Konfigurer SSH på ruteren for sikker webtilgang fra hvor som helst
Koble til internett fra Wi-Fi-hotspots, på jobb eller andre steder hjemmefra, utsetter dataene for unødvendige farer. Du kan enkelt konfigurere ruteren din for å støtte en sikker tunnel og skjerm trafikken til fjernnettleseren, les videre for å se hvordan.
Hva er og hvorfor sette opp en sikker tunnel?
Det kan hende du er nysgjerrig på hvorfor du selv vil sette opp en sikker tunnel fra enhetene til hjemmestyreren din og hvilke fordeler du vil høste fra et slikt prosjekt. La oss legge ut et par forskjellige scenarier som innebærer at du bruker internett for å illustrere fordelene med sikker tunneling.
Scenario en: Du er på en kaffebar som bruker den bærbare datamaskinen til å surfe på Internett via sin gratis Wi-Fi-tilkobling. Data forlater Wi-Fi-modemet, reiser gjennom luften ukryptert til Wi-Fi-noden i kaffebaren, og sendes videre til det større Internett. Under overføringen fra datamaskinen til det større Internett er dataene dine åpne. Alle med en Wi-Fi-enhet i området kan snuse dataene dine. Det er så smertelig enkelt at en motivert 12 år gammel med en bærbar datamaskin og en kopi av Firesheep kan kaste opp legitimasjonene dine for alle slags ting. Det er som om du er i et rom fylt med engelsktalende høyttalere, og snakker i en telefonspråklig Mandarin kinesisk. Øyeblikket som noen som snakker Mandarin-kinesisk kommer inn (Wi-Fi-snifferen) er ditt pseudo-personvern ødelagt.
Scenario to: Du er på en kaffebar som bruker din bærbare datamaskin til å bla gjennom internett via sin gratis Wi-Fi-tilkobling igjen. Denne gangen har du opprettet en kryptert tunnel mellom din bærbare og hjemmestyreren din ved hjelp av SSH. Din trafikk blir dirigert gjennom denne tunnelen direkte fra din bærbare til din hjemmevirksomhet som fungerer som en proxy-server. Denne rørledningen er ugjennomtrengelig for Wi-Fi sniffere som bare ville se en forstyrret strøm av krypterte data. Uansett hvor skarpt etableringen, hvor usikker Wi-Fi-forbindelsen, dine data forblir i kryptert tunnel, og bare forlater det når den har nådd Internett-tilkoblingen din og går ut til det større Internett.
I scenario ett surfer du stort åpent; i scenario to kan du logge inn på din bank eller andre private nettsider med samme tillit du vil fra din hjemmedatamaskin.
Selv om vi brukte Wi-Fi i vårt eksempel, kan du bruke SSH-tunnelen for å sikre en hardlinetilkobling for å si at du starter en nettleser på et eksternt nettverk og slår et hull gjennom brannmuren for å surfe så fritt som du ville på hjemmeforbindelsen din.
Høres bra, ikke sant? Det er utrolig enkelt å sette opp, så det er ingen tid som nåtiden. Du kan få din SSH-tunnel oppe i løpet av en time.
Hva du trenger
Det er mange måter å sette opp en SSH-tunnel for å sikre nettleseren din. For denne opplæringen fokuserer vi på å sette opp en SSH-tunnel på den enkleste måten, med minst mulig oppstyr for en bruker med hjemmekobling og Windows-baserte maskiner. For å følge med vår veiledning trenger du følgende ting:
- En ruter som kjører tomaten eller DD-WRT modifisert fastvare.
- En SSH-klient som PuTTY.
- En SOCKS-kompatibel nettleser som Firefox.
For vår guide bruker vi Tomat, men instruksjonene er nesten identiske med de du ville følge for DD-WRT, så hvis du kjører DD-WRT, følg fri til å følge med. Hvis du ikke har endret fastvare på ruteren, kan du se vår guide for å installere DD-WRT og Tomat før du fortsetter.
Genererer nøkler for vår krypterte tunnel
Selv om det kan virke rart å hoppe rett til å generere nøklene før vi selv konfigurerer SSH-serveren, hvis vi har nøklene klar, kan vi konfigurere serveren i et enkelt pass.
Last ned hele PuTTY-pakken og pakk den ut til en mappe etter eget valg. I mappen finner du PUTTYGEN.EXE. Start programmet og klikk Nøkkel -> Generer nøkkelpar. Du ser en skjerm som ligner den som er vist ovenfor; flytt musen din for å generere tilfeldige data for nøkkelopprettingsprosessen. Når prosessen er ferdig, bør PuTTY Key Generator-vinduet se noe ut som dette; gå videre og skriv inn et sterkt passord:
Når du har plugget inn et passord, fortsett og klikk Lagre privat nøkkel. Stash den resulterende .PPK-filen et sted trygt. Kopier og lim inn innholdet i "Public key for pasteing ..." -boksen i et midlertidig TXT-dokument for nå.
