Свързването с интернет от Wi-Fi hotspots, на работното място или навсякъде другаде далеч от дома, излага вашите данни на ненужни рискове. Можете лесно да конфигурирате маршрутизатора си, за да поддържате защитен тунел и да защитите отдалечения си браузър от трафика, за да видите как.
Може да сте любопитни защо бихте искали дори да създадете защитен тунел от вашите устройства към вашия домашен рутер и какви ползи ще извлечете от такъв проект. Нека да изложим няколко различни сценария, които включват използването на интернет, за да илюстрираме ползите от сигурното тунелиране.
Сценарий едно: Вие сте в кафене с лаптопа си, за да сърфирате в интернет чрез безплатната си Wi-Fi връзка. Данните напускат вашия Wi-Fi модем, пътуват във въздуха без шифроване до Wi-Fi възела в кафенето и след това се предават на по-големия интернет. По време на предаването от вашия компютър към по-големия интернет вашите данни са широко отворени. Всеки, който има Wi-Fi устройство в района, може да подуши вашите данни. Това е толкова болезнено лесно, че мотивиран 12-годишен, с лаптоп и копие на Firesheep, може да грабне вашите пълномощия за всякакви неща. Сякаш сте в стая, пълна с говорители само на английски, говорейки на телефон, говорещ китайски китайски китаец. В момента, в който влезе някой, който говори с китайски мандарин (Wi-Fi sniffer), вашето псевдо privacy е разбито.
Сценарий 2: Вие сте в кафене, използвайки лаптопа си, за да сърфирате в интернет чрез безплатната си Wi-Fi връзка отново. Този път сте създали шифрован тунел между вашия лаптоп и вашия домашен рутер, използвайки SSH. Трафикът Ви се пренасочва през този тунел директно от вашия лаптоп към вашия домашен рутер, който функционира като прокси сървър. Този тръбопровод е непроницаем за сфиндери от Wi-Fi, които няма да виждат нищо друго освен изкривен поток от криптирани данни. Независимо от това, колко опасно е установяването, колко несигурна е Wi-Fi връзката, данните ви остават в шифрования тунел и остават само след като достигнат домашната ви интернет връзка и излизат от по-големия интернет.
В първия сценарий сърфирате широко; в сценарий два можете да влезете в банката си или други частни уеб сайтове със същото доверие, което бихте направили от вашия домашен компютър.
Въпреки че използвахме Wi-Fi в нашия пример, можете да използвате SSH тунела, за да си осигурите твърда връзка, например да стартирате браузър в отдалечена мрежа и да пробиете дупка през защитната стена, за да сърфирате така свободно, както бихте направили при домашната връзка.
Звучи добре, нали? Това е невероятно лесно да се създаде, така че няма време като настоящето - можете да имате вашия SSH тунел да работи и в рамките на един час.
Има много начини да настроите SSH тунел, за да защитите сърфирането в мрежата. За този урок ние се фокусираме върху създаването на SSH тунел по възможно най-лесния начин с най-малко суетене за потребител с домашен рутер и базирани на Windows машини. За да следвате заедно с нашия урок ще ви трябват следните неща:
За нашия наръчник ще използваме Домат, но инструкциите са почти идентични с тези, които ще следвате за DD-WRT, така че ако използвате DD-WRT, не се колебайте да го следвате. Ако не разполагате с променен фърмуер на маршрутизатора, проверете нашето ръководство за инсталиране на DD-WRT и Tomato преди да продължите.
Въпреки че може да изглежда странно, че трябва да преминете направо към генерирането на ключове, преди дори да конфигурираме SSH сървъра, ако имаме готовите ключове, ще можем да конфигурираме сървъра в един пропуск.
Изтеглете пълния пакет PuTTY и го изтеглете в папка по ваш избор. В папката ще намерите PUTTYGEN.EXE. Стартирайте приложението и кликнете върху него Ключ -> генериране на двойка ключове, Ще видите екран, подобен на този, който е показан по-горе. преместете мишката наоколо, за да генерирате произволни данни за процеса на създаване на ключове. След като процесът приключи, Вашият прозорец PuTTY Key Generator трябва да изглежда нещо подобно; продължете и въведете силна парола:
След като включите парола, продължете и кликнете Запазете личния ключ, Запазвате получения файл .PPK на сигурно място. Копирайте и поставете съдържанието на полето "Публичен ключ за поставяне ..." в временния документ TXT за момента.
Ако планирате да използвате няколко устройства с SSH сървъра (като лаптоп, нетбук и смартфон), трябва да генерирате двойки ключове за всяко устройство. Продължете и генерирайте, парола и запазете допълнителните двойки ключ, които са ви необходими сега. Уверете се, че копирате и поставяте всеки нов публичен ключ във временния документ.
