Čo je a prečo nastaviť bezpečný tunel?
Možno by ste boli zvedaví, prečo by ste dokonca chceli vytvoriť bezpečný tunel z vašich zariadení do vášho domáceho smerovača a aké výhody budete mať z takého projektu. Poďme rozložiť niekoľko rôznych scenárov, ktoré zahŕňajú použitie internetu na ilustráciu výhod bezpečné tunelovanie.
Scenár jedna: Nachádzate sa v kaviarni pomocou vášho laptopu na prehliadanie internetu cez bezplatné Wi-Fi pripojenie. Údaje opúšťajú váš modem Wi-Fi, cestujú vzduchom nešifrovaným do uzla Wi-Fi v kaviarni a potom sa posielajú na väčší internet. Počas prenosu z počítača na väčší internet sú vaše údaje otvorené. Ktokoľvek s prístrojom Wi-Fi v danej oblasti môže vaše dáta čuchať. Je to tak bolestivé, že motivovaný 12-ročný používateľ s notebookom a kópiou prístroja Firesheep môže získať vaše poverenia pre všetky veci. Je to, akoby ste boli v miestnosti naplnenej reproduktormi len anglicky, hovoriac do telefónu Mandarin Chinese. V momente, keď príde niekto, kto hovorí Mandarin čínsky (Wi-Fi sniffer), vaše pseudo-súkromie je rozbité.
Druhý scenár: Nachádzate sa v kaviarni pomocou vášho laptopu, aby ste mohli internet prehliadať prostredníctvom bezplatného Wi-Fi pripojenia. Tentokrát ste vytvorili šifrovaný tunel medzi notebookom a domácim smerovačom pomocou SSH. Vaša návštevnosť je smerovaná cez tento tunel priamo z prenosného počítača do vášho domáceho smerovača, ktorý funguje ako proxy server. Toto potrubie je nepriepustné pre črievičky Wi-Fi, ktoré nevidia nič iné ako skomolený tok šifrovaných údajov. Bez ohľadu na to, ako presunutá prevádzka, ako neisté pripojenie Wi-Fi, vaše dáta zostávajú v šifrovanom tuneli a ponechávajú ho len po dosiahnutí domáceho internetového pripojenia a vystupujú na väčšiu internetovú sieť.
V scenári jeden ste surfovanie široko otvorené; v scenári dva sa môžete prihlásiť na svoju banku alebo iné súkromné webové stránky s rovnakou istotou, ktorú by ste získali z vášho domáceho počítača.
Napriek tomu, že sme v našom príklade použili Wi-Fi, mohli by sme použiť SSH tunel na zabezpečenie pevného pripojenia, napríklad spustiť prehliadač vo vzdialenej sieti a preraziť dieru cez firewall tak, aby ste mohli voľne surfovať ako pri domácom pripojení.
Znie to dobre, že? Je to neuveriteľne jednoduché nastavenie, takže nie je čas, ako je prítomnosť - môžete mať tunel SSH v priebehu hodiny.
Čo budete potrebovať
- Smerovač, na ktorom je spustený firmware Tomato alebo DD-WRT.
- Klient SSH ako PuTTY.
- Webový prehliadač kompatibilný s SOCKS, ako je Firefox.
Pre nášho sprievodcu budeme používať Tomato, ale pokyny sú takmer identické s pokynmi, ktoré by ste dodržiavali pre DD-WRT, takže ak používate DD-WRT, neváhajte a pokračujte. Ak na smerovači nemáte upravený firmvér, skôr ako budete pokračovať, prečítajte si návod na inštaláciu DD-WRT a Tomato.
Generovanie kľúčov pre náš šifrovaný tunel
Prevezmite plný balík PuTTY a vytiahnite ho do priečinka podľa vlastného výberu. V priečinku nájdete PUTTYGEN.EXE. Spustite aplikáciu a kliknite na tlačidlo Kľúč -> Vytvoriť pár kľúčov, Zobrazí sa obrazovka podobná tej, ktorá je zobrazená vyššie. presuňte myš okolo, aby ste generovali náhodné údaje pre proces vytvárania kľúčov. Akonáhle proces dokončí vaše PuTTY Key Generator okno by malo vyzerať niečo takého; pokračujte a zadajte silné heslo:
Po prihlásení hesla pokračujte a kliknite na tlačidlo Uložiť privátny kľúč, Uložiť výsledný súbor.PPK niekde v bezpečí. Skopírujte a vložte obsah položky "Verejný kľúč na vloženie …" do dočasného dokumentu TXT.
Ak plánujete používať viaceré zariadenia so svojím SSH serverom (napríklad prenosný počítač, netbook a inteligentný telefón), musíte vygenerovať páry kľúčov pre každé zariadenie. Pokračujte a vygenerujte heslo a uložte ďalšie kľúčové páry, ktoré potrebujete teraz. Uistite sa, že ste skopírovali a vložili každý nový verejný kľúč do dočasného dokumentu.
