Pagina principala » HOWTO » Configurați SSH pe routerul dvs. pentru acces securizat de pe Web de oriunde

    Configurați SSH pe routerul dvs. pentru acces securizat de pe Web de oriunde

    Conectarea la internet de la hotspot-urile Wi-Fi, la locul de muncă sau în altă parte, departe de casă, vă expune datele la riscuri inutile. Puteți configura cu ușurință routerul pentru a susține un tunel securizat și pentru a vă proteja browserul de la distanță - citiți mai departe pentru a vedea cum.

    Ce este și de ce să creați un tunel securizat?

    S-ar putea să fiți curioși de ce ați dori chiar să configurați un tunel securizat de pe dispozitivele dvs. la routerul dvs. de acasă și ce beneficii să beneficiați de un astfel de proiect. Să prezentăm câteva scenarii diferite care vă implică folosirea internetului pentru a ilustra beneficiile tunelului securizat.

    Scenariul 1: Sunteți la o cafenea care utilizează laptopul pentru a naviga pe internet prin conexiunea gratuită Wi-Fi. Datele ies din modemul dvs. Wi-Fi, călătoresc prin aer necriptat la nodul Wi-Fi din cafenea și apoi sunt transmise pe internet mai mare. În timpul transmisiei de la computerul dvs. la internetul mai mare, datele dvs. sunt deschise. Oricine are un dispozitiv Wi-Fi în zonă vă poate mișca datele. Este atat de dureros ca o motivatie de 12 ani, cu un laptop si o copie a Firesheep, sa-ti smulga acreditarile pentru tot felul de lucruri. Este ca și cum ați fi într-o cameră plină cu difuzoare numai în limba engleză, vorbind într-un telefon vorbind limba chineză Mandarin. În momentul în care vine cineva care vorbește chinez Mandarin (snifferul Wi-Fi), pseudo-privacy-ul tău este zdrobit.

    Scenariul doi: Sunteți la o cafenea care utilizează laptopul pentru a naviga pe internet prin intermediul conexiunii gratuite Wi-Fi din nou. De data aceasta ați stabilit un tunel criptat între laptop și ruterul de acasă folosind SSH. Traficul dvs. este direcționat prin acest tunel direct de pe laptop spre ruterul de acasă, care funcționează ca server proxy. Această conductă este impenetrabilă pentru snifferii Wi-Fi care nu ar vedea altceva decât un flux de date criptate. Indiferent cât de greu de stabilit, cât de nesigur este conexiunea Wi-Fi, datele dvs. rămân în tunelul criptat și îl lasă numai după ce a ajuns la conexiunea dvs. de internet la domiciliu și ieșea la internet mai mare.

    În scenariul 1 navigați pe larg; în scenariul doi, vă puteți conecta la banca dvs. sau la alte site-uri web private cu aceeași încredere pe care ați avea-o de la computerul de acasă.

    Deși am folosit Wi-Fi în exemplul nostru, ați putea folosi tunelul SSH pentru a vă asigura o conexiune tare, de exemplu, lansarea unui browser într-o rețea la distanță și punerea unei găuri prin firewall pentru a naviga la fel de liber ca în cazul conexiunii la domiciliu.

    Sună bine nu-i așa? Este incredibil de ușor de configurat, astfel încât nu există timp ca prezentul - puteți avea tunelul SSH să funcționeze în decurs de o oră.

    Ce ai nevoie

    Există mai multe moduri de a configura un tunel SSH pentru a vă asigura navigarea pe web. Pentru acest tutorial ne concentrăm pe crearea unui tunel SSH în cel mai simplu mod posibil, cu cel mai mic număr de agitație pentru un utilizator cu un router acasă și cu mașini bazate pe Windows. Pentru a urmări împreună cu tutorialul nostru veți avea nevoie de următoarele lucruri:

    • Un router care rulează firmware-ul modificat Tomato sau DD-WRT.
    • Un client SSH ca PuTTY.
    • Un browser Web compatibil cu SOCKS, cum ar fi Firefox.

