Hva er og hvorfor sette opp en sikker tunnel?
Det kan hende du er nysgjerrig på hvorfor du selv vil sette opp en sikker tunnel fra enhetene til hjemmestyreren din og hvilke fordeler du vil høste fra et slikt prosjekt. La oss legge ut et par forskjellige scenarier som innebærer at du bruker internett for å illustrere fordelene med sikker tunneling.
Scenario 1: Du er på en kaffebar som bruker den bærbare datamaskinen til å surfe på Internett via sin gratis Wi-Fi-tilkobling. Data forlater Wi-Fi-modemet, beveger seg gjennom luften ukryptert til Wi-Fi-noden i kaffebaren, og sendes videre til større internett. Under overføringen fra datamaskinen til det større Internett er dataene dine åpne. Alle med en Wi-Fi-enhet i området kan snuse dataene dine. Det er så smertelig enkelt at en motivert 12 år gammel med en bærbar datamaskin og en kopi av Firesheep kunne kaste opp legitimasjonene dine for alle slags ting. Det er som om du er i et rom fylt med engelsktalende høyttalere, og snakker i en telefonspråklig Mandarin kinesisk. Øyeblikket som noen som snakker Mandarin-kinesisk kommer inn (Wi-Fi-snifferen) er ditt pseudo-personvern ødelagt.
Scenario to: Du er på en kaffebar som bruker din bærbare datamaskin til å bla gjennom internett via sin gratis Wi-Fi-forbindelse igjen. Denne gangen har du opprettet en kryptert tunnel mellom din bærbare og hjemmestyreren din ved hjelp av SSH. Din trafikk blir dirigert gjennom denne tunnelen direkte fra din bærbare til din hjemmevirksomhet som fungerer som en proxy-server. Denne rørledningen er ugjennomtrengelig for Wi-Fi-sniffere som bare vil se en ødelagt strøm av krypterte data. Uansett hvor skikkelig etableringen, hvor usikker Wi-Fi-forbindelsen, dine data forblir i kryptert tunnel, og bare etterlater den når den har nådd Internett-tilkoblingen din og går ut på det større Internett.
I scenario ett surfer du bredt i scenario to kan du logge inn på din bank eller andre private nettsteder med samme tillit du vil fra din hjemme-datamaskin.
Selv om vi brukte Wi-Fi i vårt eksempel, kunne du bruke SSH-tunnelen til å sikre en hardlinetilkobling for å si, starte en nettleser på et eksternt nettverk og slå et hull gjennom brannmuren for å surfe så fritt som du ville ha hjemmeforbindelsen din.
Høres bra, ikke sant? Det er utrolig enkelt å sette opp, så det er ingen tid som nåtiden. Du kan få din SSH-tunnel oppe i løpet av en time.
Hva du trenger
- En ruter som kjører tomaten eller DD-WRT-modifisert fastvare.
- En SSH klient som PuTTY.
- En SOCKS-kompatibel nettleser som Firefox.
For vår guide bruker vi Tomat, men instruksjonene er nesten identiske med de du vil følge for DD-WRT, så hvis du kjører DD-WRT, følg fri til å følge med. Hvis du ikke har endret fastvare på ruteren, kan du se vår guide for å installere DD-WRT og Tomat før du fortsetter.
Genererer nøkler for vår krypterte tunnel
Last ned hele PuTTY-pakken og pakk den ut til en mappe av ditt valg. I mappen finner du PUTTYGEN.EXE. Start programmet og klikk Nøkkel -> Generer nøkkelpar. Du ser en skjerm som ligner den som er vist ovenfor; flytt musen din for å generere tilfeldige data for nøkkelopprettingsprosessen. Når prosessen er ferdig, bør PuTTY Key Generator-vinduet se noe slikt ut; gå videre og skriv inn et sterkt passord:
Når du har plugget inn et passord, fortsett og klikk Lagre privat nøkkel. Stash den resulterende.PPK-filen et sted trygt. Kopier og lim inn innholdet i "Public key for pasteing …" -boksen i et midlertidig TXT-dokument for nå.
Hvis du planlegger å bruke flere enheter med SSH-serveren din (for eksempel en bærbar datamaskin, en netbook og en smarttelefon), må du generere nøkkelpar for hver enhet. Gå videre og generer, passord, og lagre de ekstra nøkkelparene du trenger nå. Pass på at du kopierer og limer inn hver ny offentlig nøkkel i ditt midlertidige dokument.
