Thiết lập SSH trên Bộ định tuyến của bạn để truy cập web an toàn từ mọi nơi
Kết nối với internet từ các điểm truy cập Wi-Fi, tại nơi làm việc hoặc bất cứ nơi nào xa nhà, khiến dữ liệu của bạn gặp rủi ro không cần thiết. Bạn có thể dễ dàng định cấu hình bộ định tuyến của mình để hỗ trợ một đường hầm an toàn và bảo vệ lưu lượng truy cập trình duyệt từ xa của bạn để xem cách.
Cái gì và tại sao lại thiết lập một đường hầm an toàn?
Bạn có thể tò mò tại sao bạn thậm chí muốn thiết lập một đường hầm an toàn từ các thiết bị của mình đến bộ định tuyến gia đình và những lợi ích bạn sẽ gặt hái được từ một dự án như vậy. Hãy đặt ra một vài tình huống khác nhau liên quan đến việc bạn sử dụng internet để minh họa lợi ích của việc tạo đường hầm an toàn.
Tình huống thứ nhất: Bạn đang ở quán cà phê sử dụng máy tính xách tay của mình để duyệt internet thông qua kết nối Wi-Fi miễn phí của họ. Dữ liệu rời khỏi modem Wi-Fi của bạn, truyền qua không khí không được mã hóa đến nút Wi-Fi trong quán cà phê và sau đó được chuyển sang internet lớn hơn. Trong quá trình truyền từ máy tính của bạn sang internet lớn hơn, dữ liệu của bạn được mở rộng. Bất cứ ai có thiết bị Wi-Fi trong khu vực đều có thể đánh hơi dữ liệu của bạn. Thật dễ dàng đến mức một đứa trẻ 12 tuổi có động lực với một chiếc máy tính xách tay và một bản sao của Firesheep có thể lấy được thông tin của bạn cho mọi thứ. Như thể bạn đang ở trong một căn phòng chứa đầy những người nói tiếng Anh, nói chuyện qua điện thoại nói tiếng Trung Quốc. Khoảnh khắc ai đó nói tiếng Trung Quốc đến (trình thám thính Wi-Fi) quyền riêng tư giả của bạn bị phá vỡ.
Kịch bản hai: Bạn đang ở quán cà phê sử dụng máy tính xách tay của mình để duyệt internet thông qua kết nối Wi-Fi miễn phí của họ một lần nữa. Lần này bạn đã thiết lập một đường hầm được mã hóa giữa máy tính xách tay và bộ định tuyến gia đình của bạn bằng SSH. Lưu lượng truy cập của bạn được chuyển qua đường hầm này trực tiếp từ máy tính xách tay đến bộ định tuyến gia đình của bạn, hoạt động như một máy chủ proxy. Đường ống này không thể truy cập được đối với những người đánh hơi Wi-Fi, những người không nhìn thấy gì ngoài luồng dữ liệu được mã hóa bị cắt xén. Cho dù cơ sở có tồi tệ đến mức nào, kết nối Wi-Fi không an toàn như thế nào, dữ liệu của bạn vẫn ở trong đường hầm được mã hóa và chỉ để lại khi nó đã kết nối internet tại nhà của bạn và thoát ra internet lớn hơn.
Trong kịch bản một bạn đang lướt rộng mở; trong kịch bản hai, bạn có thể đăng nhập vào ngân hàng hoặc các trang web riêng tư khác với cùng sự tự tin từ máy tính ở nhà của bạn.
Mặc dù chúng tôi đã sử dụng Wi-Fi trong ví dụ của mình nhưng bạn có thể sử dụng đường hầm SSH để bảo mật kết nối đường dây cứng, giả sử, khởi chạy trình duyệt trên mạng từ xa và đục lỗ thông qua tường lửa để lướt tự do như bạn kết nối tại nhà.
Nghe có vẻ tốt phải không? Việc cài đặt cực kỳ dễ dàng để không có thời gian như hiện tại - bạn có thể mở đường hầm SSH của mình trong vòng một giờ.
Những gì bạn cần
Có nhiều cách để thiết lập một đường hầm SSH để bảo mật trình duyệt web của bạn. Đối với hướng dẫn này, chúng tôi tập trung vào việc thiết lập một đường hầm SSH theo cách dễ nhất có thể với ít phiền phức nhất cho người dùng với bộ định tuyến gia đình và các máy chạy trên Windows. Để làm theo hướng dẫn của chúng tôi, bạn sẽ cần những điều sau đây:
- Một bộ định tuyến chạy chương trình cơ sở sửa đổi Tomato hoặc DD-WRT.
- Một ứng dụng khách SSH như PuTTY.
- Trình duyệt web tương thích SOCKS như Firefox.
Đối với hướng dẫn của chúng tôi, chúng tôi sẽ sử dụng Tomato nhưng các hướng dẫn gần giống với hướng dẫn bạn sẽ theo dõi cho DD-WRT, vì vậy nếu bạn đang chạy DD-WRT, hãy theo dõi. Nếu bạn không sửa đổi phần sụn trên bộ định tuyến của mình, hãy xem hướng dẫn của chúng tôi để cài đặt DD-WRT và Tomato trước khi tiếp tục.
