Kas ir un kāpēc izveidot drošu tuneli?
Jums varētu būt interesanti, kāpēc jūs pat vēlētos iestatīt drošu tuneļu no jūsu ierīcēm uz jūsu mājas maršrutētāju un kādas priekšrocības jūs varētu gūt no šāda projekta. Izklāstiet pāris dažādus scenārijus, kas saistīti ar to, ka izmantojat internetu, lai ilustrētu drošas tuneļu priekšrocības.
Pirmais scenārijs: jūs atrodaties kafejnīcā, izmantojot savu klēpjdatoru, lai pārlūkotu internetu, izmantojot bezmaksas Wi-Fi savienojumu. Dati atstāj savu Wi-Fi modemu, kafejnīcā pāriet gaisā, nešifrējot uz Wi-Fi mezglu, un pēc tam tiek pārsūtīts uz lielāku internetu. Pārraides laikā no jūsu datora uz lielāku internetu jūsu dati ir plaši atvērti. Ikviens, kam ir Wi-Fi ierīce šajā apgabalā, var izsmiet savus datus. Tas ir tik sāpīgi viegli, ka motivēts 12 gadus vecs ar klēpjdatoru un Firesheep kopiju var ielauzties jūsu akreditācijas datus visu veidu lietām. Tas ir tā, it kā jūs esat istabā, kas ir piepildīta tikai ar angļu valodas runātājiem, runājot ķīniešu valodā runājošajā ķīniešu valodā. Brīdī, kad kāds, kas runā ar mandarīnu ķīniešu valodu (Wi-Fi sniffer), tiek sabojāts jūsu pseidonīms.
Otrs scenārijs: jūs atrodaties kafejnīcā, izmantojot savu klēpjdatoru, lai vēlreiz pārlūkotu internetu, izmantojot bezmaksas Wi-Fi savienojumu. Šoreiz esat izveidojis šifrētu tuneļu starp jūsu klēpjdatoru un vietējo maršrutētāju, izmantojot SSH. Jūsu datplūsma tiek virzīta caur šo tuneli tieši no jūsu klēpjdatora uz mājas maršrutētāju, kas darbojas kā starpniekserveris. Šis cauruļvads ir neaizsargāts pret Wi-Fi sniffers, kas neredzētu nekas cits kā šifrētu datu plūsma. Neatkarīgi no tā, cik uzņēmums ir mainīgs, cik nedrošs ir Wi-Fi savienojums, jūsu dati paliek šifrētā tuneļā un atstāj to tikai tad, kad ir sasniedzis mājas interneta pieslēgumu un iziet uz lielāku internetu.
Vienā scenārijā jūs esat plaši atvērts; otrajā scenārijā jūs varat pieteikties savā bankā vai citās privātajās tīmekļa vietnēs ar tādu pašu pārliecību, ka jūs esat no sava mājas datora.
Lai gan mēs savā piemērā izmantojām Wi-Fi, jūs varat izmantot SSH tuneļu, lai nodrošinātu drošu savienojumu ar, teiksim, palaistu pārlūkprogrammu attālajā tīklā, un caur ugunsmūri ielieciet caurumu, lai sērfotu tikpat brīvi kā mājās.
Izklausās labi, vai ne? Tas ir neticami viegli iestatāms, tāpēc nav laika kā tagadnei - jūsu SSH tunelis var tikt izveidots un darbojas stundas laikā.
Kas jums būs nepieciešams
Lai nodrošinātu tīmekļa pārlūkošanu, ir daudzi veidi, kā iestatīt SSH tuneļu. Šajā apmācībā mēs koncentrējamies uz SSH tuneļa iestatīšanu pēc iespējas vienkāršākā veidā ar vismazāko satraukumu lietotājam ar mājas maršrutētāju un Windows balstītām iekārtām. Lai sekotu līdzi mūsu apmācībai, jums būs nepieciešamas šādas lietas:
- Router ar Tomātu vai DD-WRT modificētu programmaparatūru.
- SSH klients, piemēram, PuTTY.
- SOCKS saderīga pārlūkprogramma, piemēram, Firefox.
Mūsu ceļvedī mēs izmantosim Tomātu, bet instrukcijas ir gandrīz identiskas tām, kuras jūs sekojat DD-WRT, tādēļ, ja jūs izmantojat DD-WRT, varat brīvi sekot līdzi. Ja maršrutētājam nav modificēta programmaparatūra, pirms turpināt, izlasiet mūsu ceļvedi, lai uzstādītu DD-WRT un tomātu.