Hvis du planlegger å bruke flere enheter med SSH-serveren (for eksempel en bærbar PC, en netbook og en smarttelefon), må du generere nøkkelpar for hver enhet. Gå videre og generer, passord, og lagre de ekstra nøkkelparene du trenger nå. Pass på at du kopierer og limer inn hver ny offentlig nøkkel i ditt midlertidige dokument.
Konfigurere ruteren for SSH
Både Tomat og DD-WRT har innebygde SSH-servere. Dette er fantastisk av to grunner. For det første pleide det å være en stor smerte å telnet inn i ruteren din for å manuelt installere en SSH-server og konfigurere den. For det andre, fordi du kjører SSH-serveren på ruteren din (som sannsynligvis bruker mindre strøm enn en lyspære), trenger du aldri å forlate hoveddatamaskinen din bare for en lett SSH-server.
Åpne en nettleser på en maskin som er koblet til ditt lokale nettverk. Naviger til nettgrensesnittet til ruteren, for ruteren vår - en Linksys WRT54G som kjører tomaten - adressen er http://192.168.1.1. Logg inn på webgrensesnittet og naviger til Administrasjon -> SSH Daemon. Der må du sjekke begge deler Aktiver ved oppstart og Fjerntilgang. Du kan endre den eksterne porten hvis du ønsker, men den eneste fordelen ved å gjøre det er at det marginalt forvirrer grunnen til at porten er åpen hvis noen port søker etter deg. Fjern merkingen Tillat passordlogging. Vi vil ikke bruke et passordlogg for å få tilgang til ruteren langt fra, vi bruker et nøkkelpar.
Lim inn publiseringsnøkkelen du genererte i den siste delen av opplæringen i Autoriserte nøkler eske. Hver nøkkel skal være sin egen oppføring, skilt av en linjeskift. Den første delen av nøkkelen ssh-rsa er veldig viktig. Hvis du ikke inkluderer den med hver offentlig nøkkel, vil de vises ugyldig til SSH-serveren.
Klikk Start nå og deretter bla ned til bunnen av grensesnittet og klikk Lagre. På dette tidspunktet er SSH-serveren oppe.
Konfigurere din ekstern datamaskin for å få tilgang til SSH-serveren
Det er her den magien skjer. Du har et nøkkelpar, du har en server oppe, men ingen av det er av noen verdi, med mindre du kan eksternt koble fra feltet og tunnelen inn i ruteren din. Tid til å kaste ut vår troverdige nettbok som kjører Windows 7 og satt på jobb.
Først må du kopiere den PuTTY-mappen du opprettet til den andre datamaskinen din (eller bare laste ned og ekstraher den igjen). Herfra er alle instruksjonene fokusert på den eksterne datamaskinen. Hvis du kjørte PuTTy Key Generator på hjemmedatamaskinen, må du passe på din mobile datamaskin for resten av opplæringen. Før du bosetter deg, må du også sørge for at du har en kopi av .PPK-filen du opprettet. Når du har hentet PuTTy og .PPK i hånden, er vi klare til å fortsette.
Start PuTTY. Den første skjermen du vil se er Økt skjerm. Her må du angi IP-adressen til Internett-tilkoblingen din. Dette er ikke IP-adressen til ruteren din på lokalt LAN, dette er IP-adressen til modemet ditt / ruteren, sett av omverdenen. Du kan finne det ved å se på hovedstatussiden i ruterenes webgrensesnitt. Bytt port til 2222 (eller hva du erstattet i SSH Daemon konfigurasjonsprosessen). Forsikre SSH er sjekket. Gå videre og gi økten et navn slik at du kan lagre det for fremtidig bruk. Vi heter vår tomat SSH.
Naviger, via den venstre ruten, ned til Tilkobling -> Auth. Her må du klikke Bla gjennom-knappen og velge .PPK-filen du lagret og overført til din eksterne maskin.
Mens du er i undermenyen SSH, fortsett du ned til SSH -> Tunneler. Det er her vi skal konfigurere PuTTY til å fungere som proxy server for din mobile datamaskin. Sjekk begge boksene under Port videresending. Nedenfor, i Legg til ny videresendt port delen, skriv inn 80 for Kildeport og IP-adressen til ruteren din for Mål. Kryss av Auto og dynamisk klikk deretter Legg til.
Dobbeltklikke på at en oppføring har dukket opp i Forwarded Ports eske. Naviger tilbake Sessions delen og klikk Lagre igjen for å lagre alt konfigurasjonsarbeidet ditt. Klikk nå Åpen. PuTTY vil starte et terminalvindu. Du kan få en advarsel på dette tidspunktet som angir at serverens vertsnøkkel ikke er i registeret. Gå videre og bekreft at du stoler på verten. Hvis du er bekymret for det, kan du sammenligne fingeravtrykkstrengen det gir deg i varselmeldingen med fingeravtrykk av nøkkelen du genererte ved å laste den opp i PuTTY Key Generator. Når du har åpnet PuTTY og klikket gjennom advarselen, bør du se en skjerm som ser slik ut:
På terminalen trenger du bare å gjøre to ting. Ved innloggingsprompt typen rot. Ved passordfrasen skriv inn ditt RSA-nøkkelord-Dette er passordet du opprettet for noen minutter siden da du genererte nøkkelen og ikke ruteren din. Ruteren skal lastes, og du er ferdig på ledeteksten. Du har dannet en sikker forbindelse mellom PuTTY og hjemmestyreren din. Nå må vi instruere applikasjonene dine hvordan du får tilgang til PuTTY.
