Att ansluta till internet från Wi-Fi-hotspots, på jobbet eller någon annanstans hemifrån utsätter din data för onödiga risker. Du kan enkelt konfigurera din router för att stödja en säker tunnel och skydda din webbläsartrafik - läs vidare för att se hur.
Vad är och varför ställa in en säker tunnel?
Du kanske är nyfiken på varför du ens skulle vilja ställa in en säker tunnel från dina enheter till din hemrouter och vilka fördelar du skulle få med ett sådant projekt. Låt oss lägga upp ett par olika scenarier som innebär att du använder internet för att illustrera fördelarna med säker tunnling.
Scenario ett: Du är på ett kafé som använder din bärbara dator för att surfa på internet via deras gratis Wi-Fi-anslutning. Data lämnar ditt Wi-Fi-modem, reser okrypterat genom luften till Wi-Fi-noden i kaféet och skickas sedan vidare till det större internet. Under överföringen från din dator till det större internet är dina data öppna. Alla som har en Wi-Fi-enhet i området kan sniffa dina data. Det är så smärtsamt enkelt att en motiverad 12-åring med en bärbar dator och en kopia av Eldfår kan fånga dina uppgifter för alla slags saker. Det är som om du befinner dig i ett rum fyllt med engelska-högtalare och pratar i en telefon som talar mandarin-kinesiska. I det ögonblick någon som talar mandarin kinesiska kommer in (Wi-Fi-snifferen) är din pseudo-integritet krossad.
Scenario två: Du är på ett kafé som använder din bärbara dator för att surfa på internet via deras gratis Wi-Fi-anslutning igen. Den här gången har du skapat en krypterad tunnel mellan din bärbara dator och din hemrouter med hjälp av SSH. Din trafik dirigeras genom denna tunnel direkt från din bärbara dator till din hemrouter som fungerar som en proxyserver. Denna pipeline är ogenomtränglig för Wi-Fi-sniffare som inte ser något annat än en förvrängd ström av krypterad data. Oavsett hur skiftande anläggningen, hur osäker Wi-Fi-anslutningen, dina data stannar kvar i den krypterade tunneln och lämnar den bara när den har nått din heminternetanslutning och går ut till större internet.
I scenario ett surfar du vidöppen; i scenario två kan du logga in på din bank eller andra privata webbplatser med samma förtroende som du skulle göra från din hemdator.
Även om vi använde Wi-Fi i vårt exempel kan du använda SSH-tunneln för att säkra en hårdlinjeförbindelse till, säg, starta en webbläsare i ett fjärranätverk och slå ett hål genom brandväggen för att surfa så fritt som du skulle göra på din hemanslutning.
Låter bra, eller hur? Det är otroligt enkelt att installera så det finns ingen tid som nuet - du kan ha din SSH-tunnel igång inom en timme.
Vad du behöver
Det finns många sätt att ställa in en SSH-tunnel för att säkra din surfning. För den här handledningen fokuserar vi på att sätta upp en SSH-tunnel på enklast möjliga sätt med minst möjlig krångel för en användare med en hemrouter och Windows-baserade maskiner. För att följa med vår handledning behöver du följande saker:
- En router som kör Tomat eller DD-WRT modifierad firmware.
- En SSH-klient som Spackel .
- En SOCKS-kompatibel webbläsare som Firefox .
För vår guide använder vi Tomato men instruktionerna är nästan identiska med de som du skulle följa för DD-WRT, så om du kör DD-WRT är du välkommen att följa med. Om du inte har modifierad firmware på din router, kolla in den vår guide för installation av DD-WRT och Tomat innan fortsättning.
Generera nycklar för vår krypterade tunnel
Även om det kan verka konstigt att hoppa rätt för att generera nycklarna innan vi ens konfigurerar SSH-servern, om vi har nycklarna redo kan vi konfigurera servern i ett enda pass.
Ladda ner fullt PuTTY-paket och extrahera den till en mapp du väljer. Inuti mappen hittar du PUTTYGEN.EXE. Starta applikationen och klicka Nyckel -> Skapa nyckelpar . Du ser en skärm som liknar den som visas ovan; flytta musen runt för att generera slumpmässiga data för nyckel skapande processen. När processen är klar bör ditt PuTTY Key Generator-fönster se ut så här; fortsätt och ange ett starkt lösenord:
När du har anslutit ett lösenord går du vidare och klickar Spara privat nyckel . Stash den resulterande .PPK-filen någonstans säker. Kopiera och klistra in innehållet i rutan "Offentlig nyckel för att klistra in ..." i ett tillfälligt TXT-dokument för tillfället.
