If-Koubou

Configurați SSH pe routerul dvs. pentru acces securizat de pe Web de oriunde

Configurați SSH pe routerul dvs. pentru acces securizat de pe Web de oriunde (Cum să)

Conectarea la internet de la hotspot-uri Wi-Fi, la locul de muncă sau oriunde altundeva departe de casă, vă expune datele la riscuri inutile. Puteți configura cu ușurință routerul pentru a susține un tunel securizat și a proteja browserul de la distanță pentru a vedea cum.

Ce este și de ce să configurați un tunel securizat?

S-ar putea să fiți curios de ce ați dori chiar să configurați un tunel securizat de pe dispozitivele dvs. la routerul dvs. de acasă și ce beneficii să beneficiați de un astfel de proiect. Să prezentăm câteva scenarii diferite care vă implică folosirea internetului pentru a ilustra beneficiile tunelului securizat.

Scenariul 1: Sunteți la o cafenea care utilizează laptopul pentru a naviga pe internet prin conexiunea gratuită Wi-Fi. Datele ies din modemul Wi-Fi, călătoresc prin aer necriptat la nodul Wi-Fi din cafenea și apoi sunt transmise pe internet mai mare. În timpul transmisiei de la computerul dvs. la internetul mai mare, datele dvs. sunt foarte deschise. Oricine are un dispozitiv Wi-Fi în zonă vă poate mișca datele. Este atat de dureros ca o persoana motivata de 12 ani, cu un laptop si o copie a Firesheep, sa-ti smulga acreditarile pentru toate lucrurile. E ca și cum ai fi într-o cameră plină cu difuzoare numai în limba engleză, vorbind într-un telefon vorbind Mandarin chinez. În momentul în care vine cineva care vorbește chineză Mandarin (Wi-Fi sniffer), pseudo-confidențialitatea ta este zdruncinată.

Scenariul doi: Sunteți la o cafenea care utilizează laptopul pentru a naviga pe internet prin conexiunea gratuită Wi-Fi din nou. De data aceasta ați stabilit un tunel criptat între laptop și router-ul de acasă folosind SSH. Traficul dvs. este direcționat prin acest tunel direct de pe laptop spre routerul dvs. de acasă, care funcționează ca server proxy. Această conductă este impenetrabilă pentru snifferii Wi-Fi care nu ar vedea decât un flux de date criptate. Indiferent cât de repede este situația, cât de nesigură este conexiunea Wi-Fi, datele dvs. rămân în tunelul criptat și o părăsesc numai după ce au ajuns la conexiunea dvs. de internet la domiciliu și au ieșit la internet mai mare.

În scenariul 1, navigați pe larg; în scenariul doi, vă puteți conecta la banca dvs. sau la alte site-uri web private cu aceeași încredere pe care ați avea-o de la computerul de acasă.

Deși am folosit Wi-Fi în exemplul nostru, ați putea folosi tunelul SSH pentru a vă asigura o conexiune tare, de exemplu, lansarea unui browser într-o rețea la distanță și punerea unei găuri prin firewall pentru a naviga la fel de liber ca și în cazul conexiunii la domiciliu.

Sună bine nu-i așa? Este incredibil de ușor de configurat, astfel încât nu există timp ca prezentul - puteți avea tunelul SSH să funcționeze în decurs de o oră.

Ce ai nevoie

Există mai multe moduri de a configura un tunel SSH pentru a vă asigura navigarea pe web. Pentru acest tutorial ne concentrăm pe configurarea unui tunel SSH în cel mai simplu mod posibil, cu cea mai mică cantitate de agitație pentru un utilizator cu un router acasă și mașini bazate pe Windows. Pentru a urmări împreună cu tutorialul nostru veți avea nevoie de următoarele lucruri:

  • Un router care rulează firmware-ul modificat Tomato sau DD-WRT.
  • Un client SSH ca PuTTY.
  • Un browser Web compatibil SOCKS, cum ar fi Firefox.