Konfigurere ruteren for SSH
Både Tomat og DD-WRT har innebygde SSH-servere. Dette er fantastisk av to grunner. For det første pleide det å være en stor smerte å telnet inn i ruteren din for å manuelt installere en SSH-server og konfigurere den. For det andre, fordi du kjører SSH-serveren på ruteren din (som sannsynligvis bruker mindre strøm enn en lyspære), trenger du aldri å forlate hoveddatamaskinen din bare for en lett SSH-server.
Åpne en nettleser på en maskin som er koblet til ditt lokale nettverk.Naviger til webgrensesnittet til ruteren, for ruteren vår - en Linksys WRT54G som kjører tomaten - adressen er https://192.168.1.1. Logg inn på webgrensesnittet og naviger til Administrasjon -> SSH Daemon. Der må du sjekke begge deler Aktiver ved oppstart og Fjerntilgang. Du kan endre den eksterne porten hvis du ønsker, men den eneste fordelen ved å gjøre det er at det marginalt forvirrer årsaken til at porten er åpen hvis noen port søker etter deg. Fjern merkingen Tillat passordlogging. Vi vil ikke bruke et passordlogg for å få tilgang til ruteren langt unna, vi vil bruke et nøkkelpar.
Lim inn publiseringsnøkkelene du genererte i den siste delen av opplæringen i Autoriserte nøkler eske. Hver nøkkel skal være sin egen oppføring, skilt av en linjeskift. Den første delen av nøkkelen ssh-rsa er veldig viktig. Hvis du ikke inkluderer den med hver offentlige nøkkel, vil de vises ugyldig til SSH-serveren.
Klikk Start nå og deretter bla ned til bunnen av grensesnittet og klikk Lagre. På dette tidspunktet er SSH-serveren oppe.
Konfigurere din eksterne datamaskin for å få tilgang til SSH-serveren
Det er her den magien skjer. Du har et nøkkelpar, du har en server oppe, men ingen av det er av noen verdi, med mindre du er i stand til eksternt å koble fra feltet og tunnelen inn i ruteren din. Tid til å kaste ut vår troverdige nettbok som kjører Windows 7 og satt på jobb.
Først kopier du PuTTY-mappen du opprettet til den andre datamaskinen din (eller bare last ned og ekstraher den igjen). Herfra er alle instruksjonene fokusert på den eksterne datamaskinen. Hvis du kjørte PuTTy Key Generator på hjemmedatamaskinen, må du passe på din mobile datamaskin for resten av opplæringen. Før du bosetter deg, må du også sørge for at du har en kopi av.PPK-filen du opprettet. Når du har hentet PuTTy og.PPK i hånden, er vi klare til å fortsette.
Start PuTTY. Den første skjermen du vil se er Økt skjerm. Her må du angi IP-adressen til Internett-tilkoblingen din. Dette er ikke IP-adressen til ruteren din på lokalt LAN, dette er IP-adressen til modemet ditt / ruteren, sett av omverdenen. Du kan finne det ved å se på hovedstatussiden i ruterenes webgrensesnitt. Bytt port til 2222 (eller hva du erstattet i SSH Daemon konfigurasjonsprosessen). Forsikre SSH er sjekket. Gå videre og gi økten et navn slik at du kan lagre det for fremtidig bruk. Vi heter vår tomat SSH.
Naviger, via venstre rute, ned til Tilkobling -> Auth. Her må du klikke på Browse-knappen og velge.PPK-filen du lagret og overført til din eksterne maskin.
Mens du er i undermenyen SSH, fortsett du ned til SSH -> Tunneler. Det er her vi skal konfigurere PuTTY til å fungere som proxy server for din mobile datamaskin. Sjekk begge boksene under Port videresending. Nedenfor, i Legg til ny videresendt port delen, skriv inn 80 for Kildeport og IP-adressen til ruteren din for Mål. Kryss av Auto og dynamisk klikk deretter Legg til.
Dobbeltklikk på at en oppføring har dukket opp i Forwarded Ports eske. Naviger tilbake Sessions delen og klikk Lagre igjen for å lagre alt konfigurasjonsarbeidet ditt. Klikk nå Åpen. PuTTY vil starte et terminalvindu. Du kan få en advarsel på dette tidspunktet som angir at serverens vertsnøkkel ikke er i registeret. Gå videre og bekreft at du stoler på verten. Hvis du er bekymret for det, kan du sammenligne fingeravtrykkstrengen det gir deg i varselsmeldingen med fingeravtrykk av nøkkelen du genererte ved å laste den opp i PuTTY Key Generator. Når du har åpnet PuTTY og klikket gjennom advarselen, bør du se en skjerm som ser slik ut:
På terminalen trenger du bare å gjøre to ting. Ved innloggingsprompten type rot. Ved passordfrasen skriv inn ditt RSA-nøkkelord-Det er passordet du opprettet for noen minutter siden da du genererte nøkkelen og ikke ruteren din. Ruteren skal lastes, og du er ferdig på ledeteksten. Du har dannet en sikker forbindelse mellom PuTTY og hjemmestyreren din. Nå må vi instruere dine applikasjoner hvordan du får tilgang til PuTTY.