Radīt atslēgas mūsu šifrētajam tunelim
Lejupielādējiet pilnu PuTTY iepakojumu un izvelciet to mapē pēc savas izvēles. Mapē atrodas PUTTYGEN.EXE. Palaidiet lietojumprogrammu un noklikšķiniet uz Atslēga -> ģenerēt atslēgu pāri. Jūs redzēsiet ekrānu, kas ir līdzīgs iepriekš attēlotajam; pārvietojiet peli, lai ģenerētu izlases datus galvenajam izveides procesam. Kad process ir beidzies, jūsu PuTTY atslēgu ģeneratora logs izskatās šādi: iet uz priekšu un ievadiet spēcīgu paroli:
Kad esat pievienojis paroli, turpiniet un noklikšķiniet uz Saglabājiet privāto atslēgu. Izslēdziet iegūto.PPK failu drošā vietā. Pašlaik kopējiet un ielīmējiet laukā "Publiskā atslēga ielīmēšanai …" saturu pagaidu TXT dokumentā.
Ja plānojat vairāku ierīču lietošanu ar savu SSH serveri (piemēram, klēpjdatoru, netbook un viedtālruni), katrai ierīcei ir jāizveido atslēgu pāri. Iet uz priekšu un ģenerējiet, paroli un saglabājiet nepieciešamos papildu atslēgu pārus. Pārliecinieties, vai katra jaunā publiskā atslēga ir nokopēta un ielīmēta pagaidu dokumentā.
Jūsu maršrutētāja konfigurēšana SSH
Atveriet tīmekļa pārlūkprogrammu datorā, kas savienots ar vietējo tīklu.Pārejiet uz maršrutētāja tīmekļa saskarni, mūsu maršrutētājam - Linksys WRT54G darbojas tomāts - adrese ir https://192.168.1.1. Piesakieties tīmekļa saskarnē un dodieties uz Administrācija -> SSH daemon. Tur jums jāpārbauda abi Iespējot, startējot un Attālā piekļuve. Jūs varat mainīt attālo portu, ja vēlaties, taču vienīgais ieguvums ir tas, ka tā nedaudz apgrūtinās iemeslu, kādēļ osta ir atvērta, ja kāds ports to skenē. Noņemiet atzīmi no rūtiņas Atļaut paroli pieteikties. Mēs neizmantosim paroli, lai attālināti piekļūtu maršrutētājam, mēs izmantosim atslēgu pāri.
Ielīmējiet publisko atslēgu (-s), kuru ģenerējāt apmācības pēdējā daļā Autorizētie taustiņi kaste. Katram taustiņam jābūt savam ierakstam, kas atdalīts ar līnijas pārtraukumu. Pirmā atslēgas daļa ssh-rsa ir ļoti svarīgs. Ja jūs to neiekļaujat ar katru publisko atslēgu, SSH serverim tie būs nederīgi.
Klikšķis Sākt tagad un pēc tam ritiniet uz leju līdz saskarnes apakšai un noklikšķiniet uz Saglabājiet. Šajā brīdī jūsu SSH serveris ir izveidots un darbojas.
Jūsu attālā datora konfigurēšana, lai piekļūtu jūsu SSH serverim
Tas ir, ja notiek burvju. Jums ir atslēgu pāri, serveris ir izveidots un darbojas, taču nevienam no tiem nav nekādas vērtības, ja vien jūs nevarat attālināti pieslēgties no lauka un tuneļa savā maršrutētājā. Laiks, lai iznīcinātu mūsu uzticamo neto grāmatu, kurā darbojas operētājsistēma Windows 7, un ir iestatīts darbam.
Vispirms kopējiet tajā izveidoto PuTTY mapi uz citu datoru (vai vienkārši lejupielādējiet to un atkopiet to). No šejienes visas instrukcijas ir vērstas uz attālo datoru. Ja izmantojat PuTTy atslēgu ģeneratoru savā mājas datorā, pārliecinieties, ka esat pārcēlies uz savu mobilo datoru, lai pārējo pamācību. Pirms norēķināsieties, jums būs jāpārliecinās, ka jums ir izveidotais.PPK faila kopija. Kad esat ieguvis PuTTy un.PPK, mēs esam gatavi turpināt.