Pentru ghidul nostru vom folosi Tomato, dar instrucțiunile sunt aproape identice cu cele pe care le urmați pentru DD-WRT, așa că dacă rulați DD-WRT nu ezitați să urmați. Dacă nu aveți firmware modificat pe router, consultați ghidul nostru pentru instalarea DD-WRT și Tomato înainte de a continua.

Generarea de chei pentru tunelul nostru criptat

Deși s-ar părea ciudat să sari direct la generarea cheilor înainte de a configura chiar serverul SSH, dacă avem cheile gata, vom putea configura serverul într-o singură trecere.

Descărcați pachetul complet PuTTY și extrageți-l într-un dosar la alegere. În interiorul dosarului veți găsi PUTTYGEN.EXE. Lansați aplicația și dați clic pe Cheie -> Generați perechea de chei. Veți vedea un ecran asemănător cu cel prezentat mai sus; deplasați mouse-ul în jurul pentru a genera date aleatorii pentru procesul de creare a cheilor. Odată ce procesul a terminat, fereastra Generatorului de chei PuTTY ar trebui să arate așa; mergeți mai departe și introduceți o parolă puternică:

Odată ce ați conectat o parolă, continuați și faceți clic pe Salvați cheia privată. Stash fișierul .PPK rezultatul undeva în condiții de siguranță. Copiați și inserați conținutul casetei "Cheie publică pentru lipire ..." într-un document temporar TXT pentru moment.

Dacă intenționați să utilizați mai multe dispozitive cu serverul SSH (cum ar fi un laptop, un netbook și un smartphone), trebuie să generați perechi de chei pentru fiecare dispozitiv. Continuați și generați parola și salvați perechile de chei suplimentare de care aveți nevoie acum. Asigurați-vă că copiați și inserați fiecare nouă cheie publică în documentul dvs. temporar.

Configurarea Router-ului pentru SSH

Atât Tomato, cât și DD-WRT au servere SSH încorporate. Acest lucru este minunat din două motive. În primul rând, obișnuia să fie o mare durere pentru telnet în routerul dvs. pentru a instala manual un server SSH și a-l configura. În al doilea rând, pentru că rulați serverul SSH pe router (care probabil consumă mai puțină energie decât un bec), nu trebuie să părăsiți computerul principal doar pentru un server SSH ușor.

Deschideți un browser web pe o mașină conectată la rețeaua locală. Navigați la interfața web a routerului, pentru ruterul nostru - un Linksys WRT54G care rulează Tomato - adresa este http://192.168.1.1. Conectați-vă la interfața web și navigați la Administrare -> Daemon SSH. Trebuie să verificați amândouă Activați la pornire și Acces de la distanță. Aveți posibilitatea să schimbați portul la distanță dacă doriți, dar singurul beneficiu pentru a face acest lucru este faptul că marchează marginal motivul pentru care portul este deschis dacă cineva portul vă scanează. Debifați Permiteți conectarea parolei. Nu vom folosi o parolă pentru a accesa ruterul de la distanță, vom folosi o pereche de chei.

Lipiți cheia publică (ele) pe care ați generat-o în ultima parte a tutorialului în Cheile autorizate cutie. Fiecare cheie trebuie să fie o intrare separată separată printr-o rupere de linie. Prima porțiune a cheii ssh-rsa este foarte important. Dacă nu îl includeți cu fiecare cheie publică, acesta va apărea nevalid la serverul SSH.

Clic Începe acum apoi derulați în jos până la partea de jos a interfeței și faceți clic pe Salvați. În acest moment, serverul SSH funcționează.

Configurarea computerului de la distanță pentru a accesa serverul SSH

Aici se petrece magia. Aveți o pereche de chei, aveți un server în desfășurare, dar niciunul nu are nicio valoare decât dacă sunteți capabil să vă conectați de la distanță și să vă conectați la router. Este timpul să bustăm cartea noastră netă de încredere, care rulează Windows 7 și se pregătește să funcționeze.