    Pentru ghidul nostru vom folosi Tomato, dar instrucțiunile sunt aproape identice cu cele pe care le-ați urma pentru DD-WRT, deci dacă utilizați DD-WRT, nu ezitați să urmați. Dacă nu aveți firmware modificat pe router, consultați ghidul nostru pentru instalarea DD-WRT și Tomato înainte de a continua.

    Generarea de chei pentru tunelul nostru criptat

    Deși s-ar părea ciudat să sari direct la generarea cheilor înainte de a configura chiar serverul SSH, dacă avem cheile gata, vom putea configura serverul într-o singură trecere.

    Descărcați pachetul complet PuTTY și extrageți-l într-un dosar la alegere. În interiorul dosarului veți găsi PUTTYGEN.EXE. Lansați aplicația și dați clic pe Cheie -> Generați perechea de chei. Veți vedea un ecran asemănător celei de mai sus; mișcați mouse-ul în jurul pentru a genera date aleatorii pentru procesul de creare a cheilor. Odată ce procesul a terminat, fereastra Generatorului de chei PuTTY ar trebui să arate așa ceva; mergeți mai departe și introduceți o parolă puternică:

    Odată ce ați conectat o parolă, continuați și faceți clic pe Salvați cheia privată. Stash fișierul .PPK rezultatul undeva în condiții de siguranță. Copiați și lipiți conținutul casetei "Cheie publică pentru lipire ..." într-un document temporar TXT pentru moment.

    Dacă intenționați să utilizați mai multe dispozitive cu serverul SSH (cum ar fi un laptop, un netbook și un smartphone), trebuie să generați perechi de chei pentru fiecare dispozitiv. Continuați și generați parola și salvați perechile de chei suplimentare de care aveți nevoie acum. Asigurați-vă că copiați și inserați fiecare nouă cheie publică în documentul dvs. temporar.

    Configurarea Router-ului pentru SSH

    Atât Tomato, cât și DD-WRT au servere SSH încorporate. Acest lucru este minunat din două motive. În primul rând, obișnuia să fie o mare durere pentru telnet în routerul dvs. pentru a instala manual un server SSH și a-l configura. În al doilea rând, pentru că rulați serverul SSH pe router (care probabil consumă mai puțină energie decât un bec), nu trebuie să părăsiți niciodată computerul principal doar pentru un server SSH ușor.

    Deschideți un browser web pe o mașină conectată la rețeaua locală. Navigați la interfața web a routerului, pentru ruterul nostru - un Linksys WRT54G care rulează Tomato - adresa este http://192.168.1.1. Conectați-vă la interfața web și navigați la Administrare -> Daemon SSH. Trebuie să verificați amândouă Activați la pornire și Acces de la distanță. Aveți posibilitatea să modificați portul la distanță, dacă doriți, dar singurul avantaj în acest sens este acela de a oblige marginal motivul pentru care portul este deschis dacă cineva vă scanează. Debifați Permiteți conectarea parolei. Nu vom folosi o parolă pentru a accesa ruterul de la distanță, vom folosi o pereche de chei.

    Lipiți cheia publică (ele) pe care ați generat-o în ultima parte a tutorialului în Cheile autorizate cutie. Fiecare cheie ar trebui să fie o intrare separată separată printr-o pauză de linie. Prima porțiune a cheii ssh-rsa este foarte important. Dacă nu îl includeți cu fiecare cheie publică, acesta va apărea nevalid la serverul SSH.

    Clic Începe acum apoi derulați în jos până la partea de jos a interfeței și faceți clic pe Salvați. În acest moment, serverul SSH funcționează.

    Configurarea computerului de la distanță pentru a accesa serverul SSH

    Aici se petrece magia. Aveți o pereche de chei, aveți un server în desfășurare, dar niciunul din acestea nu are nicio valoare decât dacă vă puteți conecta de la distanță de la câmp și de la tunel în router. Este timpul să bustăm cartea noastră netă de încredere, care rulează Windows 7 și se pregătește să funcționeze.