Merk: Hvis du vil forenkle prosessen til en pris for å redusere sikkerheten din, kan du generere et tastatur uten et passord og angi PuTTY for å logge på root-kontoen automatisk (du kan bytte denne innstillingen under Koble -> Data -> Automatisk pålogging ). Dette reduserer PuTTY-tilkoblingsprosessen for å bare åpne appen, laste inn profilen og klikke på Åpne.
Konfigurere nettleseren din for å koble til PuTTY
På dette tidspunktet i opplæringen din serveren er oppe, er datamaskinen din koblet til den, og bare ett trinn gjenstår. Du må fortelle viktige applikasjoner å bruke PuTTY som en proxy-server. Enhver applikasjon som støtter SOCKS-protokollen kan kobles til PuTTY-som Firefox, mIRC, Thunderbird og uTorrent, for å nevne noen - hvis du er usikker på om et program støtter SOCKS, graver rundt i alternativmenyene eller konsulter dokumentasjonen. Dette er et kritisk element som ikke bør overses: all trafikk blir ikke sendt via PuTTY-proxy som standard; den må bli festet til SOCKS-serveren. Du kan for eksempel ha en nettleser hvor du slått på SOCKS og en nettleser hvor du ikke hadde det samme på samme maskin, og man ville kryptere trafikken din, og man ville ikke.
For våre formål ønsker vi å sikre vår nettleser, Firefox Portable, som er enkel nok. Konfigurasjonsprosessen for Firefox oversetter til praktisk talt alle programmer du må plugge inn SOCKS-informasjon for. Start Firefox og naviger til Valg -> Avansert -> Innstillinger. Fra innsiden av Tilkoblingsinnstillinger menyen, velg Manuell proxy konfigurasjon og under SOCKS Host-pluggen 127.0.0.1-du kobler til PuTTY-programmet som kjører på din lokale datamaskin, så du må sette den lokale verts-IP-en, ikke IP-adressen til ruteren din, slik du har satt inn i hvert spor så langt. Sett porten til 80, og klikk OK.
Vi har en liten liten tweak å søke før vi er ferdig. Firefox, som standard, ringer ikke DNS-forespørsler via proxy-serveren. Dette betyr at trafikken din alltid blir kryptert, men noen som snooping tilkoblingen vil se alle dine forespørsler. De ville vite at du var på Facebook.com eller Gmail.com, men de ville ikke kunne se noe annet. Hvis du vil rute dine DNS-forespørsler gjennom SOCKS, må du slå den på.
Type about: config i adressefeltet, og klikk deretter på "Jeg vil være forsiktig, jeg lover!" hvis du får en streng advarsel om hvordan du kan skru opp nettleseren din. Lim inn network.proxy.socks_remote_dns inn i det Filter: boksen og deretter høyreklikk på oppføringen for network.proxy.socks_remote_dns og Veksle det også ekte. Herfra vil både surfing og DNS-forespørsler sendes gjennom SOCKS-tunnelen.
Selv om vi konfigurerer nettleseren for SSH-all-time, kan det hende du ønsker å enkelt bytte inn innstillingene dine. Firefox har en praktisk utvidelse, FoxyProxy, som gjør det super enkelt å bytte proxy-servere på og av. Den støtter tonnevis av konfigurasjonsalternativer som bytter mellom proxyer basert på domenet du er på, nettstedene du besøker, etc. Hvis du vil kunne enkelt og automatisk slå proxy-tjenesten av basert på om du er på hjemme eller unna, for eksempel har FoxyProxy dekket deg. Chrome-brukere vil sjekke ut Proxy Switchy! for lignende funksjonalitet.
La oss se om alt fungerte som planlagt, skal vi? For å teste ut ting, åpnet vi to nettlesere: Chrome (sett til venstre) uten tunnel og Firefox (sett til høyre) ferskt konfigurert til å bruke tunnelen.
Til venstre ser vi IP-adressen til Wi-Fi-noden vi kobler til og til høyre, med SSH-tunnelen vår, vi ser IP-adressen til vår fjerne router. All Firefox-trafikk blir dirigert via SSH-serveren. Suksess!
Har du tips eller triks for å sikre ekstern trafikk? Bruk en SOCKS server / SSH med en bestemt app og elsk det? Trenger du hjelp til å finne ut hvordan du krypterer trafikken din? La oss høre om det i kommentarene.