Kas yra ir kodėl reikia sukurti saugų tunelį?
Jums gali būti įdomu, kodėl net norėtumėte sukurti saugų tunelį iš savo įrenginių į savo namų maršrutizatorių ir kokią naudą gausite iš tokio projekto. Leiskite išdėstyti keletą skirtingų scenarijų, pagal kuriuos jūs naudojate internetą, kad pademonstruotumėte saugaus tunelio pranašumus.
Pirmasis scenarijus: esate kavinėje, naudodamiesi savo nešiojamuoju kompiuteriu, naršydami internetą per nemokamą "Wi-Fi" ryšį. Duomenys palieka jūsų "Wi-Fi" modemą, kavinėje perkelia oro srautą į nešifruotą prie "Wi-Fi" mazgo, o tada perduodama į didesnį internetą. Perduodant duomenis iš savo kompiuterio į didesnį internetą jūsų duomenys yra plačiai atviri. Kiekvienas asmuo, turintis vietovę "Wi-Fi" įrenginį, gali sugadinti duomenis. Tai taip skaudžiai lengva, kad motyvuotas 12 metų su nešiojamuoju kompiuteriu ir "Firesheep" kopija gali sugadinti jūsų įgaliojimus dėl visų dalykų. Tai panašu, kad esate kambaryje, kuriame yra tik angliškai kalbančių kalbėtojai, kalbėdami telefonu kalbant mandarino kinui. Tuo metu, kai kas nors kalba apie mandarinų kinų kalbą ("Wi-Fi" sąsaja), jūsų pseudo privatumas yra sugadintas.
Antrasis scenarijus: jūs esate kavinėje, naudodamiesi savo nešiojamuoju kompiuteriu, kad galėtumėte vėl naršyti internete naudodami nemokamą "Wi-Fi" ryšį. Šį kartą sukūrėte užkoduotą tunelį tarp savo nešiojamojo kompiuterio ir namų maršrutizatoriaus naudodami SSH. Jūsų eismas yra nukreipiamas per šį tunelį tiesiai iš jūsų nešiojamojo kompiuterio į jūsų namų maršrutizatorių, kuris veikia kaip tarpinis serveris. Šis vamzdynas yra nepralenktas "Wi-Fi" šnipinėjams, kurie nieko nemato, išskyrus iškraipytą šifruotų duomenų srautą. Nesvarbu, kaip pasikeičia įsisteigimas, kaip nesaugi "Wi-Fi" ryšys, jūsų duomenys lieka užkoduotame tunelyje ir palieka jį tik tada, kai pasiekia jūsų namų interneto ryšį ir išeina į didesnį internetą.
Esant vienam scenarijui, jūs naršote plačiai atvirą; esant dviem scenarijams, jūs galite prisijungti prie savo banko ar kitų privačių interneto svetainių, su tuo pačiu pasitikėjimu, kurį galite gauti iš savo namų kompiuterio.
Nors mes naudojome "Wi-Fi" savo pavyzdyje, galite naudoti SSH tunelį, kad užtikrintumėte ryšį su kietuoju ryšiu, tarkim, paleiskite naršyklę nuotoliniame tinkle ir per ugniasienę perforuokite skylę, kad galėtumėte naršyti taip pat, kaip ir jūsų namų ryšiu.
Skamba gerai tai ne? Tai neįtikėtinai lengva nustatyti, todėl nėra laiko kaip dabar - jūsų SSH tunelis gali būti paleistas per valandą.
Ko jums reikia
- Maršrutizatorius, kuriame veikia pomidorų arba DD-WRT pakeista programinė įranga.
- SSH klientas, panašus į PuTTY.
- Su SOCKS suderinama naršyklė, tokia kaip "Firefox".
Mūsų vadove mes naudosim pomidorą, tačiau instrukcijos yra beveik tokios pačios kaip ir DD-WRT, todėl, jei naudojate DD-WRT, galite laisvai sekti. Jei jūsų maršrutizatoriuje neturite modifikuoti aparatinės įrangos, patikrinkite mūsų vadovą, kaip įdiegti DD-WRT ir pomidorą, prieš tęsdami.