Uzsākt PuTTY. Pirmais ekrāns, kuru redzēsit, ir Sesija ekrāns Šeit jums būs jāievada mājas interneta pieslēguma IP adrese. Šis nav jūsu maršrutētāja IP vietējā LAN, tas ir jūsu modema / maršrutētāja IP, kā redzams ārējā pasaulē. To varat atrast, apskatot galveno maršrutētāja tīmekļa saskarnes statusa lapu. Mainīt portu līdz 2222 (vai kāds, ko jūs aizstājat SSH daemon konfigurācijas procesā). Pārliecinies SSH tiek pārbaudīts. Iet uz priekšu un piešķiriet sesijai vārdu lai jūs varētu saglabājiet to izmantošanai nākotnē. Mēs nosaucām mūsu tomātu SSH.
Virzīties pa kreiso rūti, līdz lejup Savienojums -> Atkl. Šeit jums ir jānoklikšķina uz pogas Pārlūkot un izvēlieties saglabāto.PPK failu, kas tiek pārsūtīts uz attālo datoru.
Lai gan SSH apakšizvēlnē, turpiniet līdz SSH -> tuneli. Šeit mēs konfigurēsim PuTTY kā mobilā datora starpniekserveri. Atzīmējiet abas lodziņas zem Ostu pāradresēšana. Zemāk sadaļā Pievienot jaunu pārsūtīto portu sadaļā ievadiet 80 for Avota ports un jūsu maršrutētāja IP adrese Galamērķis. Pārbaudiet Auto un Dinamisks tad noklikšķiniet Pievienot.
Pārliecinieties, vai ieraksts ir parādīts mapē Pārsūtītas ostas kaste. Virziet atpakaļ Sesijas sadaļu un noklikšķiniet uz Saglabājiet atkal, lai saglabātu visu jūsu konfigurācijas darbu. Tagad noklikšķiniet uz Atvērt. PuTTY sāks termināla logu. Šajā brīdī varat saņemt brīdinājumu, norādot, ka servera resursdatora atslēga nav reģistrētā. Ejiet uz priekšu un apstipriniet, ka uzticaties uzņēmējam. Ja jūs esat noraizējies par to, jūs varat salīdzināt pirkstu nospiedumu virkni, kuru jūs brīdināt ar brīdinājuma ziņojumu ar taustiņa pirkstu nospiedumu, kuru ģenerējāt, ielādējot to PuTTY taustiņu ģeneratorā. Kad esat atvēris PuTTY un noklikšķinājāt, izmantojot brīdinājumu, vajadzētu redzēt ekrānu, kas izskatās šādi:
Termināla vietā jums būs jādara tikai divas lietas. Pie pieteikšanās uzvednes tipa sakne. Pēc frāzes ātras uzvednes ievadiet savu RSA keyring paroli Šī ir parole, kuru izveidojāt pirms dažām minūtēm, kad ģenerējāt atslēgu, nevis maršrutētāja paroli. Routera apvalks tiks ielādēts un jūs pabeidzat komandu uzvednē. Jūs izveidojat drošu savienojumu starp PuTTY un vietējo maršrutētāju. Tagad mums ir jāmudina jūsu pieteikumi, kā piekļūt PuTTY.
Piezīme: ja vēlaties vienkāršot procesu par cenu, kas nedaudz samazina jūsu drošību, varat ģenerēt atslēgas paroli bez paroles un iestatīt PuTTY, lai automātiski pieteiktos root kontā (šo iestatījumu varat pārslēgt sadaļā Connect -> Data -> Auto Login ) Tas samazina PuTTY savienojuma procesu, vienkārši atverot lietotni, ielādējot profilu un noklikšķinot uz Atvērt.
