Úvodná » ako » Nastavte SSH na smerovači pre zabezpečený prístup na web odkiaľkoľvek

    Nastavte SSH na smerovači pre zabezpečený prístup na web odkiaľkoľvek

    Pripojenie na internet z hotspotov Wi-Fi, v práci alebo kdekoľvek inde mimo domova vystavuje vaše dáta zbytočným rizikám. Môžete ľahko nakonfigurovať smerovač, aby ste podporili bezpečný tunel a chránili vzdialený prehliadač, aby ste si prečítali, ako sa to dá.

    Čo je a prečo nastaviť bezpečný tunel?

    Možno by ste boli zvedaví, prečo by ste dokonca chceli vytvoriť bezpečný tunel z vašich zariadení do vášho domáceho smerovača a aké výhody budete mať z takého projektu. Ukážme niekoľko rôznych scenárov, ktoré zahŕňajú používanie internetu na ilustráciu výhod zabezpečeného tunelovania.

    Scenár jedna: Nachádzate sa v kaviarni pomocou vášho notebooku na prehliadanie internetu cez bezplatné Wi-Fi pripojenie. Údaje opúšťajú váš Wi-Fi modem, cestujú vzduchom nešifrovaným do uzla Wi-Fi v kaviarni a potom sa posielajú na väčší internet. Počas prenosu z počítača na väčší internet sú vaše dáta otvorené. Ktokoľvek s prístrojom Wi-Fi v danej oblasti môže ňuchať vaše dáta. Je to tak bolestivé, že motivovaný 12-ročný, s notebookom a kópiou Firesheepu, by mohol získať vaše poverenia pre všetky veci. Je to, akoby ste boli v miestnosti naplnenej reproduktormi len anglicky a rozprávali sa v mobilnom telefóne Mandarin Chinese. V okamihu, kedy príde niekto, kto hovorí Mandarin čínština (Wi-Fi sniffer), vaše pseudo súkromie je rozbité.

    Druhý scenár: Nachádzate sa v kaviarni pomocou vášho laptopu, aby ste mohli internet prehliadať znova prostredníctvom bezplatného Wi-Fi pripojenia. Tentokrát ste vytvorili šifrovaný tunel medzi notebookom a domácim smerovačom pomocou SSH. Vaša návštevnosť je smerovaná cez tento tunel priamo z vášho laptopu do vášho domáceho smerovača, ktorý funguje ako proxy server. Toto potrubie je nepriepustné pre črievičky Wi-Fi, ktoré nevidia nič iné ako skomolený tok šifrovaných údajov. Bez ohľadu na to, ako presunuté zariadenie, ako neisté pripojenie Wi-Fi, vaše dáta zostávajú v šifrovanom tuneli a opúšťajú ho len po dosiahnutí domáceho internetového pripojenia a vystupujú z väčšieho internetu.

    V scenári jeden ste surfovanie široko otvorené; v scenári dva sa môžete prihlásiť na svoju banku alebo iné súkromné ​​webové stránky s rovnakou istotou, ktorú by ste získali z vášho domáceho počítača.

    Napriek tomu, že sme v našom príklade použili Wi-Fi, mohli by sme použiť SSH tunel na zabezpečenie pevného pripojenia, napríklad spustiť prehliadač vo vzdialenej sieti a vyraziť cez bránu firewall tak, aby ste mohli voľne surfovať ako pri domácom pripojení.

    Znie to dobre, že? Je to neuveriteľne jednoduché nastavenie, takže nie je žiadny čas, akým je súčasnosť - v priebehu hodiny môžete mať tunel SSH.

    Čo budete potrebovať

    Existuje mnoho spôsobov, ako nastaviť tunel SSH na zabezpečenie prehliadania webu. Pre tento tutoriál sa zameriavame na nastavenie tunela SSH čo najjednoduchším spôsobom s najmenším množstvom rozruchu pre používateľa s domácim smerovačom a počítačmi so systémom Windows. Ak chcete pokračovať spolu s našou výučbou, budete potrebovať nasledovné:

    • Smerovač, na ktorom je spustený firmware Tomato alebo DD-WRT.
    • Klient SSH ako PuTTY.
    • Webový prehliadač kompatibilný s SOCKS, ako je napríklad Firefox.