Kurti mūsų koduotą tunelį
Atsisiųskite visą "PuTTY" paketą ir išskleiskite jį į pasirinktą aplanką. Patalpose aplanke rasite PUTTYGEN.EXE. Paleiskite programą ir spustelėkite Raktas -> Sukurti raktų porą. Pamatysite ekraną, panašų į paveikslėlį, pateiktą aukščiau; perkelkite pelę, kad generuotumėte atsitiktinius pagrindinio kūrimo proceso duomenis. Kai procesas bus baigtas, jūsų "PuTTY Key Generator" langas turėtų atrodyti panašiai; eik į priekį ir įveskite tvirtą slaptažodį:
Prisijungę prie slaptažodžio, eikite į priekį ir spustelėkite Išsaugoti privatų raktą. Sustabdykite gautą.PPK failą kažkur saugiai. Nukopijuokite ir įklijuokite langelį "Viešasis raktas įklijavimui …" turiniu laikinai TXT dokumente.
Jei planuojate naudoti kelis įrenginius su savo SSH serveriu (pvz., Nešiojamuoju kompiuteriu, nešiojamuoju kompiuteriu ir išmaniuoju telefonu), turite sukurti kiekvieno įrenginio raktų poras. Eik į priekį ir sugeneruokite slaptažodį ir išsaugokite papildomas raktų poras, kurių jums reikia dabar. Įsitikinkite, kad turite kopijuoti ir įklijuoti kiekvieną naują viešąjį raktą į laikiną dokumentą.
Jūsų maršrutizatoriaus konfigūravimas SSH
Pomidorų ir DD-WRT turi įmontuotus SSH serverius. Tai nuostabu dėl dviejų priežasčių. Pirma, tai buvo didžiulis skausmas telnet į savo maršrutizatorių rankiniu būdu įdiegti SSH serverį ir sukonfigūruoti. Antra, kadangi jūsų maršrutizatoriuje veikia jūsų SSH serveris (kuris greičiausiai sunaudoja mažiau energijos nei lemputė), niekada nereikės palikti pagrindinio kompiuterio tik lengvam SSH serveriui.
Atidarykite žiniatinklio naršyklę įrenginyje, prijungtame prie jūsų vietinio tinklo.Eikite į savo maršrutizatoriaus žiniatinklio sąsają, mūsų maršrutizatoriui - Linksys WRT54G veikiančiam pomidorui - adresas yra https://192.168.1.1. Prisijunkite prie žiniatinklio sąsajos ir pereikite prie Administracija -> SSH daemonas. Čia reikia patikrinti abu Įgalinti paleisties metu ir Nuotolinis prisijungimas. Jei pageidaujate, galite pakeisti nuotolinį prievadą, tačiau vienintelis privalumas yra tai, kad jis šiek tiek užgožia priežastį, kodėl uostas yra atidarytas, jei bet kuris uostas jus nuskaito. Nuimkite žymėjimą Leisti slaptažodį įvesti. Mes nenaudosime slaptažodžio prisijungimo, kad pasiektume maršrutizatorių iš tolo, mes naudosime raktų porą.
Įklijuokite viešąjį raktą (-us), kurį (-iuos) sukūrėte paskutinėje pamokos dalyje Įgalioti klavišai dėžė. Kiekvienas raktas turi būti jo atskiras įrašas, atskirtas eilutės pertrauka. Pirmoji raktos dalis ssh-rsa yra labai svarbu. Jei neįtrauksite jo su kiekvienu viešuoju raktu, jie bus rodomi negaliojančiais SSH serveriui.
Spustelėkite Pradėk dabar tada slinkite žemyn į sąsajos apačią ir spustelėkite Sutaupyti. Tuo metu jūsų SSH serveris veikia ir veikia.
Jūsų nuotolinio kompiuterio konfigūravimas norint pasiekti jūsų SSH serverį
Tai yra magija. Turite raktinę porą, turite serverį ir veikia, bet nė vienas iš jo neturi jokios reikšmės, nebent galėsite nuotoliniu būdu prisijungti iš lauko ir tunelio į savo maršrutizatorių. Laikas išsikrauti mūsų patikimą neto knygą su "Windows 7" ir pradėti veikti.
