15Jul
Pripojenie na internet z hotspotov Wi-Fi, v práci alebo kdekoľvek inde mimo domova vystavuje vaše dáta zbytočným rizikám. Svoj router môžete ľahko nakonfigurovať tak, aby podporoval bezpečný tunel a chránil váš vzdialený prehliadač od prehliadania.
Čo je a prečo nastaviť bezpečný tunel?
Možno by ste boli zvedaví, prečo by ste dokonca chceli vytvoriť bezpečný tunel z vašich zariadení do domáceho smerovača a aké výhody budete mať z takého projektu. Poďme rozložiť niekoľko rôznych scenárov, ktoré zahŕňajú použitie internetu na ilustráciu výhod bezpečné tunelovanie.
Scenár jedna: Nachádzate sa v kaviarni pomocou vášho notebooku na prehliadanie internetu cez bezplatné Wi-Fi pripojenie.Údaje opúšťajú váš modem Wi-Fi, cestujú vzduchom nešifrovaným do uzla Wi-Fi v kaviarni a potom sa posielajú na väčší internet. Počas prenosu z počítača na väčší internet sú vaše údaje otvorené.Ktokoľvek s prístrojom Wi-Fi v danej oblasti môže vaše dáta čuchať.Je to tak bolestivé, že motivovaný 12-ročný používateľ s notebookom a kópiou prístroja Firesheep môže získať vaše poverenia pre všetky veci. Je to, akoby ste boli v miestnosti naplnenej reproduktormi len anglicky, hovoriac do telefónu Mandarin Chinese. V momente, keď príde niekto, kto hovorí Mandarin čínsky( Wi-Fi sniffer), vaše pseudo-súkromie je rozbité.
Scenár dva: Nachádzate sa v kaviarni pomocou vášho notebooku, aby ste prehliadali internet prostredníctvom bezplatného Wi-Fi pripojenia znova. Tentokrát ste vytvorili šifrovaný tunel medzi notebookom a domácim smerovačom pomocou SSH.Vaša návštevnosť je smerovaná cez tento tunel priamo z prenosného počítača do vášho domáceho smerovača, ktorý funguje ako proxy server. Toto potrubie je nepriepustné pre črievičky Wi-Fi, ktoré nevidia nič iné ako skomolený tok šifrovaných údajov. Bez ohľadu na to, ako presunutá prevádzka, ako neisté pripojenie Wi-Fi, vaše dáta zostávajú v šifrovanom tuneli a ponechávajú ho len po dosiahnutí domáceho pripojenia na internet a vystupujú z väčšieho internetu.
V scenári jeden ste surfovanie široko otvorené;v scenári dva sa môžete prihlásiť na svoju banku alebo iné súkromné webové stránky s rovnakou istotou, ktorú by ste získali z vášho domáceho počítača.
Aj keď sme v našom príklade použili Wi-Fi, mohli by sme použiť SSH tunel na zabezpečenie pevného pripojenia, napríklad spustiť prehliadač vo vzdialenej sieti a vyraziť cez bránu firewall tak, aby ste mohli surfovať tak voľne ako pri domácom pripojení,
Znie to dobre, nie? Je to neuveriteľne jednoduché nastavenie, takže nie je čas, ako je prítomnosť - môžete mať tunel SSH v priebehu hodiny.
Čo potrebujete
Existuje mnoho spôsobov, ako nastaviť tunel SSH na zabezpečenie prehliadania webu. Pre tento tutoriál sa zameriavame na nastavenie tunela SSH čo najjednoduchším spôsobom s najmenším množstvom rozruchu pre používateľa s domácim smerovačom a počítačmi so systémom Windows. Ak chcete pokračovať spolu s naším tutoriálom, budete potrebovať nasledovné:
- Router, na ktorom je spustený firmware Tomato alebo DD-WRT.
- Klient SSH ako PuTTY.
- SOCKS-kompatibilný webový prehliadač ako Firefox.
Pre nášho sprievodcu budeme používať Tomato, ale pokyny sú takmer identické s pokynmi, ktoré by ste dodržiavali pre DD-WRT, takže ak používate DD-WRT, neváhajte a pokračujte. Ak na smerovači nemáte upravený firmvér, skôr ako budete pokračovať, prečítajte si návod na inštaláciu DD-WRT a Tomato.