În primul rând, copiați directorul PuTTY pe care l-ați creat la celălalt computer (sau pur și simplu îl descărcați și extrageți din nou). De aici, toate instrucțiunile sunt focalizate pe calculatorul dvs. la distanță. Dacă ați executat Generatorul de chei PuTTy de pe computerul de acasă, asigurați-vă că ați trecut la calculatorul dvs. mobil pentru restul tutorialului. Înainte de a vă stabili, va trebui să vă asigurați că aveți o copie a fișierului .PPK pe care l-ați creat. Odată ce ați extras PuTTy și ați înlăturat PPPK, suntem gata să continuăm.

Lansați PuTTY. Primul ecran pe care îl veți vedea este Sesiune ecran. Aici va trebui să introduceți adresa IP a conexiunii dvs. de internet la domiciliu. Aceasta nu este IP-ul router-ului dvs. în LAN-ul local, acesta este IP-ul modemului / router-ului dvs., așa cum este văzut de lumea exterioară. O puteți găsi vizionând pagina principală de stare din interfața web a routerului. Schimbați portul la 2222 (sau orice ați înlocuit în procesul de configurare a daemonului SSH). Asigura-te Se verifică SSH. Dă-i drumul și dați sesiunii dvs. un nume ca tu să poți Salvați-l pentru utilizare ulterioară. Ne-am intitulat Tomate SSH.

Navigați, prin panoul din stânga, până la Conexiune -> Aut. Aici trebuie să faceți clic pe butonul Răsfoire și să selectați fișierul .PPK pe care l-ați salvat și adăugat la aparatul dvs. de la distanță.

În submeniul SSH, continuați până la SSH -> Tunele. Aici vom configura PuTTY pentru a funcționa ca server proxy pentru calculatorul dvs. mobil. Bifați ambele casete sub Port forwarding. Mai jos, în Adăugați un nou port redirecționat secțiune, introduceți 80 pentru Portul sursă și adresa IP a routerului dvs. pentru Destinaţie. Verifica Auto și Dinamic apoi apasa Adăuga.

Verificați dublu că o înregistrare a apărut în Porturi redirecționate cutie. Navigați înapoi sesiuni secțiune și faceți clic pe Salvați din nou pentru a salva toate lucrările de configurare. Acum faceți clic pe Deschis. PuTTY va lansa o fereastră terminală. Este posibil să primiți un avertisment la acest punct indicând faptul că cheia gazdă a serverului nu se află în registru. Mergeți și confirmați că aveți încredere în gazdă. Dacă vă faceți griji, puteți compara șirul de amprente pe care îl oferă în mesajul de avertizare cu amprenta de pe tasta pe care ați generat-o încărcându-o în PuTTY Key Generator. Odată ce ați deschis PuTTY și ați făcut clic pe avertizare, ar trebui să vedeți un ecran care arată astfel:

La terminal veți avea nevoie doar de două lucruri. La tipul de prompt de conectare rădăcină. La solicitarea expresiei de acces introduceți parola pentru cheia RSA- aceasta este parola pe care ați creat-o acum câteva minute când ați generat cheia și nu parola routerului. Carcasa routerului se va încărca și ați terminat la promptul de comandă. Ați format o conexiune sigură între PuTTY și routerul de acasă. Acum trebuie să instruim aplicațiile dvs. cum să accesați PuTTY.

Notă: Dacă doriți să simplificați procesul la prețul scăderii ușoare a securității, puteți genera o cheie de cheie fără o parolă și setați PuTTY pentru a vă conecta automat la contul rădăcină (puteți comuta această setare sub Conectare -> Date -> Login automat ). Acest lucru reduce procesul de conectare PuTTY la deschiderea pur și simplu a aplicației, încărcarea profilului și făcând clic pe Deschidere.

