SSH nustatymas savo maršrutizatoriuje, kad būtų užtikrinta saugi interneto prieiga iš bet kur
Prisijungimas prie interneto iš „Wi-Fi“ karštųjų taškų, darbe arba bet kur kitur ne namuose, kelia jūsų duomenis nereikalingoms rizikoms. Jūs galite lengvai sukonfigūruoti maršrutizatorių, kad palaikytumėte saugų tunelį ir apsaugotumėte nuotolinę naršyklę, kad sužinotumėte, kaip.
Kas yra ir kodėl sukurti saugų tunelį?
Jums gali būti įdomu, kodėl netgi norėtumėte sukurti saugų tunelį iš savo prietaisų į savo namų maršrutizatorių ir kokią naudą naudosite iš tokio projekto. Leiskite išdėstyti kelis skirtingus scenarijus, kuriuose dalyvaujate naudodamiesi internetu, kad iliustruotumėte saugaus tunelio naudą.
Pirmasis scenarijus: Jūs esate kavinėje, naudodami savo nešiojamąjį kompiuterį, kad naršytumėte internete per nemokamą belaidį internetą. Duomenys palieka jūsų „Wi-Fi“ modemą, keliauja per orą nešifruotu prie „Wi-Fi“ mazgo kavinėje ir paskui perkeliamas į didesnį internetą. Perduodami iš kompiuterio į didesnį internetą, jūsų duomenys yra atviri. Kiekvienas, turintis vietovėje veikiantį „Wi-Fi“ įrenginį, gali nukreipti jūsų duomenis. Tai taip skausmingai lengva, kad motyvuotas 12 metų amžiaus su nešiojamuoju kompiuteriu ir „Firesheep“ kopija galėtų užfiksuoti visus jūsų darbus. Tai tarsi jūs esate kambaryje, pripildytame tik angliškai kalbančiais garsiakalbiais, kalbėdami telefonu, kuris kalba kinų kinų kalbomis. Šiuo metu kažkas, kas kalba kinų kinų kalbomis, atvyksta („Wi-Fi sniffer“), jūsų pseudo privatumas yra sugriautas.
Antrasis scenarijus: Jūs esate kavinėje, naudodami savo nešiojamąjį kompiuterį, norėdami naršyti internete per savo nemokamą „Wi-Fi“ ryšį. Šį kartą jūs sukūrėte šifruotą tunelį tarp savo nešiojamojo kompiuterio ir namų maršrutizatoriaus, naudodami SSH. Jūsų srautas per šį tunelį nukreipiamas tiesiai iš jūsų nešiojamojo kompiuterio į namų maršrutizatorių, kuris veikia kaip tarpinis serveris. Šis vamzdynas yra neperžengiamas „Wi-Fi sniffers“, kuris nematytų nieko, bet tik užblokuotas šifruotų duomenų srautas. Nepriklausomai nuo to, kaip įsitvirtinusi įmonė, kaip nesaugu „Wi-Fi“ ryšys, jūsų duomenys lieka užšifruotame tunelyje ir palieka ją tik tada, kai pasiekia savo namų interneto ryšį ir išeina į didesnį internetą.
Pagal scenarijų, kuriame naršote plačiai; pagal antrąjį scenarijų galite prisijungti prie savo banko ar kitų privačių interneto svetainių taip pat pasitikėdami savo namų kompiuteriu.
Nors mūsų pavyzdyje mes naudojome „Wi-Fi“, galėtumėte naudoti SSH tunelį, kad apsaugotumėte linijinį ryšį, pvz., Paleiskite nuotolinio tinklo naršyklę ir pertraukite per ugniasienę, kad naršytumėte taip laisvai, kaip ir jūsų namų ryšiu.
Skamba gerai, ar ne? Tai neįtikėtinai lengva nustatyti, todėl nėra laiko, kaip dabartinis - jūs galite turėti savo SSH tunelį ir jį paleisti per valandą.
Ką jums reikės
Yra daug būdų, kaip nustatyti SSH tunelį, kad apsaugotumėte žiniatinklio naršymą. Dėl šios pamokos mes daugiausia dėmesio skiriame SSH tunelio įrengimui pačiu lengviausiu būdu, turint mažiausiai triukšmo vartotojui, turinčiam namų maršrutizatorių ir „Windows“ įrenginius. Jei norite sekti kartu su mūsų pamoka, jums reikės šių dalykų:
- Maršrutizatorius, valdantis pomidorų arba DD-WRT modifikuotą programinę įrangą.
- SSH klientas kaip „PuTTY“.
- „SOCKS“ suderinama interneto naršyklė kaip „Firefox“.