Както Tomato, така и DD-WRT имат вградени SSH сървъри. Това е страхотно по две причини. Първо, това е било огромна болка на телнет във вашия рутер, за да инсталирате ръчно SSH сървър и да го конфигурирате. На второ място, защото пускате SSH сървъра на вашия маршрутизатор (което вероятно изразходва по-малко енергия от електрическата крушка), никога не трябва да оставяте главния си компютър само за лек SSH сървър.
Отворете уеб браузър на машина, свързана към вашата локална мрежа. Придвижете се до уеб интерфейса на маршрутизатора, за нашия маршрутизатор - Linksys WRT54G, който работи с домати - адресът е http://192.168.1.1. Влезте в уеб интерфейса и отидете до Администрация -> SSH Даймон, Там трябва да проверите и двете Активиране при стартиране и Отдалечен достъп, Можете да промените отдалечения порт, ако желаете, но единствената полза за това е, че незначително помрачава причината, поради която пристанището е отворено, ако някой от вас пристанище сканира. Махнете отметката от Разрешаване на влизането в паролата, Няма да използваме парола за вход за отдалечен достъп до маршрутизатора, ще използваме двойка ключове.
Поставете публичния ключ или ключовете, които сте генерирали в последната част на урока, в Оторизирани ключове кутия. Всеки ключ трябва да бъде свой собствен запис, разделен от линия. Първата част на ключа SSH-RSA е много важно. Ако не го включите с всеки публичен ключ, той ще изглежда невалиден за SSH сървъра.
Кликнете Започни сега и след това превъртете надолу до долната част на интерфейса и кликнете върху него Запази, В този момент вашият SSH сървър работи и работи.
Това е мястото, където се случва магията. Имате двойка ключове, имате сървър, но нищо от това няма стойност, освен ако не сте в състояние да се свържете дистанционно от полето и тунела във вашия рутер. Време е да изхвърлим нашата надеждна нетна книга с Windows 7 и да започне работа.
Първо, копирайте папката PuTTY, която създадохте, на другия компютър (или просто го изтеглете и изтеглете отново). Оттук нататък всички указания са насочени към вашия отдалечен компютър. Ако сте пуснали PuTTy Key Generator на вашия домашен компютър, уверете се, че сте преминали на мобилния си компютър за останалата част от урока. Преди да разрешите, ще трябва да се уверите, че имате копие на създадения от вас файл .PPK. След като извадите PuTTy и ППК в ръка, ние сме готови да продължим.
Стартирайте PuTTY. Първият екран, който ще видите, е Сесия екран. Тук ще трябва да въведете IP адреса на домашната ви интернет връзка. Това не е IP адресът на вашия маршрутизатор в локалната LAN мрежа, а това е IP на вашия модем / рутер, както се вижда от външния свят. Можете да го намерите, като разгледате основната страница "Статус" в уеб интерфейса на рутера. Променете порта на 2222 (или каквото сте заместили в процеса на конфигуриране на SSH Daemon). Уверете се SSH се проверява, Продължете и дайте на сесията си име така че можете запази го за бъдеща употреба. Нарекохме нашият Домат SSH.
Навигирайте, през левия прозорец, надолу до Връзка -> Авто, Тук трябва да кликнете върху бутона Преглед и да изберете файла .PPK, който сте запазили и донесохте във вашето отдалечено устройство.
Докато сте в подменюто SSH, продължете до SSH -> Тунели, Тук ще конфигурираме PuTTY, за да функционира като прокси сървър за вашия мобилен компютър. Поставете и двете квадратчета под Портфолио, По - долу, в Добавете нов препратен порт раздел, въведете 80 за Източник на порт и IP адреса на вашия рутер за Дестинация, Проверка Автоматичен и динамичен след това щракнете върху Добави.
Проверете двойно дали в елемента се е появил запис Препратени портове кутия. Навигирайте обратно сесии и кликнете върху него Запази отново, за да запазите цялата си конфигурация. Сега кликнете отворено, PuTTY ще стартира терминален прозорец. В тази точка може да получите предупреждение, което показва, че ключът за хост на сървъра не е в регистъра. Продължете напред и потвърдете, че имате доверие на хоста. Ако се притеснявате за това, можете да сравните низола за пръстови отпечатъци, който ви дава в предупредителното съобщение с пръстовия отпечатък на ключа, който сте генерирали, като го заредите в PuTTY Key Generator. След като отворите PuTTY и сте кликнали върху предупреждението, трябва да видите екран, който изглежда така:
На терминала ще трябва само две неща. Напишете типа на прозореца за вход корен, В промпта за пропуск въведете паролата за ключовете на RSA- това е паролата, която създадохте преди няколко минути, когато генерирахте ключа, а не паролата на рутера. Обвивката на рутера ще се зареди и сте готови на командния ред. Създадохте сигурна връзка между PuTTY и домашния ви маршрутизатор. Сега трябва да инструктираме вашите приложения да получат достъп до PuTTY.
