At oprette forbindelse til internettet fra Wi-Fi-hotspots, på arbejdspladsen eller andre steder væk fra hjemmet udsætter dine data for unødvendige risici. Du kan nemt konfigurere din router til at understøtte en sikker tunnel og beskytte din eksterne browsertrafik - læs videre for at se hvordan.
Hvad er og hvorfor oprette en sikker tunnel?
Du kan være nysgerrig over, hvorfor du endda vil oprette en sikker tunnel fra dine enheder til din hjemrouter, og hvilke fordele du ville høste af et sådant projekt. Lad os lægge et par forskellige scenarier, der involverer dig i at bruge internettet til at illustrere fordelene ved sikker tunneling.
Scenarie et: Du er på en kaffebar, der bruger din bærbare computer til at surfe på internettet via deres gratis Wi-Fi-forbindelse. Data efterlader dit Wi-Fi-modem, kører gennem luften ukrypteret til Wi-Fi-noden i kaffebaren og sendes derefter videre til det større internet. Under overførslen fra din computer til det større internet er dine data vidt åbne. Enhver med en Wi-Fi-enhed i området kan snuse dine data. Det er så smertefuldt let, at en motiveret 12-årig med en bærbar computer og en kopi af Brandsfår kunne snuppe dine legitimationsoplysninger til alle mulige ting. Det er som om du er i et rum fyldt med kun engelsktalende og taler ind i en telefon, der taler mandarin-kinesisk. I det øjeblik nogen, der taler mandarin-kinesisk, kommer ind (Wi-Fi-snifferen) er dit pseudo-privatliv knust.
Scenarie to: Du er på en kaffebar, der bruger din bærbare computer til at surfe på Internettet via deres gratis Wi-Fi-forbindelse igen. Denne gang har du oprettet en krypteret tunnel mellem din bærbare computer og din hjemmerouter ved hjælp af SSH. Din trafik dirigeres gennem denne tunnel direkte fra din bærbare computer til din hjemmerouter, der fungerer som en proxyserver. Denne rørledning er uigennemtrængelig for Wi-Fi-sniffere, der ikke ser andet end en forvrænget strøm af krypterede data. Uanset hvor skiftende virksomheden, hvor usikker Wi-Fi-forbindelsen, forbliver dine data i den krypterede tunnel og efterlader den først, når den har nået din hjemme-internetforbindelse og går ud til det større internet.
I scenarie et surfer du vidt åbent; i scenarie to kan du logge ind på din bank eller andre private websteder med den samme tillid som du ville have fra din hjemmecomputer.
Selvom vi brugte Wi-Fi i vores eksempel, kunne du bruge SSH-tunnelen til at sikre en hardlineforbindelse til f.eks. Starte en browser på et fjernt netværk og slå et hul gennem firewallen for at surfe så frit som du ville gjort på din hjemmeforbindelse.
Det lyder godt, ikke? Det er utroligt let at konfigurere, så der er ingen tid som nutiden - du kan have din SSH-tunnel i gang inden for en time.
Hvad du har brug for
Der er mange måder at opsætte en SSH-tunnel for at sikre din browsing. Til denne vejledning fokuserer vi på at oprette en SSH-tunnel på den nemmest mulige måde med mindst mulig besvær for en bruger med en hjemme-router og Windows-baserede maskiner. For at følge med vores vejledning har du brug for følgende ting:
- En router, der kører Tomat eller DD-WRT modificeret firmware.
- En SSH-klient som PUTTY .
- En SOCKS-kompatibel webbrowser som Firefox .
Til vores guide bruger vi Tomato, men instruktionerne er næsten identiske med dem, du vil følge for DD-WRT, så hvis du kører DD-WRT, er du velkommen til at følge med. Hvis du ikke har ændret firmware på din router, skal du tjekke ud vores guide til installation af DD-WRT og Tomat inden du fortsætter.
Generering af nøgler til vores krypterede tunnel
Selvom det kan virke underligt at hoppe lige til at generere nøglerne, før vi endda konfigurerer SSH-serveren, hvis vi har tasterne klar, vil vi være i stand til at konfigurere serveren i et enkelt pass.
Download fuld PuTTY-pakke og pak det ud i en mappe efter eget valg. Inde i mappen finder du PUTTYGEN.EXE. Start applikationen, og klik Nøgle -> Generer nøglepar . Du får vist en skærm, der ligner den, der er afbildet ovenfor; flyt musen rundt for at generere tilfældige data til nøgleoprettelsesprocessen. Når processen er afsluttet, skal dit PuTTY Key Generator-vindue se sådan ud; gå videre og indtast en stærk adgangskode:
Når du har tilsluttet en adgangskode, skal du fortsætte og klikke Gem privat nøgle . Stash den resulterende .PPK-fil et eller andet sted sikkert. Kopier og indsæt indholdet af feltet "Offentlig nøgle til at indsætte ..." i et midlertidigt TXT-dokument indtil videre.