Mūsų gidui naudosime „Tomato“, tačiau instrukcijos yra beveik identiškos toms, kurios būtų taikomos DD-WRT, todėl jei naudojate DD-WRT, nedvejodami sekite. Jei neturite modifikuotos programinės įrangos jūsų maršrutizatoriuje, patikrinkite mūsų vadovą, kaip įdiegti „DD-WRT“ ir „Tomato“, prieš tęsdami.
Kuriant raktus mūsų šifruotam tuneliui
Nors gali atrodyti keista peršokti į dešinę, kad sukurtume raktus, kol netgi konfigūruosime SSH serverį, jei turime raktus pasiruošę, galime konfigūruoti serverį vienu leidimu.
Atsisiųskite visą „PuTTY“ paketą ir ištraukite jį į pasirinktą aplanką. Aplanke rasite PUTTYGEN.EXE. Paleiskite programą ir spustelėkite Raktas -> Sukurti raktų porą. Pamatysite ekraną, panašų į aukščiau pateiktą ekraną; perkelkite pelę aplink, kad sukurtumėte atsitiktinius duomenis raktų kūrimo procesui. Baigę procesą, „PuTTY Key Generator“ langas turėtų atrodyti panašus; eikite į priekį ir įveskite tvirtą slaptažodį:
Prijungę slaptažodį, eikite į priekį ir spustelėkite Išsaugoti privatų raktą. Ištrinkite gautą .PPK failą kažkur saugiai. Nukopijuokite ir įklijuokite langelį „Viešojo rakto įklijuoti…“ turinį į laikiną TXT dokumentą.
Jei planuojate naudoti kelis įrenginius naudodami savo SSH serverį (pvz., Nešiojamąjį kompiuterį, netbook ir išmanųjį telefoną), turite sukurti kiekvieno prietaiso raktų poras. Eikite į priekį ir generuokite, įveskite ir išsaugokite papildomas raktų poras, kurių jums reikia dabar. Būtinai nukopijuokite ir įklijuokite kiekvieną naują viešąjį raktą į laikinąjį dokumentą.
Maršrutizatoriaus konfigūravimas SSH
Tomato ir DD-WRT turi įmontuotus SSH serverius. Tai yra nuostabus dėl dviejų priežasčių. Pirma, tai buvo didžiulis skausmas telnetui į jūsų maršrutizatorių, kad galėtumėte rankiniu būdu įdiegti SSH serverį ir jį konfigūruoti. Antra, kadangi jūsų SSH serveris veikia jūsų maršrutizatoriuje (kuris greičiausiai sunaudoja mažiau energijos nei lemputė), niekada nereikės palikti pagrindinio kompiuterio, kad galėtumėte naudoti lengvą SSH serverį.
Atidarykite interneto naršyklę įrenginyje, prijungtame prie vietinio tinklo. Eikite į savo maršrutizatoriaus interneto sąsają, nes mūsų maršrutizatorius-Linksys WRT54G, kuriame veikia pomidorai, adresas yra http://192.168.1.1. Prisijunkite prie žiniatinklio sąsajos ir naršykite Administravimas -> SSH Daemon. Čia reikia patikrinti abu Įgalinti paleidimo metu ir Nuotolinis prisijungimas. Galite keisti nuotolinį prievadą, jei norite, bet vienintelis privalumas tai padaryti yra tai, kad jis šiek tiek trikdo priežastį, kodėl uostas yra atidarytas, jei kas nors jus nuskaito. Pažymėkite Leisti slaptažodį. Mes negalime naudoti slaptažodžio prisijungimo prie maršrutizatoriaus iš tolo, mes naudosime raktų porą.
Įklijuokite viešąjį raktą (-us), kurį (-ius) sukūrėte paskutinėje pamokos dalyje Įgalioti raktai dėžė. Kiekvienas raktas turėtų būti atskiras įrašas, atskirtas eilutės pertrauka. Pirmoji rakto dalis ssh-rsa yra labai svarbu. Jei į jį neįtrauksite kiekvieno viešojo rakto, jie bus netinkami SSH serveriui.
Spustelėkite Pradėk dabar ir tada slinkite žemyn iki sąsajos apačios ir spustelėkite Sutaupyti. Šiuo metu jūsų SSH serveris veikia ir veikia.
Nuotolinio kompiuterio konfigūravimas prieigai prie SSH serverio
Čia atsitinka magija. Turite raktų porą, turite serverį ir veikia, bet nė vienas iš jų nėra vertingas, nebent jūs galite nuotoliniu būdu prisijungti iš lauko ir tunelio į savo maršrutizatorių. Laikas nugriauti mūsų patikimą „neto“ knygą, kurioje veikia „Windows 7“ ir veikia.