Забележка: Ако искате да опростите процеса на цената на леко намаляване на сигурността, можете да генерирате ключ за парола без парола и да настроите PuTTY да влиза автоматично в коренния акаунт (можете да превключите тази настройка под Connect -> Data -> Auto Login ). Това намалява процеса на свързване PuTTY до просто отваряне на приложението, зареждане на профила и кликване върху Отваряне.
На този етап в урока сървърът ви работи и работи, компютърът ви е свързан с него и остава само една стъпка. Трябва да кажете на важните приложения да използват PuTTY като прокси сървър. Всяко приложение, което поддържа протокола SOCKS, може да бъде свързано с PuTTY - например Firefox, mIRC, Thunderbird и uTorrent, за да назовем няколко - ако не сте сигурни дали дадено приложение поддържа SOCKS dig в менютата за опции или да се консултирате с документацията. Това е критичен елемент, който не бива да се пренебрегва: по подразбиране целият ви трафик не се пренасочва през протокола PuTTY; то трябва да да бъде прикачен към сървъра SOCKS. Бихте могли, например, да имате уеб браузър, в който сте включили SOCKS и уеб браузър, където не сте - и двете на една и съща машина - и ще криптирате трафика си, а човек няма да го направи.
За нашите цели искаме да осигурим нашия уеб браузър, Firefox Portable, който е достатъчно прост. Процесът на конфигуриране за Firefox превежда практически всяко приложение, което ще ви трябва, за да включите информацията за SOCKS. Стартирайте Firefox и отидете до Опции -> Разширени -> Настройки, Отвътре Настройки за връзка изберете, изберете Ръчна конфигурация на прокси сървър и под Plug-in Host SOCKS 127.0.0.1- Свързвате се с приложението PuTTY, което се изпълнява на локалния ви компютър, така че трябва да поставите IP адреса на местния хост, а не IP адреса на маршрутизатора, както сте въвели във всеки слот досега. Задайте порта на 80, и кликнете ДОБРЕ.
Имаме един малък малък ощипвам, който да се прилага, преди да сме готови.По подразбиране Firefox не маршрутира заявки за DNS чрез прокси сървъра. Това означава, че трафикът Ви винаги ще бъде шифрован, но някой, който ще спре връзката, ще види всички ваши искания. Те щяха да знаят, че сте на Facebook.com или Gmail.com, но те няма да могат да видят нищо друго. Ако искате да насочите заявките си към DNS чрез SOCKS, ще трябва да го включите.
Тип за: довереник в адресната лента, след което кликнете върху "Ще внимавам, обещавам!", ако получите строго предупреждение за това, как можете да забиете браузъра си. паста network.proxy.socks_remote_dns в Филтър: и след това кликнете с десния бутон върху записа за щифт то да Вярно, Оттук нататък както вашето сърфиране, така и вашите DNS заявки ще бъдат изпратени през тунела SOCKS.
Въпреки че конфигурираме нашия браузър за SSH през цялото време, може лесно да промените настройките си. Firefox има удобно разширение, FoxyProxy, което го прави супер лесно да превключвате и изключвате прокси сървърите си. Поддържа тонове опции за конфигуриране, като превключване между пълномощни въз основа на домейна, в който се намирате, сайтовете, които посещавате и т.н. Ако искате да можете лесно и автоматично да изключите услугата за прокси сърфи на базата на това дали сте в вкъщи или далеч, например, FoxyProxy сте покрити. Потребителите на Chrome ще искат да проверят Прокси Switchy! за подобна функционалност.
Да видим дали всичко работи по план, нали? За да изпробваме нещата, отворихме два браузъра: Chrome (вижда се отляво) без тунел и Firefox (вижда се отдясно), свежо конфигуриран да използва тунела.
Отляво виждаме IP адреса на Wi-Fi възела, към който се свързваме, и вдясно, с любезното съдействие на нашия SSH тунел, виждаме IP адреса на нашия отдалечен маршрутизатор. Целият трафик в Firefox се препраща през SSH сървъра. Успех!
Имате съвет или трик за осигуряване на отдалечен трафик? Използвайте SOCKS сървър / SSH с конкретно приложение и го обичате? Нуждаете се от помощ, за да разберете как да шифровате трафика си? Нека да го чуем в коментарите.