Merk: Hvis du vil forenkle prosessen til en pris for å redusere sikkerheten din, kan du generere et tastatur uten et passord og angi PuTTY for å logge på root-kontoen automatisk (du kan bytte denne innstillingen under Koble -> Data -> Automatisk pålogging ). Dette reduserer PuTTY-tilkoblingsprosessen for å bare åpne appen, laste inn profilen og klikke på Åpne.
Konfigurere nettleseren din for å koble til PuTTY
På dette tidspunktet i opplæringen din serveren er oppe, er datamaskinen din koblet til den, og bare ett trinn gjenstår. Du må fortelle viktige applikasjoner å bruke PuTTY som en proxy-server. Enhver applikasjon som støtter SOCKS-protokollen kan kobles til PuTTY, som Firefox, mIRC, Thunderbird og uTorrent, for å nevne noen - hvis du er usikker på om et program støtter SOCKS, graver rundt i alternativmenyene eller konsulter dokumentasjonen. Dette er et kritisk element som ikke bør overses: all trafikken din blir ikke dirigert gjennom PuTTY-proxyen som standard; den må bli festet til SOCKS-serveren.Du kan for eksempel ha en nettleser hvor du slått på SOCKS og en nettleser hvor du ikke gjorde begge på samme maskin, og man ville kryptere trafikken din, og man ville ikke.
For våre formål ønsker vi å sikre vår nettleser, Firefox Portable, som er enkel nok. Konfigurasjonsprosessen for Firefox oversetter til praktisk talt alle programmer du må plugge inn SOCKS-informasjon for. Start Firefox og naviger til Valg -> Avansert -> Innstillinger. Fra innsiden av Tilkoblingsinnstillinger menyen, velg Manuell proxy konfigurasjon og under SOCKS Host-pluggen 127.0.0.1- Du kobler til PuTTY-programmet som kjører på din lokale datamaskin, så du må sette den lokale verts-IP-adressen, ikke IP-adressen til ruteren din, slik du har satt inn i hvert spor til nå. Sett porten til 80, og klikk OK.
Vi har en liten liten tweak å søke før vi er ferdig. Firefox, som standard, ringer ikke DNS-forespørsler via proxy-serveren. Dette betyr at trafikken din alltid vil bli kryptert, men noen som snooping tilkoblingen vil se alle dine forespørsler. De ville vite at du var på Facebook.com eller Gmail.com, men de ville ikke kunne se noe annet. Hvis du vil rute dine DNS-forespørsler gjennom SOCKS, må du slå den på.
Type about: config i adressefeltet, og klikk deretter "Jeg vil være forsiktig, jeg lover!" hvis du får en streng advarsel om hvordan du kan skru opp nettleseren din. Lim inn network.proxy.socks_remote_dns inn i det Filter: boksen og deretter høyreklikk på oppføringen for network.proxy.socks_remote_dns og Veksle det også ekte. Herfra vil både surfing og DNS-forespørsler sendes gjennom SOCKS-tunnelen.
Selv om vi konfigurerer nettleseren for SSH-all-time, kan det hende du ønsker å enkelt bytte inn innstillingene dine. Firefox har en praktisk utvidelse, FoxyProxy, som gjør det super enkelt å bytte proxy-servere på og av. Den støtter tonnevis av konfigurasjonsalternativer som bytter mellom proxyer basert på domenet du er på, nettstedene du besøker, etc. Hvis du vil kunne enkelt og automatisk slå proxy-tjenesten av basert på om du er på hjemme eller borte, for eksempel har FoxyProxy dekket deg. Chrome-brukere vil sjekke ut Proxy Switchy! for lignende funksjonalitet.
La oss se om alt fungerte som planlagt, skal vi? For å teste ut ting, åpnet vi to nettlesere: Chrome (sett til venstre) uten tunnel og Firefox (sett til høyre) ny konfigurert til å bruke tunnelen.
Har du tips eller triks for å sikre ekstern trafikk? Bruk en SOCKS server / SSH med en bestemt app og elsk det? Trenger du hjelp til å finne ut hvordan du krypterer trafikken din? La oss høre om det i kommentarene.