Pirma, nukopijuokite aplanką „PuTTY“, kurį sukūrėte į kitą kompiuterį (arba tiesiog atsisiųskite ir ištraukite iš naujo). Iš čia visi nurodymai yra sutelkti į nuotolinį kompiuterį. Jei savo namų kompiuteryje vykdėte „PuTTy Key Generator“, įsitikinkite, kad persijungėte į savo mobilųjį kompiuterį likusiam mokymo kurso laikui. Prieš atsiskaitydami turėsite įsitikinti, kad turite sukurtą .PPK failo kopiją. Išgėrę „PuTTy“ ir „.PPK“, mes esame pasirengę tęsti.
Paleiskite „PuTTY“. Pirmasis matomas ekranas yra Sesija ekranas. Čia turėsite įvesti savo namų interneto ryšio IP adresą. Tai nėra jūsų maršrutizatoriaus IP vietiniame LAN tinkle, tai yra jūsų modemo / maršrutizatoriaus IP, kaip mato išorinis pasaulis. Jį galite rasti, peržiūrėdami pagrindinį būsenos puslapį savo maršrutizatoriaus interneto sąsajoje. Pakeiskite prievadą į 2222 (arba ką jūs pakeitėte SSH Daemon konfigūravimo procese). Įsitikinkite, kad Patikrintas SSH. Eikite į priekį ir suteikti savo sesijai vardą kad galėtumėte Išsaugok tai naudoti ateityje. Mes pavadinome savo Tomato SSH.
Naršykite, kairėje pusėje, iki Ryšys -> Aut. Čia reikia spustelėti mygtuką Naršyti ir pasirinkti .PPK failą, kurį išsaugojote ir perkeliate į nuotolinį įrenginį.
Eikite į SSH submeniu ir toliau SSH -> Tuneliai. Būtent čia mes sukonfigūruosime „PuTTY“, kad galėtume veikti kaip jūsų mobiliojo kompiuterio tarpinis serveris. Patikrinkite abu langelius po Uosto persiuntimas. Žemiau, Pridėti naują perduotą prievadą skiltyje įveskite 80 Šaltinio prievadas ir jūsų maršrutizatoriaus IP adresą Kelionės tikslas. Patikrinti Automatinis ir Dinamiškas tada spustelėkite Papildyti.
Dukart patikrinkite, ar įraše pasirodė Persiųsti uostai dėžė. Naršykite atgal Sesijos spustelėkite ir spustelėkite Sutaupyti dar kartą, kad išsaugotumėte visus savo konfigūravimo darbus. Dabar spustelėkite Atviras. PuTTY atidarys terminalo langą. Šiuo metu galite gauti įspėjimą, rodantį, kad serverio pagrindinio rakto nėra registre. Eikite į priekį ir patvirtinkite, kad pasitikite priimančiuoju. Jei nerimaujate, galite palyginti pirštų atspaudų eilutę, kuri jums suteikiama įspėjamojoje žinutėje su pirštų atspaudu, kurį sugeneravote įkeliant jį „PuTTY Key Generator“. Atidarę „PuTTY“ ir spustelėję įspėjimą, turėtumėte pamatyti tokį ekraną:
Terminalo metu turėsite atlikti tik du dalykus. Įveskite prisijungimo spartos tipą šaknis. Atsiradus slaptafrazei įveskite savo RSA raktų kodo slaptažodį-tai yra slaptažodis, kurį sukūrėte prieš kelias minutes, kai sukūrėte raktą, o ne maršrutizatoriaus slaptažodį. Maršrutizatoriaus apvalkalas įkeliamas ir baigsite komandų eilutėje. Sukūrėte saugų ryšį tarp „PuTTY“ ir jūsų namų maršrutizatoriaus. Dabar mes turime nurodyti savo taikomąsias programas, kaip pasiekti „PuTTY“.
Pastaba: jei norite supaprastinti procesą, šiek tiek sumažindami savo saugumą, galite generuoti raktą be slaptažodžio ir nustatyti „PuTTY“, kad automatiškai prisijungtumėte į šakninę paskyrą (galite perjungti šį nustatymą „Jungtis“ -> duomenys -> automatinis prisijungimas ). Tai sumažina „PuTTY“ prijungimo procesą tiesiog atidarant programą, įkeliant profilį ir spustelėjus „Atidaryti“.