Hvis du planlægger at bruge flere enheder med din SSH-server (såsom en bærbar computer, en netbook og en smartphone), skal du generere nøglepar til hver enhed. Fortsæt og generer, adgangskode, og gem de ekstra nøglepar, du har brug for nu. Sørg for at kopiere og indsætte hver nye offentlige nøgle i dit midlertidige dokument.
Konfiguration af din router til SSH
Både Tomato og DD-WRT har indbyggede SSH-servere. Dette er fantastisk af to grunde. For det første plejede det at være en stor smerte at telnet ind i din router for manuelt at installere en SSH-server og konfigurere den. For det andet, fordi du kører din SSH-server på din router (som sandsynligvis bruger mindre strøm end en pære), behøver du aldrig lade din hovedcomputer være tændt kun for en let SSH-server.
Åbn en webbrowser på en maskine, der er tilsluttet dit lokale netværk. Naviger til webgrænsefladen på din router, for vores router - en Linksys WRT54G, der kører Tomat - adressen er http://192.168.1.1 . Log ind på webgrænsefladen, og naviger til Administration -> SSH Daemon . Der skal du kontrollere begge dele Aktivér ved opstart og Fjernadgang . Du kan ændre fjernporten, hvis du ønsker det, men den eneste fordel ved at gøre det er, at det marginalt tilslører grunden til, at porten er åben, hvis nogen port scanner dig. Fjern markeringen Tillad adgangskode login . Vi bruger ikke et password-login for at få adgang til routeren langt væk, vi bruger et nøglepar.
Indsæt den eller de offentlige nøgler, du genererede i den sidste del af selvstudiet, i Autoriserede_taster boks. Hver nøgle skal være sin egen post adskilt af et linjeskift. Den første del af nøglen ssh-rsa er meget vigtig. Hvis du ikke inkluderer det med hver offentlig nøgle, vises de ugyldige for SSH-serveren.
Klik på Start nu og rul derefter ned til bunden af grænsefladen, og klik Gemme . På dette tidspunkt er din SSH-server kørende.
Konfiguration af din fjerncomputer til at få adgang til din SSH-server
Det er her, magien sker. Du har et nøglepar, du har en server i gang, men intet af det har nogen værdi, medmindre du er i stand til at oprette forbindelse fra marken og tunnel til din router eksternt. Tid til at bryde ud af vores troværdige netbog, der kører Windows 7 og sætte i gang.
Kopier først den PuTTY-mappe, du oprettede, til din anden computer (eller simpelthen Hent og træk det ud igen). Herfra er alle instruktioner fokuseret på din fjerncomputer. Hvis du kørte PuTTy Key Generator på din hjemmecomputer, skal du sørge for at have skiftet til din mobile computer resten af vejledningen. Før du afregner, skal du også sikre dig, at du har en kopi af .PPK-filen, du oprettede. Når du har ekstraheret PuTTy og .PPK i hånden, er vi klar til at fortsætte.
Start PuTTY. Den første skærm, du ser, er Session skærm. Her skal du indtaste IP-adressen på din hjemme-internetforbindelse. Dette er ikke din routers IP på det lokale LAN, dette er din modems / routers IP, set fra omverdenen. Du kan finde det ved at kigge på hovedsidesiden i din routers webgrænseflade. Skift porten til 2222 (eller hvad du end har erstattet i SSH Daemon-konfigurationsprocessen). Sørge for at SSH er markeret . Gå videre og Giv din session et navn så du kan Gem det til fremtidig brug. Vi titlerede vores Tomat SSH.
Naviger via den venstre rude ned til Forbindelse -> Auth . Her skal du klikke på knappen Gennemse og vælge .PPK-filen, du har gemt og overført til din eksterne maskine.
Mens du er i SSH-undermenuen, skal du fortsætte ned til SSH -> tunneler . Det er her, vi skal konfigurere PuTTY til at fungere som proxyserver til din mobile computer. Marker begge felter under Portvideresendelse . Nedenfor i Tilføj ny videresendt port sektion, indtast 80 for Kildeport og IP-adressen på din router til Bestemmelsessted . Kontrollere Auto og Dynamisk klik derefter på Tilføje .
Dobbelttjek, at der er vist en post i Videresendte porte boks. Naviger tilbage til Sessioner sektion og klik Gemme igen for at gemme alt dit konfigurationsarbejde. Klik nu Åben . PuTTY starter et terminalvindue. Du får muligvis en advarsel på dette tidspunkt om, at serverens værtsnøgle ikke er i registreringsdatabasen. Gå videre og bekræft, at du stoler på værten. Hvis du er bekymret for det, kan du sammenligne den fingeraftryksstreng, den giver dig i advarselsmeddelelsen, med fingeraftrykket på den nøgle, du genererede ved at indlæse den i PuTTY Key Generator. Når du har åbnet PuTTY og klikket gennem advarslen, skal du se en skærm, der ser sådan ud:
Ved terminalen skal du kun gøre to ting. Ved loginprompten type rod . Ved adgangskode-prompt indtast din adgangskode til RSA-nøglering —Det er den adgangskode, du oprettede for et par minutter siden, da du genererede din nøgle og ikke din routers adgangskode. Routerskallen indlæses, og du er færdig med kommandoprompten. Du har oprettet en sikker forbindelse mellem PuTTY og din hjemmerouter. Nu skal vi instruere dine applikationer, hvordan du får adgang til PuTTY.
