Cos'è e perché creare un tunnel sicuro?
Potresti essere curioso di sapere perché vorresti impostare un tunnel sicuro dai tuoi dispositivi al router di casa e quali vantaggi potresti trarre da un simile progetto. Definiamo un paio di scenari diversi che coinvolgono l'utente che utilizza Internet per illustrare i vantaggi del tunneling sicuro.
Scenario uno: sei in una caffetteria usando il tuo laptop per navigare in internet attraverso la loro connessione Wi-Fi gratuita. Data lascia il tuo modem Wi-Fi, viaggia attraverso l'aria non criptata al nodo Wi-Fi nel coffee shop, per poi passare a Internet più grande. Durante la trasmissione dal tuo computer a Internet più grande i tuoi dati sono spalancati. Chiunque abbia un dispositivo Wi-Fi nell'area può annusare i tuoi dati. È così dolorosamente facile che un motivato ragazzo di 12 anni con un laptop e una copia di Firesheep potrebbe strappare le tue credenziali per ogni genere di cose. È come se tu fossi in una stanza piena di altoparlanti solo in inglese, parlando in un telefono che parla cinese mandarino. Nel momento in cui qualcuno che parla cinese mandarino entra (lo sniffer Wi-Fi) la tua pseudo-privacy è in frantumi.
Scenario 2: sei in un coffee shop usando il tuo laptop per navigare di nuovo in internet attraverso la loro connessione Wi-Fi gratuita. Questa volta hai stabilito un tunnel crittografato tra il tuo laptop e il tuo router di casa usando SSH. Il traffico viene instradato attraverso questo tunnel direttamente dal laptop al router di casa che funziona come server proxy. Questa pipeline è impenetrabile agli sniffer Wi-Fi che non vedrebbero altro che un flusso confuso di dati crittografati. Indipendentemente dalla bontà dell'establishment, dalla insicurezza della connessione Wi-Fi, i tuoi dati rimangono nel tunnel criptato e lo lasciano solo quando ha raggiunto la tua connessione Internet di casa ed esce su Internet.
Nello scenario uno stai navigando a tutta apertura; nello scenario due puoi accedere alla tua banca o ad altri siti web privati con la stessa fiducia che faresti dal tuo computer di casa.
Anche se nel nostro esempio abbiamo utilizzato il Wi-Fi, è possibile utilizzare il tunnel SSH per proteggere una connessione hardline, ad esempio, avviare un browser su una rete remota e fare un buco attraverso il firewall per navigare liberamente come si farebbe sulla connessione domestica.
Sembra buono no? È incredibilmente facile da configurare, quindi non c'è tempo come il presente: è possibile avere il tunnel SSH attivo e funzionante nel giro di un'ora.
Cosa ti serve
- Un router che esegue il firmware modificato Tomato o DD-WRT.
- Un client SSH come PuTTY.
- Un browser Web compatibile con SOCKS come Firefox.
Per la nostra guida utilizzeremo Tomato ma le istruzioni sono quasi identiche a quelle che seguiresti per DD-WRT quindi se stai eseguendo DD-WRT non esitare a seguirlo. Se non si dispone di firmware modificato sul router, consultare la nostra guida all'installazione di DD-WRT e Tomato prima di procedere.
Generazione di chiavi per il nostro tunnel crittografato
Scarica il pacchetto completo di PuTTY ed estrailo in una cartella a tua scelta. All'interno della cartella troverai PUTTYGEN.EXE. Avvia l'applicazione e fai clic Chiave -> Genera coppia di chiavi. Vedrai uno schermo molto simile a quello raffigurato sopra; muovi il mouse per generare dati casuali per il processo di creazione della chiave. Una volta che il processo è terminato, la finestra del generatore di chiavi PuTTY dovrebbe essere simile a questa; vai avanti e inserisci una password sicura:
Dopo aver inserito una password, andare avanti e fare clic Salva la chiave privata. Stash il file.PPK risultante da qualche parte sicuro. Copia e incolla il contenuto della casella "Chiave pubblica per incollare …" in un documento TXT temporaneo per ora.
Se si prevede di utilizzare più dispositivi con il proprio server SSH (come un laptop, un netbook e uno smartphone) è necessario generare coppie di chiavi per ciascun dispositivo. Vai avanti e genera, password e salva le coppie di chiavi aggiuntive di cui hai bisogno ora. Assicurati di copiare e incollare ogni nuova chiave pubblica nel tuo documento temporaneo.
