Mi és miért állítson be biztonságos alagútot?
Lehet, hogy kíváncsi vagy, miért akarnál biztonságos alagutat létrehozni az eszközödről az otthoni útválasztóba, és milyen előnyökkel járna egy ilyen projektből. Tegyünk fel egy pár különböző forgatókönyvet, amelyek magukban foglalják az internet használatát a biztonságos alagút előnyeinek bemutatására.
Az első forgatókönyv: A laptopja segítségével egy kávézóban böngészhet az interneten keresztül az ingyenes Wi-Fi kapcsolaton keresztül. Az adatok elhagyják Wi-Fi modemét, a kávézó Wi-Fi csomópontján titkosítatlanul haladnak, majd továbbadják a nagyobb interneten. A számítógépről a nagyobb internetre történő továbbítás során az adatok széleskörűek. Bárki, aki Wi-Fi eszközzel rendelkezik a környéken, szippanthatja az adatait. Annyira fájdalmasan könnyű, hogy egy 12 éves, motivált 12 éves laptop és egy másolat a Firesheep felkapta a hitelesítő mindenféle dolgokat. Olyan, mintha csak egy csak angol nyelvű hangszórókkal töltött szobában beszélne, beszélt a kínai nyelvű telefonról. Abban a pillanatban, amikor egy olyan ember beszél, aki mandarin kínaiul beszél (a Wi-Fi sznorkereskedő), a pszeudo-titokzatosság romlott.
A második forgatókönyv: Ön egy kávézóban használja a laptopot az interneten keresztüli böngészéshez az ingyenes Wi-Fi kapcsolaton keresztül. Ezúttal létrehozott egy titkosított alagutat a laptop és az otthoni útválasztó között az SSH használatával. A forgalom az alagúton keresztül közvetlenül a laptopról az otthoni routerre irányul, amely proxykiszolgálóként működik. Ez a csatorna áthatolhatatlan a Wi-Fi szippantókkal szemben, akik csak titkosított adatforgalmú forgalmi adatfolyamot látnak. Nem számít, mennyire ingerlékeny a létesítmény, milyen bizonytalan a Wi-Fi kapcsolat, az adataid a titkosított alagútban maradnak, és csak akkor hagyja el, ha elérte az otthoni internetkapcsolatát, és kilépett a nagyobb internethez.
Az egyik forgatókönyvben szörfözhetsz; a második forgatókönyvbe beléphet a bankjába vagy más privát weboldalakba ugyanolyan bizalommal, mint az otthoni számítógépedről.
Bár példánkban Wi-Fi-t használtunk, használhatnánk az SSH alagutat, hogy biztosítsunk egy keményvonalas kapcsolatot, mondjuk egy távoli hálózaton böngészőt indítsunk el, és lyukasztunk egy lyukat a tűzfalon keresztül, hogy olyan szabadon böngészhessünk, mint az otthoni kapcsolatban.
Jól hangzik, nem? Hihetetlenül könnyű beállítani, így nincs idő, mint a jelenben - az SSH-alagútját órán belül fel tudja tölteni és futni.
Amire szükséged lesz
- A Tomato vagy DD-WRT módosított firmware futó útválasztó.
- Egy SSH kliens, mint a PuTTY.
- SOCKS-kompatibilis böngésző, mint a Firefox.
A mi útmutatónkat használjuk a Paradicsomot, de az utasítások majdnem megegyeznek azokkal, amelyeket a DD-WRT-hez követtetek, ezért ha DD-WRT-t futtatsz, szabadon követheted. Ha nincsen módosított firmware az útválasztón, nézd meg a DD-WRT és a Tomato telepítésének útmutatóját, mielőtt folytatnánk.
Kulcsok létrehozása titkosított alagútunkhoz
Töltse le a teljes PuTTY csomagot és vegye ki azt a kívánt mappába. A mappában található a PUTTYGEN.EXE. Indítsa el az alkalmazást, és kattintson rá Kulcs -> Kulcspár létrehozása. Olyan képernyőt fogsz látni, mint a fent látható kép; Mozgassa az egeret körül, hogy véletlenszerű adatokat generáljon a kulcskészítés folyamatához. Miután a folyamat befejeződött, a PuTTY kulcsgenerátor ablakának valami hasonlónak kellene lennie; menj előre, és írj be egy erős jelszót:
Miután csatlakoztatta a jelszavát, menjen előre és kattintson Privát kulcs mentése. A kapott.PPK fájlt valahol biztonságos helyen tárolja. Másolja át és illessze be a "Nyilvános kulcs beillesztése …" mező tartalmát egy ideiglenes TXT-dokumentumhoz.
Ha több eszközt szeretne használni az SSH kiszolgálóval (pl. Laptop, netbook és okostelefon), akkor minden egyes eszközhöz kulcspárokat kell létrehoznia. Menj előre, generáld, jelszavad és mentse a szükséges további kulcspárokat. Győződjön meg arról, hogy minden új nyilvános kulcsot átmásol és beilleszt az ideiglenes dokumentumba.