Pirma, nukopijuokite tą "PuTTY" aplanką, kurį sukūrėte prie kito kompiuterio (arba tiesiog atsisiųskite ir ištrinkite dar kartą). Iš čia visi nurodymai yra nukreipti į jūsų nuotolinį kompiuterį. Jei naudojate "PuTTy Key Generator" savo namų kompiuteryje, įsitikinkite, kad perjungiate į savo mobilųjį kompiuterį likusiam pamoka. Prieš atsiskaitydami turėsite įsitikinti, kad turite sukurtą.PPK kopiją. Kai turėsite puTTy išgauti ir.PPK rankoje, mes esame pasirengę tęsti.
Paleisk PuTTY. Pirmasis ekranas, kurį pamatysite, yra Sesija ekranas. Čia turėsite įvesti savo namų interneto ryšio IP adresą. Tai nėra jūsų maršrutizatoriaus IP vietinėje LAN, tai yra jūsų modemo / maršrutizatoriaus IP, kaip mato išorinis pasaulis. Ją galite rasti žiūrėdami pagrindinį routerio žiniatinklio sąsajos būsenos puslapį. Pakeiskite uostą į 2222 (ar ką jūs pakeitėte SSH Daemono konfigūravimo procese). Įsitikinkite SSH yra patikrintas. Eik ir toliau suteikite savo sesijai vardą kad galėtum Išsaugok tai naudoti ateityje. Mes pavadinome savo Pomidorų SSH.
Pasinaudokite kairiajame skydelyje, kad pereitumėte į Ryšys -> "Auth". Čia reikia spustelėti mygtuką "Naršyti" ir pasirinkti.PPK failą, kurį išsaugojote ir perkeliate į nuotolinę kompiuterį.
Nors esate SSH submeniu, tęskite iki SSH -> tuneliai. Čia mes sukursime, kad PuTTY veiktų kaip jūsų mobiliojo kompiuterio proxy serveris. Patikrinkite abu langelius Uosto ekspedijavimas. Žemiau, Pridėti naują persiunčiamą prievadą skirsnyje įveskite 80 Šaltinio uostas ir jūsų maršrutizatoriaus IP adresas Kelionės tikslas. Patikrinti Automatinis ir Dinamiškas tada spustelėkite Papildyti.
Dukart patikrinkite, ar įraše yra įrašas Persiųstos uostai dėžė. Grįžkite atgal Sesijos skyriuje ir paspauskite Sutaupyti dar kartą išsaugoti visus savo konfigūravimo darbus. Dabar spustelėkite Atviras. PuTTY pradės terminalo langą. Šiuo metu galite gauti įspėjimą, nurodantį, kad serverio pagrindinis raktas nėra registro. Eik į priekį ir patvirtinkite, kad pasitikite priimančiuoju. Jei esate susirūpinę dėl šios priežasties, galite palyginti pirštų atspaudų eilutę, kurią jūs įspėjamojoje ataskaitoje pateikiate raktą, kurį sukūrėte įkeldami į "PuTTY Key Generator". Kai atidarysite PuTTY ir spustelėsite įspėjimą, turėtumėte pamatyti ekraną, kuris atrodo taip:
Terminale turėsite atlikti tik du dalykus. Į prisijungimo raginimo tipą šaknis. Prie slaptažodžio eilutės įveskite savo RSA užrakto slaptažodį- tai slaptažodis, kurį sukūrėte prieš kelias minutes, kai sugeneravote savo raktą, o ne maršrutizatoriaus slaptažodį. Maršrutizatoriaus apvalkalas bus įkeltas, o komandų eilutėje baigsite. Jūs sukūrėte saugų ryšį tarp PuTTY ir namų maršrutizatoriaus. Dabar turime nurodyti savo programas, kaip pasiekti PuTTY.
Pastaba: jei norite supaprastinti procesą, kurio kaina šiek tiek sumažina jūsų saugumą, galite sukurti raktą be slaptažodžio ir nustatyti PuTTY prisijungti prie šakninės paskyros automatiškai (galite šį parametrą perjungti naudodamiesi Jungtis -> Duomenys -> Automatinis prisijungimas ) Tai sumažina "PuTTY" ryšio procesą, kad būtų paprasčiausiai atidaryta programa, įkeliamas profilis ir spustelėkite "Atidaryti".