Configurazione del router per SSH
Sia Tomato che DD-WRT hanno server SSH integrati. È fantastico per due motivi. In primo luogo, era un enorme problema telnet nel router per installare manualmente un server SSH e configurarlo. In secondo luogo, poiché stai utilizzando il tuo server SSH sul router (che probabilmente consuma meno energia di una lampadina), non devi mai lasciare il tuo computer principale acceso solo per un server SSH leggero.
Aprire un browser Web su una macchina connessa alla rete locale.Passare all'interfaccia web del router, per il nostro router, un Linksys WRT54G con Tomato, l'indirizzo è https://192.168.1.1. Accedi all'interfaccia web e vai a Amministrazione -> Daemon SSH. Lì devi controllare entrambi Abilita all'avvio e Accesso remoto. È possibile modificare la porta remota se lo si desidera, ma l'unico vantaggio è che offusca marginalmente il motivo per cui la porta è aperta se qualcuno vi esegue la scansione. Deseleziona Consenti accesso tramite password. Non useremo una password per accedere al router da lontano, useremo una coppia di chiavi.
Incolla le chiavi pubbliche che hai generato nell'ultima parte del tutorial nel Chiavi autorizzate scatola. Ogni chiave dovrebbe essere la propria voce separata da un'interruzione di riga. La prima parte della chiave ssh-rsa è molto importante. Se non lo includi con ciascuna chiave pubblica, questi appariranno non validi sul server SSH.
Clic Avviare ora quindi scorrere verso il basso fino all'interfaccia in basso e fare clic Salvare. A questo punto il tuo server SSH è attivo e funzionante.
Configurazione del computer remoto per accedere al server SSH
Qui è dove avviene la magia. Hai una coppia di chiavi, hai un server attivo e funzionante, ma niente di tutto ciò ha alcun valore a meno che tu non sia in grado di connettersi in remoto dal campo e scavare nel tuo router. È ora di sbarazzarci del nostro fidato netbook che esegue Windows 7 e si mette al lavoro.
Innanzitutto, copia quella cartella PuTTY che hai creato sul tuo altro computer (o semplicemente scaricala ed estrai di nuovo). Da qui tutte le istruzioni sono focalizzate sul tuo computer remoto. Se hai eseguito il generatore di chiavi PuTTy sul computer di casa, assicurati di averlo spostato sul tuo computer portatile per il resto del tutorial. Prima di stabilirti dovrai anche assicurarti di avere una copia del file.PPK che hai creato. Una volta che hai estratto PuTTy e il.PPK in mano, siamo pronti a procedere.
Avvia PuTTY. La prima schermata che vedrai è la Sessione schermo. Qui dovrai inserire l'indirizzo IP della tua connessione Internet di casa. Questo non è l'IP del tuo router sulla LAN locale, questo è l'IP del tuo modem / router visto dal mondo esterno. Puoi trovarlo guardando la pagina principale dello stato nell'interfaccia web del tuo router. Cambia la porta in 2222 (o qualsiasi cosa tu abbia sostituito nel processo di configurazione del demone SSH). Assicurarsi SSH è controllato. Vai avanti e dai un nome alla tua sessione in modo che tu possa salvarla per uso futuro. Abbiamo intitolato il nostro Tomato SSH.
Navigare, attraverso il pannello di sinistra, fino a Connessione -> Aut. Qui è necessario fare clic sul pulsante Sfoglia e selezionare il file.PPK che è stato salvato e portato sulla macchina remota.
Mentre ci si trova nel sottomenu SSH, continuare fino a SSH -> Tunnel. È qui che configureremo PuTTY per funzionare come server proxy per il tuo computer portatile. Seleziona entrambe le caselle sotto Port forwarding. Sotto, nel Aggiungi nuova porta inoltrata sezione, inserire 80 per il Porta sorgente e l'indirizzo IP del tuo router per il Destinazione. Dai un'occhiata Auto e Dinamico quindi fare clic Inserisci.
Controlla che una voce sia apparsa nel Porte inoltrate scatola. Naviga indietro sessioni sezione e clicca Salvare di nuovo per salvare tutto il lavoro di configurazione. Ora fai clic Aperto. PuTTY avvierà una finestra di terminale. A questo punto potresti ricevere un avviso che indica che la chiave host del server non si trova nel registro. Vai avanti e conferma che ti fidi dell'host. Se sei preoccupato, puoi confrontare la stringa di impronte digitali che ti dà nel messaggio di avviso con l'impronta digitale della chiave che hai generato caricandola in PuTTY Key Generator. Una volta che hai aperto PuTTY e fatto clic sull'avviso, dovresti vedere una schermata simile a questa:
Al terminale dovrai solo fare due cose. Al tipo di prompt di accesso radice. Al prompt della passphrase inserisci la tua password per il portachiavi RSA-Questa è la password che hai creato pochi minuti fa quando hai generato la tua chiave e non la password del tuo router. La shell del router verrà caricata e il prompt dei comandi sarà completato. Hai formato una connessione sicura tra PuTTY e il tuo router di casa. Ora dobbiamo istruire le tue applicazioni su come accedere a PuTTY.