Bemærk: Hvis du ønsker at forenkle processen til en pris, der mindsker din sikkerhed lidt, kan du generere et tastaturpar uden adgangskode og indstille PuTTY til automatisk at logge ind på rodkontoen (du kan skifte denne indstilling under Opret forbindelse -> Data -> Automatisk login ). Dette reducerer PuTTY-forbindelsesprocessen til blot at åbne appen, indlæse profilen og klikke på Åbn.
Konfiguration af din browser til at oprette forbindelse til PuTTY
På dette tidspunkt i selvstudiet er din server i gang, din computer er forbundet til den, og der er kun et trin tilbage. Du skal fortælle de vigtige applikationer at bruge PuTTY som en proxyserver. Enhver applikation, der understøtter SOKKER protokol kan linkes til PuTTY - som Firefox, mIRC, Thunderbird og uTorrent, for at nævne nogle få - hvis du er usikker på, om et program understøtter SOCKS, kan du grave rundt i indstillingsmenuerne eller se dokumentationen. Dette er et kritisk element, der ikke bør overses: al din trafik dirigeres ikke gennem PuTTY-proxyen som standard; det skal være knyttet til SOCKS-serveren. Du kunne for eksempel have en webbrowser, hvor du aktiverede SOCKS, og en webbrowser, hvor du ikke gjorde det - begge på samme maskine - og en ville kryptere din trafik, og en ikke ville.
Til vores formål ønsker vi at sikre vores webbrowser, Firefox Portable, som er enkel nok. Konfigurationsprocessen for Firefox oversættes til praktisk talt ethvert program, du skal tilslutte SOCKS-oplysninger til. Start Firefox, og naviger til Indstillinger -> Avanceret -> Indstillinger . Indefra Forbindelsesindstillinger menu, vælg Manuel proxy-konfiguration og under SOCKS Host plug-in 127.0.0.1 —Du opretter forbindelse til PuTTY-applikationen, der kører på din lokale computer, så du skal placere den lokale værts-IP, ikke IP-adressen på din router, som du hidtil har lagt i hvert slot. Indstil porten til 80 og klik på OKAY.
Vi har en lille lille tweak, der skal anvendes, før vi er klar. Firefox dirigerer som standard ikke DNS-anmodninger gennem proxyserveren. Dette betyder, at din trafik altid vil være krypteret, men nogen, der snyder forbindelsen, vil se alle dine anmodninger. De ville vide, at du var på Facebook.com eller Gmail.com, men de kunne ikke se noget andet. Hvis du vil rute dine DNS-anmodninger gennem SOCKS, skal du aktivere den.
Type om: config i adresselinjen, og klik derefter på "Jeg skal være forsigtig, jeg lover!" hvis du får en streng advarsel om, hvordan du kan skrue din browser op. sæt ind netværk.proxy.socks_remote_dns ind i Filter: boks og højreklik derefter på posten for network.proxy.socks_remote_dns og Skift det til Rigtigt . Herfra sendes både din browsing og dine DNS-anmodninger gennem SOCKS-tunnelen.
Selvom vi konfigurerer vores browser til SSH-hele tiden, kan du muligvis nemt skifte dine indstillinger. Firefox har en praktisk udvidelse, FoxyProxy , det gør det super nemt at slå dine proxyservere til og fra. Det understøtter masser af konfigurationsindstillinger som at skifte mellem fuldmagter baseret på det domæne, du er på, de websteder, du besøger osv. Hvis du vil være i stand til nemt og automatisk at slå din proxytjeneste fra, afhængigt af om du er på hjemme eller væk, for eksempel har FoxyProxy dig dækket. Chrome-brugere vil gerne tjekke ud Proxy Switchy! til lignende funktionalitet.
Lad os se, om alt fungerede som planlagt, skal vi? For at teste tingene åbnede vi to browsere: Chrome (set til venstre) uden tunnel og Firefox (set til højre) frisk konfigureret til at bruge tunnelen.
Til venstre ser vi IP-adressen til den Wi-Fi-knude, vi opretter forbindelse til, og til højre, takket være vores SSH-tunnel, ser vi IP-adressen på vores fjerne router. Al Firefox-trafik dirigeres gennem SSH-serveren. Succes!
Har du et tip eller et trick til at sikre fjerntrafik? Brug en SOCKS-server / SSH med en bestemt app og elsker det? Brug for hjælp til at finde ud af, hvordan du krypterer din trafik? Lad os høre om det i kommentarerne.