    Mai întâi, copiați directorul PuTTY pe care l-ați creat la celălalt computer (sau pur și simplu îl descărcați și extrageți din nou). De aici, toate instrucțiunile sunt focalizate pe calculatorul dvs. la distanță. Dacă ați executat Generatorul de chei PuTTy de pe computerul de acasă, asigurați-vă că ați trecut pe calculatorul dvs. mobil pentru restul tutorialului. Înainte de a vă stabili, va trebui să vă asigurați că aveți o copie a fișierului .PPK pe care l-ați creat. Odată ce ați extras PuTTy și ați lansat .PPK, suntem gata să continuăm.

    Lansați PuTTY. Primul ecran pe care îl veți vedea este Sesiune ecran. Aici va trebui să introduceți adresa IP a conexiunii dvs. de internet la domiciliu. Aceasta nu este IP-ul router-ului dvs. pe LAN local, acesta este IP-ul modemului / router-ului dvs., așa cum este văzut de lumea exterioară. Puteți găsi acest lucru prin vizualizarea paginii principale de stare din interfața web a routerului. Schimbați portul la 2222 (sau orice ați înlocuit în procesul de configurare a daemonului SSH). Asigura-te Se verifică SSH. Dă-i drumul și dați sesiunii dvs. un nume ca tu să poți Salvați-l pentru utilizare ulterioară. Ne-am intitulat tomate SSH.

    Navigați, prin panoul din stânga, până la Conexiune -> Aut. Aici trebuie să faceți clic pe butonul Răsfoiți și să selectați fișierul .PPK pe care l-ați salvat și adăugat la aparatul dvs. de la distanță.

    În submeniul SSH, continuați până la SSH -> Tunele. Aici vom configura PuTTY pentru a funcționa ca server proxy pentru calculatorul dvs. mobil. Bifați ambele casete sub Port forwarding. Mai jos, în Adăugați un nou port de redirecționare secțiune, introduceți 80 pentru Portul sursă și adresa IP a routerului dvs. pentru Destinaţie. Verifica Auto și Dinamic apoi apasa Adăuga.

    Verificați dublu că o înregistrare a apărut în Porturi redirecționate cutie. Navigați înapoi sesiuni secțiune și faceți clic pe Salvați din nou pentru a salva toate lucrările de configurare. Acum faceți clic pe Deschis. PuTTY va lansa o fereastră terminală. Este posibil să primiți un avertisment la acest punct indicând faptul că cheia gazdă a serverului nu se află în registru. Mergeți și confirmați că aveți încredere în gazdă. Dacă sunteți îngrijorat, puteți compara șirul de amprente pe care vi-l dă în mesajul de avertizare cu amprenta de pe cheia pe care ați generat-o încărcând-o în PuTTY Key Generator. Odată ce ați deschis PuTTY și ați dat clic pe avertizare, ar trebui să vedeți un ecran care arată astfel:

    La terminal va trebui doar să faci două lucruri. La tipul de prompt de conectare rădăcină. La prompterul expresiei de acces introduceți parola pentru cheia RSA-aceasta este parola pe care ați creat-o acum câteva minute când ați generat cheia și nu parola routerului. Coaja ruterului se va încărca și ați terminat la promptul de comandă. Ați format o conexiune sigură între PuTTY și routerul de acasă. Acum trebuie să instruiți aplicațiile dvs. cum să accesați PuTTY.

    Notă: Dacă doriți să simplificați procesul la prețul scăderii ușoare a securității, puteți genera o cheie cheie fără parolă și setați PuTTY pentru a vă conecta automat la contul rădăcină (puteți comuta această setare sub Conectare -> Date -> Login automat ). Acest lucru reduce procesul de conectare PuTTY la deschiderea pur și simplu a aplicației, încărcarea profilului și făcând clic pe Deschidere.