Om du planerar att använda flera enheter med din SSH-server (som en bärbar dator, en netbook och en smartphone) måste du skapa nyckelpar för varje enhet. Fortsätt och skapa, lösenord och spara de extra nyckelpar du behöver nu. Se till att du kopierar och klistrar in varje ny offentlig nyckel i ditt tillfälliga dokument.
Konfigurera din router för SSH
Både Tomato och DD-WRT har inbyggda SSH-servrar. Det här är fantastiskt av två skäl. Först brukade det vara en enorm smärta att telneta in i din router för att manuellt installera en SSH-server och konfigurera den. För det andra, eftersom du kör din SSH-server på din router (som sannolikt förbrukar mindre ström än en glödlampa), behöver du aldrig lämna din huvuddator på bara för en lätt SSH-server.
Öppna en webbläsare på en maskin som är ansluten till ditt lokala nätverk. Navigera till din routers webbgränssnitt, för vår router - en Linksys WRT54G som kör Tomato - adressen är http://192.168.1.1 . Logga in på webbgränssnittet och navigera till Administration -> SSH Daemon . Där måste du kontrollera båda Aktivera vid start och Fjärråtkomst . Du kan ändra fjärrporten om du vill, men den enda fördelen med att göra det är att den marginellt döljer anledningen till att porten är öppen om någon port skannar dig. Avmarkera Tillåt inloggning med lösenord . Vi kommer inte att använda en lösenordsinloggning för att komma åt routern på långt håll, vi kommer att använda ett nyckelpar.
Klistra in den eller de offentliga nycklarna som du genererade i den sista delen av självstudien i Authorized_keys låda. Varje nyckel ska vara sin egen inmatning åtskild av en radbrytning. Den första delen av nyckeln ssh-rsa är mycket Viktig. Om du inte tar med den för varje offentlig nyckel visas de ogiltiga för SSH-servern.
Klick Börja nu och rulla sedan ner till botten av gränssnittet och klicka Spara . Vid denna tidpunkt är din SSH-server igång.
Konfigurera din fjärrdator för åtkomst till din SSH-server
Det är här magin händer. Du har ett nyckelpar, du har en server igång, men inget av det har något värde om du inte kan fjärransluta från fältet och tunnel till din router. Dags att släppa ut vår pålitliga nätbok som kör Windows 7 och sätta igång.
Kopiera först den PuTTY-mappen du skapade till din andra dator (eller helt enkelt ladda ner och extrahera det igen). Härifrån är alla instruktioner fokuserade på din fjärrdator. Om du körde PuTTy Key Generator på din hemdator, se till att du har bytt till din mobila dator under resten av handledningen. Innan du löser dig måste du också se till att du har en kopia av .PPK-filen du skapade. När du har extraherat PuTTy och .PPK i handen är vi redo att fortsätta.
Starta PuTTY. Den första skärmen du ser är Session skärm. Här måste du ange IP-adressen till din heminternetanslutning. Det här är inte din routers IP på det lokala nätverket, detta är IP: n för ditt modem / router sett av omvärlden. Du hittar den genom att titta på huvudsidan i routerns webbgränssnitt. Ändra porten till 2222 (eller vad du än ersatte i konfigurationsprocessen för SSH Daemon). Se till SSH är markerat . Fortsätt och ge din session ett namn så att du kan spara det för framtida användning. Vi titeln vårt Tomat SSH.
Navigera, via den vänstra rutan, ner till Anslutning -> Auth . Här måste du klicka på Bläddra-knappen och välja .PPK-filen som du har sparat och överfört till din fjärrmaskin.
I SSH-undermenyn fortsätter du ner till SSH -> tunnlar . Det är här vi ska konfigurera PuTTY för att fungera som proxyserver för din mobila dator. Markera båda rutorna under Port Forwarding . Nedan, i Lägg till ny vidarebefordrad port avsnitt 80, ange 80 för Källport och IP-adressen till din router för Destination . Kontrollera Bil och Dynamisk Klicka sedan Lägg till .
Dubbelkolla att en post har dykt upp i Vidarebefordrade hamnar låda. Navigera tillbaka Sessioner avsnittet och klicka Spara igen för att spara allt konfigurationsarbete. Klicka nu Öppna . PuTTY startar ett terminalfönster. Du kan få en varning vid denna tidpunkt som indikerar att serverns värdnyckel inte finns i registret. Fortsätt och bekräfta att du litar på värden. Om du är orolig för det kan du jämföra fingeravtryckssträngen som det ger dig i varningsmeddelandet med fingeravtrycket för den nyckel du genererade genom att ladda upp den i PuTTY Key Generator. När du har öppnat PuTTY och klickat igenom varningen ska du se en skärm som ser ut så här:
Vid terminalen behöver du bara göra två saker. Skriv inloggningsprompten rot . Vid lösenordsfrågan ange ditt RSA-nyckelord —Detta är lösenordet du skapade för några minuter sedan när du genererade din nyckel och inte routerns lösenord. Routerskalet laddas och du är klar vid kommandotolken. Du har skapat en säker anslutning mellan PuTTY och din hemrouter. Nu måste vi instruera dina applikationer hur du får tillgång till PuTTY.