Tạo khóa cho đường hầm được mã hóa của chúng tôi
Mặc dù có vẻ kỳ quặc khi nhảy sang phải để tạo các khóa trước khi chúng tôi thậm chí định cấu hình máy chủ SSH, nhưng nếu chúng tôi có sẵn các khóa, chúng tôi sẽ có thể định cấu hình máy chủ trong một lần duy nhất.
Tải xuống gói PuTTY đầy đủ và giải nén nó vào một thư mục bạn chọn. Trong thư mục, bạn sẽ tìm thấy PUTTYGEN.EXE. Khởi chạy ứng dụng và nhấp Khóa -> Tạo cặp khóa. Bạn sẽ thấy một màn hình giống như màn hình trên; di chuyển chuột của bạn xung quanh để tạo dữ liệu ngẫu nhiên cho quá trình tạo khóa. Khi quá trình kết thúc, cửa sổ Trình tạo khóa PuTTY của bạn sẽ trông giống như thế này; đi trước và nhập một mật khẩu mạnh:
Khi bạn đã cắm mật khẩu, hãy tiếp tục và nhấp vào Lưu khóa riêng. Stash tệp .PPK kết quả ở một nơi an toàn. Sao chép và dán nội dung của khóa Công khai trên mạng để dán hộp Cảnh sát vào tài liệu TXT tạm thời ngay bây giờ.
Nếu bạn có kế hoạch sử dụng nhiều thiết bị với máy chủ SSH của mình (chẳng hạn như máy tính xách tay, netbook và điện thoại thông minh), bạn cần tạo các cặp khóa cho mỗi thiết bị. Hãy tiếp tục và tạo, mật khẩu và lưu các cặp khóa bổ sung mà bạn cần bây giờ. Đảm bảo bạn sao chép và dán từng khóa công khai mới vào tài liệu tạm thời của bạn.
Định cấu hình Bộ định tuyến của bạn cho SSH
Cả Tomato và DD-WRT đều có máy chủ SSH tích hợp. Điều này là tuyệt vời vì hai lý do. Đầu tiên, nó từng là một nỗi đau rất lớn khi telnet vào bộ định tuyến của bạn để cài đặt thủ công máy chủ SSH và định cấu hình nó. Thứ hai, vì bạn đang chạy máy chủ SSH trên bộ định tuyến của mình (có thể tiêu thụ ít năng lượng hơn bóng đèn), bạn không bao giờ phải rời khỏi máy tính chính của mình chỉ dành cho máy chủ SSH nhẹ.
Mở trình duyệt web trên máy được kết nối với mạng cục bộ của bạn. Điều hướng đến giao diện web của bộ định tuyến của bạn, cho bộ định tuyến của chúng tôi - một Linksys WRT54G đang chạy Tomato - địa chỉ là http://192.168.1.1. Đăng nhập vào giao diện web và điều hướng đến Quản trị -> SSH Daemon. Có bạn cần kiểm tra cả Kích hoạt khi khởi động và Tiếp cận từ xa. Bạn có thể thay đổi cổng từ xa nếu bạn muốn nhưng lợi ích duy nhất để làm như vậy là nó che khuất một chút lý do cổng mở nếu có ai quét bạn. Bỏ chọn Cho phép đăng nhập mật khẩu. Chúng tôi sẽ không sử dụng mật khẩu đăng nhập để truy cập bộ định tuyến từ xa, chúng tôi sẽ sử dụng một cặp khóa.
Dán (các) khóa công khai bạn đã tạo trong phần cuối của hướng dẫn vào Khóa ủy quyền cái hộp. Mỗi khóa phải là mục riêng của nó được phân tách bằng dấu ngắt dòng. Phần đầu tiên của khóa ssh-rsa Là rất quan trọng. Nếu bạn không bao gồm nó với mỗi khóa chung, chúng sẽ xuất hiện không hợp lệ đối với máy chủ SSH.
Nhấp chuột Bắt đầu ngay và sau đó cuộn xuống dưới cùng của giao diện và nhấp Tiết kiệm. Tại thời điểm này, máy chủ SSH của bạn đã hoạt động..
Định cấu hình Máy tính từ xa của bạn để truy cập Máy chủ SSH của bạn
Đây là nơi phép màu xảy ra. Bạn đã có một cặp chìa khóa, bạn đã có một máy chủ và chạy, nhưng không có cái nào có giá trị trừ khi bạn có thể kết nối từ xa từ trường và đường hầm vào bộ định tuyến của bạn. Đã đến lúc phá bỏ cuốn sách mạng đáng tin cậy của chúng tôi chạy Windows 7 và thiết lập để hoạt động.