Konfigurácia smerovača pre SSH
Otvorte webový prehliadač na zariadení pripojenom k miestnej sieti.Prejdite do webového rozhrania smerovača, pre náš smerovač - Linksys WRT54G beží Tomato - adresa je https://192.168.1.1. Prihláste sa do webového rozhrania a prejdite na Správa -> SSH Daemon, Tam musíte skontrolovať oboje Povoliť pri spustení a Vzdialený prístup, Môžete zmeniť vzdialený port, ak si to prajete, ale jediným prínosom je to, že to okrajovo zničí dôvod, prečo je port otvorený, ak vás niekto prevezme. zrušte zaškrtnutie Povoliť prihlasovanie hesla, Na prístup k smerovaču nebudeme používať prístupové heslo, budeme používať pár kľúčov.
Prilepte verejný kľúč (y), ktorý ste vygenerovali v poslednej časti tutoriálu do Autorizované klávesy box. Každý kľúč by mal mať vlastný záznam oddelený čiarou. Prvá časť kľúča ssh-rsa je veľmi dôležité. Ak ho nezahrniete s každým verejným kľúčom, zobrazia sa na serveri SSH neplatné.
kliknite Začni teraz a potom prejdite nadol do spodnej časti rozhrania a kliknite na tlačidlo Uložiť, V tomto okamihu je váš SSH server v prevádzke.
Konfigurácia vzdialeného počítača na prístup k serveru SSH
Toto je miesto, kde kúzlo prebieha. Máte pár kľúčov, máte server spustený, ale nič z toho nemá žiadnu hodnotu, pokiaľ sa nemôžete vzdialene pripojiť z poľa a tunel do smerovača. Je čas, aby sme našli našu vernú sieť, ktorá funguje so systémom Windows 7, a začala pracovať.
Najprv skopírujte súbor PuTTY, ktorý ste vytvorili, do iného počítača (alebo jednoducho ho stiahnite a extrahujte znova). Odtiaľ sa všetky pokyny zameriavajú na vzdialený počítač. Ak ste spustili Generátor kľúčov PuTTy vo vašom domácom počítači, uistite sa, že ste prešli na váš mobilný počítač počas zvyšku tutoriálu. Pred vyriešením sa budete musieť uistiť, že máte kópiu súboru.PPK, ktorý ste vytvorili. Akonáhle máte PuTTy extrahované a.PPK v ruke, sme pripravení pokračovať.
Spustite PuTTY. Prvá obrazovka, ktorú uvidíte, je zasadania obrazovka. Tu musíte zadať IP adresu domáceho internetového pripojenia. Toto nie je IP vášho smerovača v lokálnej sieti LAN, toto je IP vašej modemu / smerovača, ako to vidí okolitý svet. Môžete to nájsť po prezretí hlavnej stránky Stav vo webovom rozhraní vášho smerovača. Zmeňte port na 2222 (alebo čo ste nahradili v procese konfigurácie SSH Daemon). Uisti sa Kontroluje sa SSH, Choďte ďalej a zadajte názov vašej relácie aby ste mohli ulož to pre budúce použitie. Sme názvom náš Tomato SSH.
Navigujte pomocou ľavej tabuľky až na Pripojenie -> Aut, Tu musíte kliknúť na tlačidlo Prehľadávať a vybrať súbor.PPK, ktorý ste uložili a previedli na vzdialené zariadenie.
Zatiaľ čo v podmenu SSH pokračujte ďalej SSH -> Tunely, Práve tu budeme konfigurovať službu PuTTY, ktorá bude fungovať ako proxy server pre váš mobilný počítač. Skontrolujte obe polia pod Presmerovanie portov, Nižšie, v Pridajte nový presmerovaný port zadajte 80 pre Zdrojový port a IP adresu vášho smerovača pre Destinácia, check auto a dynamický potom kliknite na tlačidlo pridať.
Dvojitá kontrola toho, či sa položka objavila Presmerované porty box. Prejdite späť Sessions a kliknite na tlačidlo Uložiť znova pre uloženie všetkých konfiguračných prác. Teraz kliknite na tlačidlo Otvorené, PuTTY spustí terminálové okno. V tomto bode môžete dostať upozornenie, ktoré naznačuje, že kľúč servera hostiteľa nie je v registri. Pokračujte a potvrďte, že dôverujete hostiteľovi. Ak sa o to obávate, môžete porovnať reťazec odtlačkov prstov, ktorý vám dáva vo varovnej správe s odtlačkom prstov kľúča, ktorý ste vygenerovali vložením do PuTTY Key Generator. Keď otvoríte súbor PuTTY a kliknete na upozornenie, zobrazí sa obrazovka, ktorá vyzerá takto:
Na termináli budete musieť urobiť len dve veci. Typ prihlasovacieho riadku koreň, Pri výzve na zadanie hesla zadajte heslo kľúča RSA-To je heslo, ktoré ste vytvorili pred niekoľkými minútami, keď ste vygenerovali kľúč a nie heslo vášho smerovača. Smerovač sa načíta a skončí v príkazovom riadku. Vytvorili ste zabezpečené spojenie medzi PuTTY a domácim smerovačom. Teraz musíme vaše aplikácie poučiť, ako pristupovať k PuTTY.