    Pre nášho sprievodcu budeme používať Tomato, ale pokyny sú takmer identické s pokynmi, ktoré by ste dodržiavali pre DD-WRT, takže ak používate DD-WRT, neváhajte a pokračujte. Ak na smerovači nemáte upravený firmvér, pred spustením si prečítajte náš návod na inštaláciu DD-WRT a Tomato.

    Generovanie kľúčov pre náš šifrovaný tunel

    Hoci by sa mohlo zdať zvláštne skákať priamo do generovania kľúčov predtým, než dokonca nakonfigurujeme SSH server, ak máme pripravené kľúče, budeme môcť nakonfigurovať server v jedinom prechode.

    Prevezmite plný balík PuTTY a extrahujte ho do priečinka podľa vlastného výberu. V priečinku nájdete PUTTYGEN.EXE. Spustite aplikáciu a kliknite na tlačidlo Kľúč -> Vytvoriť pár kľúčov. Zobrazí sa obrazovka podobná tej, ktorá je zobrazená vyššie. presuňte myš okolo, aby ste generovali náhodné údaje pre proces vytvárania kľúčov. Akonáhle proces dokončí vaše PuTTY Key Generator okno by malo vyzerať niečo ako toto; pokračujte a zadajte silné heslo:

    Po prihlásení hesla pokračujte a kliknite na tlačidlo Uložte privátny kľúč. Uložiť výsledný súbor .PPK niekde v bezpečí. Skopírujte a vložte obsah položky "Verejný kľúč na vloženie ..." do dočasného dokumentu TXT.

    Ak plánujete používať viaceré zariadenia so serverom SSH (napríklad prenosný počítač, netbook a inteligentný telefón), musíte vygenerovať páry kľúčov pre každé zariadenie. Pokračujte a vygenerujte heslo a uložte ďalšie dvojice kľúčov, ktoré potrebujete teraz. Uistite sa, že ste skopírovali a vložili každý nový verejný kľúč do dočasného dokumentu.

    Konfigurácia smerovača pre SSH

    Tomato aj DD-WRT majú zabudované servery SSH. To je úžasné z dvoch dôvodov. Po prvé to bolo obrovské bolesti, ktoré telnet do vášho smerovača ručne nainštaloval SSH server a nakonfiguroval ho. Po druhé, pretože používate server SSH vo svojom smerovači (ktorý pravdepodobne spotrebuje menej energie ako žiarovka), nikdy nemusíte opúšťať hlavný počítač iba pre ľahký SSH server.

    Otvorte webový prehliadač na počítači pripojenom k ​​miestnej sieti. Prejdite do webového rozhrania smerovača pre náš router - Linksys WRT54G s Tomatom - adresa je http://192.168.1.1. Prihláste sa do webového rozhrania a prejdite na Správa -> SSH Daemon. Tam musíte skontrolovať oboje Povoliť pri spustení a Vzdialený prístup. Môžete zmeniť vzdialený port, ak si to prajete, ale jediným prínosom je, že to okrajovo obnaží dôvod, prečo je port otvorený, ak vás niekto prevezme. zrušte zaškrtnutie Povoliť prihlasovanie hesla. Nebudeme používať prihlasovacie heslo pre prístup k smerovaču z diaľky, budeme používať pár kľúčov.

    Prilepte verejný kľúč (y), ktorý ste vygenerovali v poslednej časti tutoriálu do Autorizované klávesy box. Každý kľúč by mal byť vlastný záznam oddelený čiarou. Prvá časť kľúča ssh-rsa je veľmi dôležité. Ak ho nezahrniete s každým verejným kľúčom, zobrazia sa na serveri SSH neplatné.

    kliknite Začni teraz a potom prejdite nadol do spodnej časti rozhrania a kliknite na tlačidlo Uložiť. V tomto okamihu je váš SSH server v prevádzke.

    Konfigurácia vzdialeného počítača na prístup k vášmu SSH serveru

    To je miesto, kde kúzlo prebieha. Máte pár kľúčov, server máte spustený, ale nič z toho nemá žiadnu hodnotu, pokiaľ sa nemôžete vzdialene pripojiť z poľa a tunelovať do smerovača. Čas vyplieniť našu spoľahlivú internetovú knihu so systémom Windows 7 a nastaviť funkciu.