Obs: Om du vill förenkla processen till priset för att något minska din säkerhet kan du skapa ett tangentbord utan lösenord och ställa in PuTTY för att automatiskt logga in på rotkontot (du kan växla denna inställning under Anslut -> Data -> Autoinloggning ). Detta minskar PuTTY-anslutningsprocessen till att helt enkelt öppna appen, ladda profilen och klicka på Öppna.
Konfigurera din webbläsare för att ansluta till PuTTY
Vid denna tidpunkt i självstudien är din server igång, din dator är ansluten till den och det återstår bara ett steg. Du måste tala om för de viktiga applikationerna att använda PuTTY som proxyserver. Alla applikationer som stöder STRUMPOR protokoll kan länkas till PuTTY - som Firefox, mIRC, Thunderbird och uTorrent, för att nämna några - om du är osäker på om ett program stöder SOCKS gräva runt i alternativmenyerna eller läs dokumentationen. Detta är ett kritiskt element som inte bör förbises: all din trafik dirigeras inte via PuTTY-proxyen som standard. Det måste kopplas till SOCKS-servern. Du kan till exempel ha en webbläsare där du aktiverade SOCKS och en webbläsare där du inte gjorde det - båda på samma maskin - och en skulle kryptera din trafik och en inte.
För våra ändamål vill vi säkra vår webbläsare, Firefox Portable, vilket är enkelt nog. Konfigurationsprocessen för Firefox översätts till praktiskt taget alla applikationer som du behöver ansluta SOCKS-information för. Starta Firefox och navigera till Alternativ -> Avancerat -> Inställningar . Inifrån Anslutningsinställningar menyn, välj Manuell proxykonfiguration och under SOCKS Host plug-in 127.0.0.1 —Du ansluter till PuTTY-applikationen som körs på din lokala dator så du måste ange den lokala värd-IP: n, inte IP-adressen för din router som du har lagt i varje kortplats hittills. Ställ in porten på 80 och klicka OK.
Vi har en liten liten tweak att applicera innan vi är klara. Firefox dirigerar som standard inte DNS-förfrågningar via proxyservern. Det betyder att din trafik alltid kommer att krypteras men någon som snoopar anslutningen ser alla dina förfrågningar. De skulle veta att du var på Facebook.com eller Gmail.com men de kunde inte se något annat. Om du vill dirigera dina DNS-förfrågningar genom SOCKS måste du aktivera den.
Typ om: config i adressfältet och klicka sedan på "Jag ska vara försiktig, jag lovar!" om du får en sträng varning om hur du kan skruva upp din webbläsare. Klistra network.proxy.socks_remote_dns in i Filtrera: rutan och högerklicka sedan på posten för network.proxy.socks_remote_dns och Växla det till Sann . Härifrån kommer både din surfning och dina DNS-förfrågningar att skickas via SOCKS-tunneln.
Även om vi konfigurerar vår webbläsare för SSH hela tiden, kanske du enkelt vill växla mellan dina inställningar. Firefox har ett praktiskt tillägg, FoxyProxy , det gör det super lätt att slå på och av dina proxyservrar. Den stöder massor av konfigurationsalternativ som att växla mellan proxyservrar baserat på domänen du är på, webbplatser du besöker etc. Om du vill kunna enkelt och automatiskt stänga av din proxytjänst baserat på om du är på hemma eller borta, till exempel har FoxyProxy dig täckt. Chrome-användare vill kolla in Proxy Switchy! för liknande funktionalitet.
Låt oss se om allt fungerade som planerat, eller hur? För att testa saker öppnade vi två webbläsare: Chrome (sett till vänster) utan tunnel och Firefox (sett till höger) nykonfigurerade för att använda tunneln.
Till vänster ser vi IP-adressen till Wi-Fi-noden som vi ansluter till och till höger, med tillstånd av vår SSH-tunnel, ser vi IP-adressen till vår avlägsna router. All Firefox-trafik dirigeras via SSH-servern. Framgång!
Har du ett tips eller trick för att säkra fjärrtrafik? Använd en SOCKS-server / SSH med en viss app och älskar den? Behöver du hjälp med att ta reda på hur du krypterar din trafik? Låt oss höra om det i kommentarerna.