Poznámka: Ak chcete proces zjednodušiť za cenu mierneho zníženia bezpečnosti, môžete vygenerovať kľúčovú zónu bez hesla a nastaviť PuTTY na automatické prihlásenie do koreňového konta (toto nastavenie môžete prepnúť do časti Pripojiť -> Data -> Automatické prihlásenie ). Tým sa znižuje proces pripojenia PuTTY jednoduchým otvorením aplikácie, načítaním profilu a kliknutím na tlačidlo Otvoriť.
Konfigurácia prehliadača na pripojenie k PuTTY
V tomto okamihu v príručke váš server funguje, váš počítač je k nemu pripojený a zostáva len jeden krok. Musíte povedať dôležitým aplikáciám používať PuTTY ako proxy server. Každá aplikácia, ktorá podporuje protokol SOCKS, môže byť prepojená s PuTTY - ako napríklad Firefox, mIRC, Thunderbird a uTorrent, aby ste uviedli niekoľko - ak si nie ste istí, či aplikácia podporuje SOCKS v ponukách možností alebo sa pozrieť do dokumentácie. Toto je kritický prvok, ktorý by sa nemal prehliadať: všetka vaša návštevnosť nie je v predvolenom nastavení smerovaná cez server PuTTY proxy; to musieť pripojiť k serveru SOCKS.Mohli by ste napríklad mať webový prehliadač, v ktorom ste zapli SOCKS a webový prehliadač, kde ste neboli - a to na tom istom počítači - a jeden by šifroval vašu návštevnosť a nie.
Pre naše účely chceme zabezpečiť náš webový prehliadač Firefox Portable, ktorý je dosť jednoduchý. Proces konfigurácie Firefoxu prekladá prakticky každú aplikáciu, ktorú potrebujete na pripojenie informácií SOCKS. Spustite Firefox a prejdite na Možnosti -> Rozšírené -> Nastavenia, Z vnútra Nastavenia pripojenia vyberte položku Manuálna konfigurácia servera proxy a pod Host hostiteľa SOCKS 127.0.0.1- pripájate sa k aplikácii PuTTY spustenej na vašom lokálnom počítači, takže musíte dať miestnu IP hostiteľa, nie IP adresu vášho smerovača tak, ako ste dali do každého slotu doteraz. Nastavte port na 80a kliknite na tlačidlo OK.
Máme jeden maličký malý štrajk, ktorý sa použije, než budeme všetci nastavení. Firefox štandardne neosmerňuje žiadosti DNS cez proxy server. Znamená to, že vaša návštevnosť bude vždy šifrovaná, ale niekto snooping pripojenia uvidí všetky vaše požiadavky. Vedeli by, že ste boli na Facebook.com alebo Gmail.com, ale nebudú môcť vidieť nič iné. Ak chcete smerovať vaše žiadosti DNS cez SOCKS, musíte ho zapnúť.
typ about: config v paneli s adresou kliknite na tlačidlo "Budu opatrný, sľubujem!", ak dostanete prísne upozornenie na to, ako môžete skryť váš prehliadač. pasta network.proxy.socks_remote_dns do Filter: a kliknite pravým tlačidlom myši na položku pre sieť.proxy.socks_remote_dns a toggle to to pravdivý, Odtiaľ sa budú odosielať aj vaše prehliadanie a vaše požiadavky DNS cez tunel SOCKS.
Hoci konfigurujeme náš prehliadač pre SSH-all-time-time, možno budete chcieť jednoducho prepnúť nastavenia. Firefox má šikovnú príponu, FoxyProxy, ktorá umožňuje jednoduché zapínanie a vypínanie serverov proxy. Podporuje veľa možností konfigurácie, ako je prepínanie medzi proxy servermi na základe domény, ktorú navštevujete, stránky, ktoré navštevujete atď. Ak chcete byť schopní jednoducho a automaticky zmeniť službu proxy na základe toho, či ste doma alebo mimo nej, napríklad FoxyProxy ste sa vzťahuje. Používatelia prehliadača Chrome budú chcieť skontrolovať Proxy Switchy! pre podobné funkcie.
Pozrime sa, či všetko funguje podľa plánu, či nie? Na otestovanie vecí sme otvorili dva prehliadače: Chrome (vľavo) bez tunelu a Firefox (vidieť vpravo) čerstvo konfigurovaný na použitie tunelu.
Máte tip alebo trik na zabezpečenie vzdialenej prevádzky? Používajte SOCKS server / SSH s konkrétnou aplikáciou a zamilujete si ju? Potrebujete pomoc pri zisťovaní, ako šifrovať vašu návštevnosť? Pozrime sa na to v komentároch.