    Najskôr skopírujte súbor PuTTY, ktorý ste vytvorili, do iného počítača (alebo ho jednoducho stiahnite a extrahujte znova). Odtiaľ sa všetky pokyny zameriavajú na vzdialený počítač. Ak ste spustili Generátor kľúčov PuTTy na vašom domácom počítači, uistite sa, že ste prešli na váš mobilný počítač počas zvyšku tutoriálu. Skôr než sa usadíte, musíte sa uistiť, že máte kópiu súboru .PPK, ktorý ste vytvorili. Akonáhle máte PuTTy extrahované a .PPK v ruke, sme pripravení pokračovať.

    Spustite PuTTY. Prvá obrazovka, ktorú uvidíte, je zasadania obrazovka. Tu budete musieť zadať IP adresu domáceho internetového pripojenia. Toto nie je IP vášho smerovača na lokálnej sieti LAN, to je IP vášho modemu / smerovača, ako to vidí okolitý svet. Nájdete ho na hlavnej stránke Stav vo webovom rozhraní vášho smerovača. Zmeňte port na 2222 (alebo čo ste nahradili v procese konfigurácie SSH Daemon). Uisti sa Kontroluje sa SSH. Choďte ďalej a zadajte názov vašej relácie aby ste mohli ulož to pre budúce použitie. Sme názvom naše Tomato SSH.

    Navigujte pomocou ľavej tabuľky dole Pripojenie -> Aut. Tu musíte kliknúť na tlačidlo Prehľadávať a vybrať súbor .PPK, ktorý ste uložili a previedli na vzdialené zariadenie.

    V podponuke SSH pokračujte ďalej SSH -> Tunely. Práve tu budeme konfigurovať službu PuTTY, ktorá bude fungovať ako proxy server pre váš mobilný počítač. Skontrolujte obe polia pod Presmerovanie portov. Nižšie, v Pridať nový presmerovaný port , zadajte 80 pre Zdrojový port a IP adresu vášho smerovača pre Destinácia. check auto a dynamický potom kliknite na tlačidlo pridať.

    Dvojitá kontrola toho, či sa položka objavila Presmerované porty box. Prejdite späť Sessions a kliknite na tlačidlo Uložiť znova pre uloženie všetkých konfiguračných prác. Teraz kliknite na tlačidlo Otvorené. PuTTY spustí terminálové okno. Na tomto mieste môžete dostať upozornenie, ktoré naznačuje, že kľúč servera hostiteľa nie je v registri. Pokračujte a potvrďte, že dôverujete hostiteľovi. Ak sa o to obávate, môžete porovnať reťazec odtlačkov prstov, ktorý vám dáva vo varovnej správe s odtlačkom prstov kľúča, ktorý ste vygenerovali vložením do PuTTY Key Generator. Keď otvoríte súbor PuTTY a kliknete na upozornenie, zobrazí sa obrazovka, ktorá vyzerá takto:

    Na termináli budete musieť urobiť len dve veci. Typ prihlasovacieho riadku koreň. Pri výzve na zadanie hesla zadajte heslo kľúča RSA-toto je heslo, ktoré ste vytvorili pred niekoľkými minútami, keď ste vygenerovali kľúč a nie heslo vášho smerovača. Obálka smerovača sa načíta a skončíte na príkazovom riadku. Vytvorili ste zabezpečené spojenie medzi PuTTY a domácim smerovačom. Teraz musíme vaše aplikácie poučiť, ako pristupovať k PuTTY.

    Poznámka: Ak chcete proces zjednodušiť za cenu mierne zníženia bezpečnosti, môžete vygenerovať kľúčovú zónu bez hesla a nastaviť PuTTY na automatické prihlásenie do koreňového konta (toto prepojenie môžete prepínať pod položkou Connect -> Data -> Auto Login ). Tým sa znižuje proces pripojenia PuTTY jednoduchým otvorením aplikácie, načítaním profilu a kliknutím na tlačidlo Otvoriť.