    Configurarea browserului dvs. pentru conectarea la PuTTY

    În acest moment, în tutorialul pe care serverul dvs. îl execută, computerul este conectat la acesta și rămâne doar un pas. Trebuie să spuneți aplicațiilor importante că trebuie să utilizați PuTTY ca server proxy. Orice aplicație care acceptă protocolul SOCKS poate fi legată de PuTTY - cum ar fi Firefox, mIRC, Thunderbird și uTorrent, pentru a numi câteva - dacă nu sunteți sigur dacă o aplicație acceptă SOCKS dig în jurul meniurilor de opțiuni sau consultați documentația. Acesta este un element critic care nu ar trebui să fie trecut cu vederea: tot traficul dvs. nu este redirecționat prin proxy-ul PuTTY în mod implicit; aceasta trebuie sa să fie atașat la serverul SOCKS. Ați putea, de exemplu, să aveți un browser web în care ați activat SOCKS și un browser web în care nu ați - pe ambele mașini - și unul ar cripta traficul și nu s-ar.

    Pentru scopurile noastre vrem să asigurăm browserul nostru web, Firefox Portable, care este destul de simplu. Procesul de configurare pentru Firefox se traduce în aproape orice aplicație de care aveți nevoie pentru a conecta informații SOCKS. Lansați Firefox și navigați la Opțiuni -> Avansat -> Setări. Din interiorul Setări de conectare meniu, selectați Configurare proxy manuală și sub SOCKS Host plug in 127.0.0.1-vă conectați la aplicația PuTTY care rulează pe computerul dvs. local, astfel încât trebuie să puneți IP-ul gazdă local, nu IP-ul router-ului așa cum ați introdus în fiecare slot până acum. Setați portul la 80, și faceți clic pe O.K.

    Avem un mic truc mic pe care să îl aplicăm înainte de a ne fixa. Firefox, în mod prestabilit, nu direcționează cererile DNS prin serverul proxy. Aceasta înseamnă că traficul dvs. va fi întotdeauna criptat, dar cineva care va snoopa conexiunea vă va vedea toate solicitările. Ar fi știut că ați fost pe Facebook.com sau pe Gmail.com, dar nu au putut să vadă nimic altceva. Dacă încercați să rutăți solicitările DNS prin SOCKS, va trebui să îl porniți.

    Tip about: config în bara de adrese, apoi faceți clic pe "Voi fi atent, îți promit!" dacă primești un avertisment sever despre cum poți să-ți înșeli browserul. Pastă network.proxy.socks_remote_dns în Filtru: apoi faceți clic dreapta pe intrarea pentru network.proxy.socks_remote_dns și Comutare pentru a Adevărat. De aici, atât navigarea, cât și solicitările DNS vor fi trimise prin tunelul SOCKS.

    Deși configurăm browserul nostru pentru SSH-ul în permanență, vă recomandăm să comutați cu ușurință setările. Firefox are o extensie la îndemână, FoxyProxy, care face foarte ușor să comutați și să închideți serverele proxy. Acesta suportă multe opțiuni de configurare cum ar fi comutarea între proxy-uri pe baza domeniului pe care îl utilizați, site-urile pe care le vizitați etc. Dacă doriți să vă puteți dezactiva ușor și automat serviciul proxy pe baza faptului că vă aflați la acasă sau departe, de exemplu, FoxyProxy v-ați acoperit. Utilizatorii Chrome vor dori să verifice Proxy Switchy! pentru funcționalități similare.

    Să vedem dacă totul a funcționat așa cum era planificat, nu? Pentru a testa lucrurile, am deschis două browsere: Chrome (văzut în stânga) fără tunel și Firefox (văzut în partea dreaptă) proaspăt configurat pentru a utiliza tunelul.

    În stânga vedem adresa IP a nodului Wi-Fi la care ne conectăm și în dreapta, prin curtoazia tunelului SSH, vedem adresa IP a ruterului nostru îndepărtat. Tot traficul Firefox este direcționat prin serverul SSH. Succes!


    Aveți un sfat sau un truc pentru a asigura traficul de la distanță? Utilizați un server SOCKS / SSH cu o anumită aplicație și îl iubești? Aveți nevoie de ajutor pentru a afla cum puteți cripta traficul? Să auzim despre asta în comentariile.