Az útválasztó konfigurálása az SSH számára
Nyissa meg a webböngészőt a helyi hálózathoz csatlakoztatott gépen.Navigáljon az útválasztó webes felületéhez, a routerünkhöz - a Linksys WRT54G Tomato futtatásához - a cím https://192.168.1.1. Jelentkezzen be a webes felületre és navigáljon Adminisztráció -> SSH Daemon. Itt mindkettőt ellenőrizni kell Engedélyezés indításkor és Távoli hozzáférés. Megváltoztathatja a távoli portot, ha azt szeretné, de az egyetlen előnye ennek, hogy kissé elhomályosítja azt a okot, ami a port nyitva van, ha bárki portot keres. Szüntesse Jelszó belépés engedélyezése. Nem fogunk használni jelszó bejelentkezést, hogy hozzáférjen a router messziről, mi lesz egy kulcspárt.
Illessze be a bemutató utolsó részében generált nyilvános kulcsokat a Engedélyezett kulcsok doboz. Mindegyik kulcsnak saját bejegyzéssel kell rendelkeznie, amelyet egy sortörés választ el. A kulcs első része ssh-rsa jelentése nagyon fontos. Ha nem adja hozzá minden nyilvános kulcshoz, akkor érvénytelennek tűnnek az SSH kiszolgálón.
Kattints Indítás most majd görgessen lefelé az interfész aljára, és kattintson rá Mentés. Ezen a ponton az SSH szervere működik.
A távoli számítógép konfigurálása az SSH kiszolgáló eléréséhez
Itt történik a mágia. Van egy kulcspár, van egy kiszolgáló működtetése és futása, de ennek semmi értéke nincs, hacsak nem tudod távolról kapcsolódni a mezőből és az alagútból az útválasztóba. Ideje megtenni a megbízható Windows 7-es könyvtárat, és beállítani a munkát.
Először másolja át a másik számítógépen létrehozott PuTTY mappát (vagy egyszerűen csak töltse le és vegye ki újra). Innen minden utasítás a távoli számítógépre koncentrál. Ha a PuTTy kulcsgenerátort az otthoni számítógépen futtatta, győződjön meg róla, hogy átkapcsolta mobiltelefonjára a többi oktatóanyagot. Mielőtt rendeznéd, meg kell győződnie arról is, hogy van egy másolata a létrehozott.PPK fájlnak. Miután a PuTTy-t kivettük és a.PPK-t kézben tartottuk, készen állunk a folytatásra.
PuTTY indítása. Az első képernyő, amelyet látni fogsz Ülés képernyő. Itt meg kell adnia az otthoni internetkapcsolat IP-címét. Ez nem az Ön routerének IP-címe a helyi LAN-on ez a modem / router IP-je, amint azt a külvilág látja. Ezt megtalálhatja az útválasztó webes felületének fő Állapot oldalának megtekintésével. Módosítsa a portot 2222-re (vagy bármi, amit az SSH Daemon konfigurációs folyamatában helyettesítettél). Győződjön meg róla Az SSH ellenőrzése megtörtént. Menj előre és adjon nevet a munkamenetnek hogy tudjátok Mentsd el későbbi felhasználásra. A Tomato SSH-t neveztük el.
Navigáljon a bal oldali ablaktáblán keresztül Csatlakozás -> Auth. Ehhez kattintson a Tallózás gombra, és válassza ki a mentett és átvitt.PPK fájlt a távoli gépére.
Míg az SSH almenüben folytassa SSH -> Alagutak. Itt fogjuk beállítani a PuTTY-t, hogy proxy szerverként működjön a mobil számítógépeden. Jelölje be mindkét dobozt Port továbbítás. Az alábbiakban a Új továbbított port hozzáadása szakaszban adja meg a 80-at Forrás port és az útválasztó IP-címe a Cél. Jelölje be kocsi és Dinamikus majd kattintson a gombra hozzáad.
Ellenőrizze, hogy megjelent-e egy bejegyzés a Továbbított portok doboz. Navigáljon vissza a Sessions szakasz és kattintson Mentés újra menteni az összes konfigurációs munkát. Most kattintson Nyisd ki. A PuTTY elindít egy terminál ablakot. Ekkor figyelmeztetést kaphat, jelezve, hogy a szerver gazda kulcs nincs a rendszerleíró adatbázisban. Menjen előre, és erősítse meg, hogy megbízik a fogadóban. Ha aggódsz, akkor összehasonlíthatod az ujjlenyomat-karakterláncot, amelyet a figyelmeztető üzenetben a létrehozott kulcs ujjlenyomatával adsz meg a PuTTY kulcsgenerátorba való feltöltésével. Miután megnyitotta a PuTTY-ot, és rákattintott a figyelmeztetésen keresztül, megjelenjen egy olyan képernyő, amely így néz ki:
A terminálon csak két dolgot kell tennie. A bejelentkezési prompton írja be gyökér. A jelszóbeviteli ablakban írja be az RSA kulcstartó jelszavát- ez az a jelszó, amelyet néhány perccel ezelőtt hoztál létre, amikor létrehoztad a kulcsodat és nem az útválasztó jelszavát. A router shell betöltődik és kész a parancssorban. Biztos kapcsolatot alakított ki a PuTTY és az otthoni útválasztó között. Most be kell utasítanunk az alkalmazásoknak a PuTTY elérését.