    Konfigurácia prehliadača na pripojenie k PuTTY

    V tomto okamihu v príručke váš server je spustený, váš počítač je k nemu pripojený a zostáva len jeden krok. Musíte povedať dôležitým aplikáciám používať PuTTY ako proxy server. Každá aplikácia, ktorá podporuje protokol SOCKS, môže byť prepojená s protokolmi PuTTY, napríklad Firefox, mIRC, Thunderbird a uTorrent, aby ste uviedli niekoľko - ak si nie ste istí, či aplikácia podporuje SOCKS v ponukách možností alebo v dokumentácii. Toto je kritický prvok, ktorý by sa nemal prehliadať: celá vaša návštevnosť nie je v predvolenom nastavení smerovaná cez server PuTTY proxy; to musieť pripojiť k serveru SOCKS. Mohli by ste napríklad mať webový prehliadač, v ktorom ste zapli SOCKS a webový prehliadač, kde ste neboli - obaja na tom istom počítači - a jeden by šifroval vašu návštevnosť a jeden by.

    Pre naše účely chceme zabezpečiť náš webový prehliadač Firefox Portable, ktorý je dosť jednoduchý. Proces konfigurácie Firefoxu prekladá prakticky akúkoľvek aplikáciu, ktorú potrebujete na pripojenie informácií SOCKS. Spustite Firefox a prejdite na Možnosti -> Rozšírené -> Nastavenia. Z vnútra Nastavenia pripojenia vyberte položku Manuálna konfigurácia servera proxy a pod hostiteľom SOCKS Host 127.0.0.1-sa pripájate k aplikácii PuTTY spustenej na vašom lokálnom počítači, takže musíte dať miestnu IP hostiteľa, nie IP adresu vášho smerovača tak, ako ste dali do doterajších slotov. Nastavte port na 80, a kliknite na tlačidlo OK.

    Máme jeden maličký malý nápad, ktorý sa použije predtým, ako budeme všetci nastavení. Firefox štandardne neprenáša žiadosti DNS cez proxy server. To znamená, že vaša návštevnosť bude vždy šifrovaná, ale niekto, kto snoopuje spojenie, uvidí všetky vaše požiadavky. Vedeli by, že ste boli na Facebook.com alebo Gmail.com, ale nebudú môcť vidieť nič iné. Ak sa chcete presunúť vaše žiadosti DNS cez SOCKS, budete ho musieť zapnúť.

    typ about: config v paneli s adresou a potom kliknite na tlačidlo "Budu opatrný, sľubujem!", ak dostanete prísne upozornenie na to, ako môžete skomplikovať prehliadač. pasta network.proxy.socks_remote_dns do Filter: a kliknite pravým tlačidlom myši na položku pre sieť.proxy.socks_remote_dns a toggle to to pravdivý. Odtiaľ sa budú odosielať aj vaše prehliadanie a vaše požiadavky DNS cez tunel SOCKS.

    Hoci konfigurujeme náš prehliadač SSH-all-time, možno budete chcieť jednoducho prepnúť nastavenia. Firefox má praktické rozšírenie FoxyProxy, ktoré umožňuje jednoduché prepínanie a zapínanie vašich proxy serverov. Podporuje veľa možností konfigurácie, ako je prepínanie medzi proxy servermi na základe domény, ktorú navštevujete, stránky, ktoré navštevujete atď. Ak chcete byť schopní ľahko a automaticky vypnúť svoju proxy službu na základe toho, či ste doma alebo preč, napríklad FoxyProxy ste sa vzťahuje. Používatelia Chrome si budú chcieť vyskúšať Proxy Switchy! pre podobné funkcie.

    Pozrime sa, či všetko funguje podľa plánu, či nie? Ak chcete otestovať veci, otvorili sme dva prehliadače: Chrome (vidieť na ľavej strane) bez tunela a Firefox (vidieť vpravo) čerstvo nakonfigurovaný na použitie tunelu.

    Vľavo vidíme adresu IP uzla Wi-Fi, ku ktorému sa pripájame, a vpravo, s láskavým dovolením tunelu SSH, vidíme adresu IP vzdialeného smerovača. Celá návštevnosť prehliadača Firefox sa smeruje cez server SSH. Úspech!


    Máte tip alebo trik na zabezpečenie vzdialenej prevádzky? Používajte SOCKS server / SSH s konkrétnou aplikáciou a milujete ju? Potrebujete pomoc pri zisťovaní, ako šifrovať vašu návštevnosť? Pozrime sa na to v komentároch.