Configurarea browserului dvs. pentru conectarea la PuTTY

În acest moment, în tutorialul pe care îl are serverul dvs., este conectat computerul dvs. și rămâne un singur pas. Trebuie să spuneți aplicațiilor importante să utilizați PuTTY ca server proxy. Orice aplicație care acceptă protocolul SOCKS poate fi legată de PuTTY - cum ar fi Firefox, mIRC, Thunderbird și uTorrent, pentru a numi câteva - dacă nu sunteți sigur dacă o aplicație acceptă SOCKS dig în jurul meniurilor de opțiuni sau consultați documentația. Acesta este un element critic care nu ar trebui să fie trecut cu vederea: tot traficul dvs. nu este redirecționat prin proxy-ul PuTTY în mod implicit; aceasta trebuie sa fi atașat la serverul SOCKS. Ați putea, de exemplu, să aveți un browser web în care ați activat SOCKS și un browser web în care nu ați - pe ambele mașini - și unul ar cripta traficul și nu s-ar întâmpla.

Pentru scopurile noastre vrem să asigurăm browserul nostru web, Firefox Portable, care este destul de simplu. Procesul de configurare pentru Firefox se traduce în aproape orice aplicație de care aveți nevoie pentru a conecta informațiile SOCKS. Lansați Firefox și navigați la Opțiuni -> Avansat -> Setări. Din interiorul Setări de conectare meniu, selectați Configurare manuală proxy și sub SOCKS Host plug in 127.0.0.1- conectați-vă la aplicația PuTTY care rulează pe computerul local, deci trebuie să puneți IP-ul local gazdă, nu IP-ul router-ului așa cum ați introdus în fiecare slot până acum. Setați portul la 80, și faceți clic pe O.K.

Avem un mic truc mic pe care să îl aplicăm înainte de a ne fixa.În mod implicit, Firefox nu trasează solicitările DNS prin serverul proxy. Acest lucru înseamnă că traficul dvs. va fi întotdeauna criptat, dar cineva care va snoopă conexiunea vă va vedea toate solicitările. Ei știau că sunteți pe Facebook.com sau Gmail.com, dar nu ar putea să vadă nimic altceva. Dacă doriți să trasați solicitările DNS prin SOCKS, va trebui să îl porniți.

Tip about: config în bara de adrese, apoi dați clic pe "Voi fi atent, îți promit!" dacă primești un avertisment sever despre cum poți să-ți înșeli browserul. Pastă network.proxy.socks_remote_dns în Filtru: apoi faceți clic dreapta pe intrarea pentru network.proxy.socks_remote_dns și Comutare pentru a Adevărat. De aici, atât navigarea, cât și solicitările DNS vor fi trimise prin tunelul SOCKS.

Deși configurăm browserul nostru pentru SSH-ul-all-time, vă recomandăm să comutați cu ușurință setările. Firefox are o extensie la îndemână, FoxyProxy, care face foarte ușor să comutați și să dezactivați serverele proxy. Acesta suportă multe opțiuni de configurare cum ar fi comutarea între proxy-uri pe baza domeniului pe care îl utilizați, site-urile pe care le vizitați etc. Dacă doriți să vă puteți opri automat și cu ușurință serviciul proxy pe baza faptului că vă aflați la acasă sau departe, de exemplu, FoxyProxy v-ați acoperit. Utilizatorii Chrome vor dori să verifice proxy switchy! pentru funcționalități similare.

Să vedem dacă totul a funcționat conform planului, nu? Pentru a testa lucrurile, am deschis două browsere: Chrome (văzut în stânga) fără tunel și Firefox (văzut în partea dreaptă) proaspăt configurat pentru a utiliza tunelul.

În stânga vedem adresa IP a nodului Wi-Fi la care ne conectăm și pe dreapta, datorită tunelului nostru SSH, vedem adresa IP a ruterului nostru îndepărtat. Tot traficul Firefox este direcționat prin serverul SSH. Succes!

Aveți un sfat sau un truc pentru a asigura traficul de la distanță? Utilizați un server SOCKS / SSH cu o anumită aplicație și o iubiți? Aveți nevoie de ajutor pentru a afla cum puteți cripta traficul? Să auzim despre asta în comentariile.