Generovanie kľúčov pre náš šifrovaný tunel
Aj keď sa môže zdať skvelé preskočiť priamo na generovanie kľúčov predtým, než dokonca nakonfigurujeme SSH server, ak máme kľúče pripravené, budeme môcť nakonfigurovať server v jednom priechode.
Stiahnite si úplný balík PuTTY a extrahujte ho do priečinka podľa vlastného výberu. V priečinku nájdete PUTTYGEN.EXE.Spustite aplikáciu a kliknite na tlačidlo Key - & gt;Vytvorte pár kľúčov .Zobrazí sa obrazovka podobná tej, ktorá je zobrazená vyššie.presuňte myš okolo, aby ste generovali náhodné údaje pre proces vytvárania kľúčov. Akonáhle proces dokončí vaše PuTTY Key Generator okno by malo vyzerať niečo takého;pokračujte a zadajte silné heslo:
Po prihlásení hesla pokračujte a kliknite na Uložiť privátny kľúč .Uložiť výsledný súbor. PPK niekde v bezpečí.Skopírujte a vložte obsah položky "Verejný kľúč na vloženie. .." do dočasného dokumentu TXT.
Ak plánujete používať viaceré zariadenia so svojím SSH serverom( napríklad prenosný počítač, netbook a smartphone), musíte generovať dvojice kľúčov pre každé zariadenie. Pokračujte a vygenerujte heslo a uložte ďalšie dvojice kľúčov, ktoré potrebujete teraz. Uistite sa, že ste skopírovali a vložili každý nový verejný kľúč do dočasného dokumentu.
Konfigurácia smerovača pre SSH
Tomato aj DD-WRT majú zabudované servery SSH.To je úžasné z dvoch dôvodov. Po prvé, to bolo obrovské bolesti pre telnet do vášho smerovača, aby manuálne nainštaloval SSH server a nakonfiguroval ho. Po druhé, pretože používate server SSH vo vašom smerovači( ktorý pravdepodobne spotrebuje menej energie ako žiarovka), nikdy nemusíte opúšťať hlavný počítač iba pre ľahký SSH server.
Otvorte webový prehliadač na zariadení pripojenom k miestnej sieti. Prejdite do webového rozhrania smerovača, pre náš smerovač - Linksys WRT54G beží Tomato - adresa je http://192.168.1.1.Prihláste sa do webového rozhrania a prejdite na administráciu - & gt; SSH Daemon .Tam je potrebné skontrolovať ako Enable pri spustení a vzdialený prístup .Môžete zmeniť vzdialený port, ak si to prajete, ale jediným prínosom je to, že to okrajovo obnaží dôvod, prečo je port otvorený, ak vás niekto prevezme. Zrušte začiarknutie položky Povoliť prihlásenie hesla .Na prístup k smerovaču nebudeme používať prístupové heslo, budeme používať pár kľúčov.
Prilepte verejný kľúč( y), ktorý ste vygenerovali v poslednej časti tutoriálu do poľa Authorized Keys .Každý kľúč by mal byť vlastný záznam oddelený čiarou. Prvá časť kľúča ssh-rsa je veľmi dôležitá.Ak ho nezahrniete s každým verejným kľúčom, zobrazia sa na serveri SSH neplatné.
Kliknite na tlačidlo Začnite teraz a potom prejdite nadol do spodnej časti rozhrania a kliknite na tlačidlo Uložiť .V tomto okamihu je váš SSH server v prevádzke.
Konfigurácia vzdialeného počítača na prístup k vášmu SSH serveru
Toto je miesto, kde kúzlo prebieha. Máte pár kľúčov, máte server nainštalovaný, ale nič z toho nemá žiadnu hodnotu, pokiaľ sa nemôžete vzdialene pripojiť z poľa a tunel do smerovača. Je čas, aby sme našli našu vernú sieť, ktorá funguje so systémom Windows 7, a začala pracovať.