Naršyklės konfigūravimas prisijungti prie "PuTTY"
Tuo pačiu pamoka jūsų serveris veikia ir veikia, kompiuteris prie jo prijungtas, ir lieka tik vienas žingsnis. Turite pasakyti svarbioms programoms naudoti PuTTY kaip tarpinį serverį. Bet kuri programa, palaikanti SOCKS protokolą, gali būti susieta su PuTTY, pvz., "Firefox", "mIRC", "Thunderbird" ir "uTorrent", norėdami įvardyti kelias. Jei nesate tikri, ar programa palaiko SOCKS naršymo galimybes pasirinkčių meniu, ar rasite dokumentus. Tai yra svarbus elementas, į kurį neturėtų būti neatsižvelgiama: pagal nutylėjimą visas jūsų srautas per PuTTY tarpinį serverį nėra nukreipiamas; tai privalo būti pridedamas prie SOCKS serverio.Pavyzdžiui, galite turėti žiniatinklio naršyklę, kurioje įjungėte SOCKS ir žiniatinklio naršyklę, kur jūs neturite - tiek toje pačioje mašinoje, tiek užkoduotų jūsų srautą, o ne.
Mūsų tikslams mes norime užtikrinti mūsų internetinę naršyklę Firefox Portable, kuri yra paprasta. "Firefox" konfigūravimo procesas iš esmės reiškia bet kokią programą, kurią reikės įjungti SOCKS informaciją. Paleisk Firefox ir eikite į Funkcijos -> Išplėstinė -> Nustatymai. Iš Ryšio nustatymai meniu pasirinkite Rankinio tarpinio serverio konfigūracija ir pagal "SOCKS Host" jungtį 127.0.0.1-Jūs prisijungiate prie "PuTTY" programos, kuri veikia jūsų vietiniame kompiuteryje, todėl jūs turite įdėti vietinio kompiuterio IP adresą, o ne savo maršrutizatoriaus IP, nes iki šiol įdėjote į kiekvieną lizdą. Nustatykite uostą į 80ir spustelėkite GERAI.
Mes turime vieną nedidelį įkandimą, kad galėtume taikyti, kol mes visi nesusiję. Pagal numatytuosius nustatymus "Firefox" neveikia DNS užklausų per tarpinį serverį. Tai reiškia, kad jūsų eismas visada bus užšifruotas, tačiau kažkas, snooping ryšys, pamatys visus jūsų prašymus. Jie norėtų žinoti, kad esate "Facebook.com" ar "Gmail.com", bet negalėsite matyti nieko kito. Jei pasirinksite nukreipti DNS užklausas per SOCKS, turėsite jį įjungti.
Įveskite apie: config adreso juostoje, tada spustelėkite "Aš būsiu atsargus, pažadu!", jei gausite perspėjimą apie tai, kaip galite susukti savo naršyklę. Įklijuoti network.proxy.socks_remote_dns į Filtras: laukelyje, tada dešiniuoju pelės mygtuku spustelėkite įrašą tinklo.proxy.socks_remote_dns ir Perjungti tai iki Tiesa. Iš čia jūsų naršymas ir DNS užklausos bus siunčiami per SOCKS tunelį.
Nors konfigūravome mūsų naršyklę "SSH-all-the-time", galbūt norėsite lengvai perjungti savo nustatymus. "Firefox" yra patogus "FoxyProxy" plėtinys, todėl labai paprasta perjungti ir išjungti proxy serverius. Jis palaiko daugybę konfigūravimo parinkčių, tokių kaip perjungimas tarp tarpinių serverių pagal jūsų esamą domeną, lankomas svetaines ir tt Jei norite, kad būtų lengva ir automatiškai išjungti proxy serverį pagal tai, ar esate Pavyzdžiui, "FoxyProxy" turite padengti. "Chrome" vartotojai norės patikrinti "Proxy Switchy"! panašios funkcijos.
Pažiūrėkime, ar viskas veikė kaip planuota, ar mes? Norėdami išbandyti dalykus, mes atidarėme dvi naršykles: Chrome (matyti iš kairės) be tunelio ir "Firefox" (žr. Dešinėje), neseniai sukonfigūruotas naudoti tunelį.
Turite patarimo ar apgauti nuotolinio eismo užtikrinimui? Naudokite SOCKS serverį / SSH su konkrečia programa ir myliu? Ar norite sužinoti, kaip užšifruoti srautą? Skaitykime apie tai pastabose.
