

À esquerda, vemos o endereço IP do nó Wi-Fi em que nos estamos conectando e à direita, cortesia do nosso túnel SSH, vemos o endereço IP do nosso roteador distante. Todo o tráfego do Firefox está sendo encaminhado através do servidor SSH.Sucesso!

Tenha uma dica ou truque para proteger o tráfego remoto? Use um servidor SOCKS / SSH com um aplicativo específico e ame-o? Precisa de ajuda para descobrir como criptografar seu tráfego? Vamos ouvir sobre isso nos comentários.