Najskôr skopírujte ten PuTTY priečinok, ktorý ste vytvorili do druhého počítača( alebo ho jednoducho stiahnite a extrahujte znova).Odtiaľ sa všetky pokyny zameriavajú na vzdialený počítač.Ak ste spustili Generátor kľúčov PuTTy vo vašom domácom počítači, uistite sa, že ste prešli na váš mobilný počítač počas zvyšku tutoriálu. Pred vyriešením sa budete musieť uistiť, že máte kópiu súboru. PPK, ktorý ste vytvorili. Akonáhle máte PuTTy extrahované a. PPK v ruke, sme pripravení pokračovať.
Spustiť PuTTY.Prvá obrazovka, ktorú uvidíte, je obrazovka Session .Tu musíte zadať IP adresu domáceho internetového pripojenia. Toto nie je IP vášho smerovača v lokálnej sieti LAN, toto je IP vašej modemu / smerovača, ako to vidí okolitý svet. Môžete to nájsť po prezretí hlavnej stránky Stav vo webovom rozhraní vášho smerovača. Zmeňte port na 2222 ( alebo čo ste nahradili procesom konfigurácie SSH Daemon).Uistite sa, že SSH je začiarknuté .Pokračujte a dajte vašej relácii názov , aby ste mohli uložiť pre budúce použitie. Sme názvom náš Tomato SSH.
Prejdite pomocou ľavej tabuľky do poľa Connection - & gt;Auth .Tu musíte kliknúť na tlačidlo Prehľadávať a vybrať súbor. PPK, ktorý ste uložili a previedli na vzdialené zariadenie.
Zatiaľ čo v podmenu SSH pokračujte až na úroveň SSH - & gt;Tunely .Práve tu budeme konfigurovať službu PuTTY, ktorá bude fungovať ako proxy server pre váš mobilný počítač.Skontrolujte obidve polia pod položkou Port Forwarding .Nižšie v sekcii Pridať novú presmerovanú port zadajte 80 pre zdrojový port a adresu IP smerovača pre cieľ .Skontrolujte Auto a Dynamic a potom kliknite na tlačidlo Pridať .
Dvojitá kontrola, že položka sa objavila v poli Forwarded .Prejdite do sekcie relácií a kliknite na Uložte znova, aby ste uložili všetky vaše konfiguračné práce. Teraz kliknite na Open .PuTTY spustí terminálové okno. V tomto bode môžete dostať upozornenie, ktoré naznačuje, že kľúč servera hostiteľa nie je v registri. Pokračujte a potvrďte, že dôverujete hostiteľovi. Ak sa o to obávate, môžete porovnať reťazec odtlačkov prstov, ktorý vám dáva vo varovnej správe s odtlačkom prstov kľúča, ktorý ste vygenerovali vložením do PuTTY Key Generator. Akonáhle ste otvorili PuTTY a klikli na upozornenie, mali by ste vidieť obrazovku, ktorá vyzerá takto:
Na termináli stačí urobiť dve veci. Na prihlasovacom riadku zadajte root .Na výzve na zadanie hesla zadajte heslo pre kľúčové slová RSA - toto je heslo, ktoré ste vytvorili pred niekoľkými minútami, keď ste vygenerovali kľúč a nie heslo vášho smerovača. Smerovač sa načíta a skončí v príkazovom riadku. Vytvorili ste zabezpečené spojenie medzi PuTTY a domácim smerovačom. Teraz musíme vaše aplikácie poučiť, ako pristupovať k PuTTY.
Poznámka: Ak chcete proces zjednodušiť za cenu mierneho zníženia bezpečnosti, môžete vygenerovať kľúčovú zónu bez hesla a nastaviť PuTTY na prihlásenie do koreňového konta automaticky( toto nastavenie môžete prepnúť do časti Pripojiť - & gt; Data - & gt;; Automatické prihlásenie).Tým sa znižuje proces pripojenia PuTTY jednoduchým otvorením aplikácie, načítaním profilu a kliknutím na tlačidlo Otvoriť.