Nota: se si desidera semplificare il processo al prezzo di una leggera diminuzione della sicurezza, è possibile generare una coppia di chiavi senza password e impostare PuTTY per accedere automaticamente all'account root (è possibile attivare questa impostazione in Connetti -> Dati -> Accesso automatico ). Ciò riduce il processo di connessione PuTTY semplicemente aprendo l'app, caricando il profilo e facendo clic su Apri.
Configurazione del browser per connettersi a PuTTY
A questo punto dell'esercitazione il server è attivo e funzionante, il tuo computer è collegato ad esso e rimane solo un passaggio. Devi dire alle importanti applicazioni di usare PuTTY come server proxy. Qualsiasi applicazione che supporti il protocollo SOCKS può essere collegata a PuTTY, come Firefox, mIRC, Thunderbird e uTorrent, solo per citarne alcuni, se non si è sicuri che un'applicazione supporti SOCKS per cercare nei menu delle opzioni o consultare la documentazione. Questo è un elemento critico da non trascurare: tutto il traffico non viene instradato tramite il proxy PuTTY per impostazione predefinita; esso dovere essere collegato al server SOCKS.Ad esempio, potresti avere un browser web in cui hai attivato SOCKS e un browser web in cui non hai - entrambi sullo stesso computer - e uno avrebbe crittografato il tuo traffico e non lo avresti fatto.
Per i nostri scopi vogliamo proteggere il nostro browser Web, Firefox Portable, che è abbastanza semplice. Il processo di configurazione per Firefox si traduce praticamente in tutte le applicazioni per le quali è necessario inserire le informazioni SOCKS. Avvia Firefox e vai a Opzioni -> Avanzate -> Impostazioni. Dall'interno del Impostazioni di connessione menu, selezionare Configurazione del proxy manuale e sotto SOCKS Host plug in 127.0.0.1-Si stai collegando all'applicazione PuTTY in esecuzione sul tuo computer locale, quindi devi inserire l'IP dell'host locale, non l'IP del router come hai inserito finora in tutti gli slot. Impostare la porta su 80e fare clic OK.
Abbiamo un piccolo piccolo tweak da applicare prima di essere pronti. Firefox, per impostazione predefinita, non instrada le richieste DNS attraverso il server proxy. Ciò significa che il tuo traffico sarà sempre crittografato, ma qualcuno che spiata la connessione vedrebbe tutte le tue richieste. Sapevano che eri su Facebook.com o Gmail.com ma non sarebbero stati in grado di vedere nient'altro. Se desideri instradare le tue richieste DNS attraverso il SOCKS, dovrai accenderlo.
genere about: config nella barra degli indirizzi, quindi fai clic su "Attento, lo prometto!" se ricevi un severo avvertimento su come puoi rovinare il tuo browser. Incolla network.proxy.socks_remote_dns nel Filtro: casella e quindi fare clic destro sulla voce per network.proxy.socks_remote_dns e Toggle a Vero. Da qui, sia la tua navigazione che le tue richieste DNS saranno inviate attraverso il tunnel SOCKS.
Anche se stiamo configurando il nostro browser per SSH in qualsiasi momento, potresti voler modificare facilmente le tue impostazioni. Firefox ha un'estensione pratica, FoxyProxy, che rende semplicissimo attivare e disattivare i server proxy. Supporta tonnellate di opzioni di configurazione come passare da un proxy all'altro in base al dominio in cui ti trovi, ai siti che stai visitando, ecc. Se vuoi essere in grado di disattivare facilmente e automaticamente il tuo servizio proxy in base al fatto che tu sia a casa o fuori, ad esempio, FoxyProxy ha coperto. Gli utenti di Chrome vorranno controllare Proxy Switchy! per funzionalità simili.
Vediamo se tutto ha funzionato come previsto, giusto? Per verificare le cose abbiamo aperto due browser: Chrome (visto a sinistra) senza tunnel e Firefox (visto a destra) appena configurato per utilizzare il tunnel.
Hai un consiglio o trucco per proteggere il traffico remoto? Usa un server SOCKS / SSH con una particolare app e ti piace? Hai bisogno di aiuto per capire come crittografare il tuo traffico? Ne sentiamo parlare nei commenti.