Naršyklės konfigūravimas prisijungiant prie „PuTTY“
Šiame pamokos etape jūsų serveris veikia ir veikia, jūsų kompiuteris prijungtas prie jo ir tik vienas žingsnis lieka. Svarbioms programoms reikia pasakyti, kad naudokite „PuTTY“ kaip tarpinį serverį. Bet kuri programa, kuri palaiko SOCKS protokolą, gali būti susieta su „PuTTY“, pvz., „Firefox“, „mIRC“, „Thunderbird“ ir „uTorrent“, kad pavadintumėte keletą, jei nesate tikri, ar programa palaiko „SOCKS“ kasti aplink parinkčių meniu, arba ieškokite dokumentacijos. Tai yra kritinis elementas, kurio nereikėtų pamiršti: visas jūsų srautas pagal nutylėjimą nėra nukreipiamas per „PuTTY“ tarpinį serverį; ji turi prie SOCKS serverio. Pavyzdžiui, galite turėti žiniatinklio naršyklę, kurioje įjungėte „SOCKS“ ir žiniatinklio naršyklę..
Mūsų tikslams norime užtikrinti, kad mūsų naršyklė „Firefox Portable“ būtų pakankamai paprasta. „Firefox“ konfigūravimo procesas praktiškai reiškia bet kokią programą, kurią turėsite prijungti prie SOCKS informacijos. Paleiskite „Firefox“ ir eikite į Parinktys -> Papildomi -> Nustatymai. Nuo Ryšio parametrai meniu, pasirinkite Rankinis tarpinio serverio konfigūravimas ir pagal SOCKS Host plug in 127.0.0.1-jūs jungiatės su „PuTTY“ programa, veikiančia jūsų vietiniame kompiuteryje, todėl turite įdėti vietinį kompiuterio IP, o ne maršrutizatoriaus IP, kaip jūs iki šiol įdėjote į kiekvieną lizdą. Nustatykite prievadą 80, ir spustelėkite Gerai.
Mes turime vieną nedidelę šiek tiek įgnybti, kad galėtume juos naudoti, kol mes visi nenusileisime. Numatyta, kad „Firefox“ DNS užklausas nesiunčia per tarpinį serverį. Tai reiškia, kad jūsų srautas visada bus užšifruotas, bet kas nors, kuris prisiima ryšį, matys visus jūsų prašymus. Jie žinotų, kad esate „Facebook.com“ ar „Gmail.com“, bet jie negalėtų matyti nieko kito. Jei norite nukreipti DNS užklausas per SOCKS, turite jį įjungti.
Tipas apie: config adreso juostoje spustelėkite „Aš būsiu atsargus, pažadu!“, jei gausite griežtą įspėjimą, kaip galite prisukti naršyklę. Įklijuoti network.proxy.socks_remote_dns į Filtras: langelį, tada dešiniuoju pelės mygtuku spustelėkite tinklo.proxy.socks_remote_dns ir Perjungti ją Tiesa. Iš čia, ir jūsų naršymas, ir jūsų DNS užklausos bus siunčiamos per SOCKS tunelį.
Nors konfigūruojame savo naršyklę SSH-all-the-time, galite lengvai perjungti savo nustatymus. „Firefox“ yra patogus išplėtimas, „FoxyProxy“, todėl jį lengva perjungti ir išjungti tarpinius serverius. Jis palaiko daugybę konfigūravimo parinkčių, pvz., Perjungimo tarp tarpinių serverių, atsižvelgiant į domeną, kuriame esate, lankomas svetaines ir tt Jei norite lengvai ir automatiškai išjungti jūsų įgaliotojo serverio paslaugą, atsižvelgiant į tai, ar esate pvz., „FoxyProxy“, kuriai jūs priklausėte. „Chrome“ naudotojai norės patikrinti Proxy Switchy! panašių funkcijų.
Pažiūrėkime, ar viskas dirbo taip, kaip planuota, ar mes? Norėdami išbandyti dalykus, atidarėme dvi naršykles: „Chrome“ (matomas kairėje), be tunelio ir „Firefox“ (matomas dešinėje), naujai sukonfigūruotas naudoti tunelį.
Kairėje mes matome Wi-Fi mazgo IP adresą, prie kurio prisijungiame, o dešinėje - mūsų SSH tunelio, mes matome mūsų tolimojo maršrutizatoriaus IP adresą. Visas „Firefox“ srautas yra nukreipiamas per SSH serverį. Sėkmė!
Ar turite nuotolinio eismo užtikrinimo patarimą? Naudokite SOCKS serverį / SSH su konkrečia programa ir mylėkite? Reikia pagalbos, kad sužinotumėte, kaip užšifruoti srautą? Klausykime apie tai komentaruose.