Konfigurácia vášho prehliadača na pripojenie k PuTTY
V tomto okamihu v príručke váš server je spustený, váš počítač je pripojený k nemu a zostáva len jeden krok. Musíte povedať dôležitým aplikáciám používať PuTTY ako proxy server. Každá aplikácia, ktorá podporuje protokol SOCKS, môže byť napojená na PuTTY - napríklad Firefox, mIRC, Thunderbird a uTorrent, aby ste uviedli niekoľko - ak si nie ste istí, či aplikácia podporuje SOCKS v rámci ponúk možností alebo sa pozrite do dokumentácie. Toto je kritický prvok, ktorý by sa nemal prehliadať: celá vaša návštevnosť nie je v predvolenom nastavení smerovaná cez server PuTTY proxy; musí byť pripojený k serveru SOCKS.Mohli by ste napríklad mať webový prehliadač, v ktorom ste zapli SOCKS a webový prehliadač, kde ste neboli - a to na tom istom počítači - a jeden by šifroval vašu návštevnosť a nie.
Pre naše účely chceme zabezpečiť náš webový prehliadač Firefox Portable, ktorý je dosť jednoduchý.Proces konfigurácie Firefoxu prekladá prakticky každú aplikáciu, ktorú potrebujete na pripojenie informácií SOCKS.Spustite Firefox a prejdite na možnosti - & gt;Rozšírené - & gt;Nastavenia .Z ponuky zvoľte Manuálna konfigurácia proxy a pod SOCKS Hostiteľská zásuvka 127.0.0.1 - Pripojujete sa k PuTTY aplikácii bežiacej vo vašom lokálnom počítači, takže musíte dať IP adresu lokálneho hostiteľa, nieIP routeru, ako ste doteraz vložili do každého slotu. Nastavte port 80 a kliknite na tlačidlo OK.
Máme jeden maličký malý vykresliť, aby sme mohli použiť skôr, ako sme všetci nastavení.Firefox štandardne neosmerňuje žiadosti DNS cez proxy server. Znamená to, že vaša návštevnosť bude vždy šifrovaná, ale niekto snooping pripojenia uvidí všetky vaše požiadavky. Vedeli by, že ste boli na Facebook.com alebo Gmail.com, ale nebudú môcť vidieť nič iné.Ak chcete smerovať vaše žiadosti DNS cez SOCKS, musíte ho zapnúť.
Typ o: config v paneli s adresou a potom kliknite na tlačidlo "Budu opatrný, sľubujem!", Ak dostanete prísne upozornenie na to, ako môžete skryť váš prehliadač.Vložte network.proxy.socks_remote_dns do poľa Filter: a potom kliknite pravým tlačidlom na položku pre sieť.proxy.socks_remote_dns a prepnite na True .Odtiaľ sa budú odosielať aj vaše prehliadanie a vaše požiadavky DNS cez tunel SOCKS.
Aj keď konfigurujeme náš prehliadač pre SSH-all-time, možno budete chcieť jednoducho prepnúť nastavenia. Firefox má šikovnú príponu, FoxyProxy, ktorá umožňuje jednoduché zapínanie a vypínanie serverov proxy. Podporuje veľa možností konfigurácie, ako je prepínanie medzi proxy servermi na základe domény, ktorú navštevujete, stránky, ktoré navštevujete, atď. Ak chcete byť schopní jednoducho a automaticky zmeniť službu proxy na základe toho, či stedoma alebo mimo nej, napríklad FoxyProxy ste sa vzťahuje. Používatelia prehliadača Chrome budú chcieť skontrolovať Proxy Switchy!pre podobné funkcie.
Pozrime sa, či všetko funguje podľa plánu, či nie? Na otestovanie vecí sme otvorili dva prehliadače: Chrome( vľavo) bez tunelu a Firefox( vidieť vpravo) čerstvo konfigurovaný na použitie tunelu.
V ľavej časti vidíme adresu IP uzla Wi-Fi, ku ktorému sa pripájame, a vpravo, vďaka tunelu SSH, vidíme adresu IP vzdialeného smerovača. Celá návštevnosť prehliadača Firefox sa smeruje cez server SSH.Úspech!
Máte tip alebo trik na zabezpečenie vzdialenej prevádzky? Používajte SOCKS server / SSH s konkrétnou aplikáciou a zamilujete si ju? Potrebujete pomoc pri zisťovaní, ako šifrovať vašu návštevnosť?Pozrime sa na to v komentároch.