Megjegyzés: Ha egyszerűsíteni szeretné a folyamatot a biztonsági szint kissé csökkenő áron, kulcsparancsot hozhat létre jelszó nélkül, és beállíthatja a PuTTY-t, hogy automatikusan bejelentkezzen a gyökérfiókba (ezt a beállítást a Kapcsolódás -> Adatok -> Automatikus bejelentkezés alatt ). Ez csökkenti a PuTTY kapcsolódási folyamatot az alkalmazás megnyitásával, a profil betöltésével és a Megnyitással.
A böngésző beállítása a PuTTY-hoz való csatlakozáshoz
A bemutató ezen a pontján a kiszolgáló működik, a számítógép hozzá van kapcsolva, és csak egy lépés marad. Meg kell mondania a fontos alkalmazásoknak, hogy a PuTTY-t proxykiszolgálóként használják. Minden olyan alkalmazás, amely támogatja a SOCKS protokollt, kapcsolódhat a PuTTY-hoz - például a Firefoxhoz, a mIRC-hez, a Thunderbird-hez és az uTorrent-hez -, ha nem vagy biztos abban, hogy az alkalmazás támogatja-e a SOCKS-t a beállítási menükben, vagy nézze meg a dokumentációt. Ez egy kritikus elem, amelyet nem szabad figyelmen kívül hagyni: az összes forgalmat nem a PuTTY proxy alapértelmezés szerint irányítja; azt kell csatolni kell a SOCKS szerverhez.Például rendelkezhet olyan böngészővel, ahol bekapcsolta a SOCKS-t és egy webböngészőt, ahol nem ugyanazt a gépet használta - és az egyik titkosítja a forgalmát, és az nem.
A célunk elérése érdekében a webböngészőnket, a Firefox Portable-t szeretnénk biztosítani, ami elég egyszerű. A Firefox konfigurációs folyamata gyakorlatilag minden olyan alkalmazást jelent, amelyre szüksége van a SOCKS információk beillesztéséhez. Indítsa el a Firefoxot és navigáljon Opciók -> Haladó -> Beállítások. Belülről Kapcsolatbeállítások menüben válassza a lehetőséget Kézi proxy konfiguráció és a SOCKS Host plug-in alatt 127.0.0.1- csatlakozik a helyi számítógépen futó PuTTY alkalmazáshoz, így a helyi gazda IP-címét, nem pedig az útválasztó IP-címét kell elhelyeznie, amint Ön eddig minden helyre telepítette. Állítsa be a portot 80, és kattintson a gombra RENDBEN.
Van egy kis apró csípésünk, mielőtt mindannyian be vagyunk állítva. A Firefox alapértelmezés szerint nem indítja el a DNS-kéréseket a proxykiszolgálón keresztül. Ez azt jelenti, hogy a forgalma mindig titkosítva lesz, de valaki, aki összeköti a kapcsolatot, látni fogja minden kérését. Tudni fogják, hogy a Facebook.com vagy a Gmail.com webhelyen tartózkodik, de nem láthatnak másokat. Ha a DNS-kéréseket a SOCKS-n keresztül kívánja átirányítani, be kell kapcsolnia.
típus about: config a címsávban, majd kattintson a "Vigyázni fogok, ígérem!", ha szigorú figyelmeztetést kap arról, hogyan zavarhatja fel a böngészőt. Paszta network.proxy.socks_remote_dns ba,-be Szűrő: majd kattintson a jobb egérgombbal a network.proxy.socks_remote_dns és a pecek azt Igaz. Innentől kezdve mind a böngészés, mind a DNS-kérelmek a SOCKS alagútján keresztül kerülnek elküldésre.
Bár SSH-alapú böngészőnk konfigurálását végezzük, egyszerűen át kívánja kapcsolni a beállításokat. A Firefoxnak van egy praktikus kiterjesztése, a FoxyProxy, amely lehetővé teszi a proxykiszolgálók be- és kikapcsolását. Támogatja az olyan konfigurációs beállításokat, mint például a kapcsolódás a proxyk között az Ön által használt domain alapján, a látogatott webhelyek stb. Ha képesnek kell lennie arra, hogy könnyen és automatikusan kikapcsolja a proxy szolgáltatását attól függően, hogy Ön otthon vagy távolban, például a FoxyProxy fedezi le. A Chrome-felhasználók szeretnék ellenőrizni a Proxy Switchy-ot! hasonló funkcionalitáshoz.
Nézzük meg, hogy minden a terveknek megfelelően működik-e, mi? A dolgok kipróbálásához két böngészőt nyitottunk meg: a bal oldalon látható Chrome (alulról látható), alagút nélkül és a jobb oldalon látható Firefox (a bal oldalon látható) frissen konfigurálva az alagút használatára.
Van tipp vagy trükk a távoli forgalom biztosításához? Használjon SOCKS kiszolgálót / SSH-t egy adott alkalmazással és szereti? Segítségre van szüksége a forgalom titkosításához? Halljuk meg a megjegyzésekben.