Jūsu pārlūkprogrammas konfigurēšana, lai izveidotu savienojumu ar PuTTY
Šajā apmācības brīdī jūsu serveris ir izveidots un darbojas, jūsu dators ir savienots ar to un paliek tikai viens solis. Jums ir jāpaziņo svarīgajiem lietojumiem, lai izmantotu PuTTY kā starpniekserveri. Jebkura lietojumprogramma, kas atbalsta SOCKS protokolu, var būt saistīta ar PuTTY, piemēram, Firefox, mIRC, Thunderbird un uTorrent, lai norādītu dažus, ja neesat pārliecināts, vai lietojumprogrammas spraudņi SOCKS var izzelt opciju izvēlnēs vai skatīt dokumentāciju. Tas ir kritisks elements, kas nevajadzētu aizmirst: visa jūsu datplūsma pēc noklusējuma netiek maršrutēta caur PuTTY starpniekserveri; tas jābūt jāpievieno SOCKS serverim.Piemēram, jūs varat izveidot tīmekļa pārlūkprogrammu, kurā esat ieslēdzis SOCKS un tīmekļa pārlūkprogrammu, kur jūs neesat abus vienā datorā, un kāds varētu šifrēt jūsu datplūsmu, bet ne.
Mūsu nolūkiem mēs vēlamies nodrošināt mūsu pārlūkprogrammu Firefox Portable, kas ir pietiekami vienkārša. Firefox konfigurācijas process praktiski nozīmē jebkuru lietojumprogrammu, kas jums jāpievieno SOCKS informācijai. Palaidiet Firefox un dodieties uz Opcijas -> Papildu -> Iestatījumi. No iekšienes Savienojuma iestatījumi Izvēlne, izvēlieties Manuāla proxy konfigurācija un saskaņā ar SOCKS Host pieslēgvietu 127.0.0.1-Jūs pieslēdzat PuTTY lietojumprogrammai, kas darbojas jūsu vietējā datorā, tāpēc jums ir jāievieto vietējās mītnes IP, nevis maršrutētāja IP, jo līdz šim esat ievietojis katru slotu. Iestatiet portu uz 80un noklikšķiniet uz LABI.
Mums ir viena niecīga kniebiens, kas jāpiemēro, pirms mēs visi esam uzstādīti. Pēc noklusējuma Firefox nepārvieto DNS pieprasījumus caur starpniekserveri. Tas nozīmē, ka jūsu datplūsma vienmēr tiks šifrēta, bet kāds, kas snooping savienojumu, redzēs visus jūsu pieprasījumus. Viņi zinātu, ka esat pie Facebook.com vai Gmail.com, bet viņi vairs nevarēs redzēt kaut ko citu. Ja izmantojat DNS pieprasījumus caur SOCKS, jums tas jāieslēdz.
Tips par: config adrešu joslā un pēc tam noklikšķiniet uz "Es esmu uzmanīgs, es apsolu!" Ja jūs saņemat stingru brīdinājumu par to, kā jūs varat ieskrūvēt savu pārlūkprogrammu. Ielīmēt network.proxy.socks_remote_dns iekšā Filtrēt: lodziņā un pēc tam labo pogu noklikšķiniet uz ieraksta network.proxy.socks_remote_dns un Pārslēgt to uz Taisnība. No šejienes gan jūsu pārlūkošana, gan jūsu DNS pieprasījumi tiks nosūtīti caur SOCKS tuneļa palīdzību.
Lai gan mēs konfigurējam mūsu pārlūku SSH-all-the-time laikā, iespējams, vēlēsieties viegli pārslēgt savus iestatījumus. Firefox ir ērts paplašinājums, FoxyProxy, kas padara to par ļoti vienkāršu, lai ieslēgtu un izslēgtu jūsu starpniekserverus. Tas atbalsta daudzas konfigurācijas opcijas, piemēram, pārslēgšanās starp starpniekserveriem, pamatojoties uz jūsu domēnu, vietnes, kuras apmeklējat, utt. Ja vēlaties, lai jūs viegli un automātiski pagrieztu savu starpniekservera pakalpojumu, pamatojoties uz to, vai jūs esat mājās vai prom, piemēram, FoxyProxy esat iekļāvis. Chrome lietotāji vēlētos pārbaudīt Proxy Switchy! līdzīgām funkcijām.
Apskatīsim, vai viss strādāja kā plānots, vai mēs to darīsim? Lai pārbaudītu lietas, mēs atklājām divas pārlūkprogrammas: Chrome (redzams kreisajā pusē) bez tuneļa un Firefox (redzams labajā pusē), kas tikko konfigurēts, lai izmantotu šo tuneļu.
Vai padoms vai triks attālinātas satiksmes nodrošināšanai? Izmantojiet SOCKS serveri / SSH ar konkrētu lietotni un to mīlu? Vai vēlaties uzzināt, kā šifrēt savu datplūsmu? Par to mēs dzirdēsim komentāros.