Đầu tiên, sao chép thư mục PuTTY mà bạn đã tạo sang máy tính khác của mình (hoặc chỉ cần tải xuống và giải nén lại). Từ đây ra tất cả các hướng dẫn được tập trung vào máy tính từ xa của bạn. Nếu bạn đã chạy Trình tạo khóa PuTTy trên máy tính ở nhà, hãy đảm bảo bạn đã chuyển sang máy tính di động trong phần còn lại của hướng dẫn. Trước khi bạn giải quyết, bạn cũng cần đảm bảo rằng bạn có một bản sao của tệp .PPK mà bạn đã tạo. Khi bạn đã giải nén PuTTy và .PPK trong tay, chúng tôi sẵn sàng tiếp tục.
Ra mắt PuTTY. Màn hình đầu tiên bạn sẽ thấy là Phiên màn. Tại đây bạn sẽ cần nhập địa chỉ IP của kết nối internet tại nhà của bạn. Đây không phải là IP của bộ định tuyến của bạn trên mạng LAN cục bộ, đây là IP của modem / bộ định tuyến của bạn như thế giới bên ngoài nhìn thấy. Bạn có thể tìm thấy nó bằng cách xem trang Trạng thái chính trong giao diện web của bộ định tuyến của bạn. Thay đổi Cổng thành 2222 (hoặc bất cứ điều gì bạn thay thế trong quy trình cấu hình SSH Daemon). Bảo đảm SSH được kiểm tra. Đi trước và đặt tên cho phiên của bạn để bạn có thể lưu nó để sử dụng trong tương lai. Chúng tôi có tiêu đề Tomato SSH của chúng tôi.
Điều hướng, thông qua khung bên trái, xuống Kết nối -> Xác thực. Tại đây, bạn cần nhấp vào nút Duyệt và chọn tệp .PPK bạn đã lưu và mang đến máy từ xa của bạn.
Trong khi ở menu phụ SSH, tiếp tục xuống SSH -> Đường hầm. Ở đây chúng tôi sẽ cấu hình PuTTY để hoạt động như máy chủ proxy cho máy tính di động của bạn. Kiểm tra cả hai hộp bên dưới Cổng chuyển tiếp. Dưới đây, trong Thêm cổng chuyển tiếp mới phần, nhập 80 cho Cổng nguồn và địa chỉ IP của bộ định tuyến của bạn cho Nơi Đến. Kiểm tra Tự động và Năng động sau đó nhấp vào Thêm vào.
Kiểm tra kỹ xem một mục đã xuất hiện trong Cổng chuyển tiếp cái hộp. Điều hướng trở lại Phiên phần và nhấp Tiết kiệm một lần nữa để lưu tất cả các công việc cấu hình của bạn. Bây giờ bấm vào Mở. PuTTY sẽ khởi chạy một cửa sổ đầu cuối. Bạn có thể nhận được cảnh báo tại thời điểm này cho biết rằng khóa máy chủ của máy chủ không có trong sổ đăng ký. Đi trước và xác nhận rằng bạn tin tưởng chủ nhà. Nếu bạn lo lắng về điều đó, bạn có thể so sánh chuỗi vân tay mà nó cung cấp cho bạn trong thông báo cảnh báo với dấu vân tay của khóa bạn đã tạo bằng cách tải nó lên trong Trình tạo khóa PuTTY. Khi bạn đã mở PuTTY và nhấp qua cảnh báo, bạn sẽ thấy một màn hình giống như thế này:
Tại nhà ga, bạn sẽ chỉ cần làm hai việc. Tại dấu nhắc đăng nhập nguồn gốc. Tại dấu nhắc mật khẩu nhập mật khẩu khóa RSA của bạn-đây là mật khẩu bạn đã tạo cách đây vài phút khi bạn tạo khóa và không phải mật khẩu của bộ định tuyến. Vỏ bộ định tuyến sẽ tải và bạn đã hoàn thành tại dấu nhắc lệnh. Bạn đã hình thành một kết nối an toàn giữa PuTTY và bộ định tuyến nhà của bạn. Bây giờ chúng tôi cần hướng dẫn các ứng dụng của bạn cách truy cập PuTTY.
Lưu ý: Nếu bạn muốn đơn giản hóa quy trình với mức giá giảm nhẹ bảo mật, bạn có thể tạo khóa không cần mật khẩu và đặt PuTTY tự động đăng nhập vào tài khoản gốc (bạn có thể chuyển đổi cài đặt này trong Kết nối -> Dữ liệu -> Tự động đăng nhập ). Điều này làm giảm quá trình kết nối PuTTY chỉ đơn giản là mở ứng dụng, tải hồ sơ và nhấp vào Mở.
Định cấu hình Trình duyệt của bạn để Kết nối với PuTTY
Tại thời điểm này trong hướng dẫn, máy chủ của bạn đã hoạt động, máy tính của bạn được kết nối với nó và chỉ còn một bước nữa. Bạn cần nói với các ứng dụng quan trọng để sử dụng PuTTY làm máy chủ proxy. Bất kỳ ứng dụng nào hỗ trợ giao thức SOCKS đều có thể được liên kết với PuTTY - chẳng hạn như Firefox, mIRC, Thunderbird và uTorrent, để đặt tên cho một số - nếu bạn không chắc chắn liệu ứng dụng có hỗ trợ SOCKS trong các menu tùy chọn hay tham khảo tài liệu không. Đây là một yếu tố quan trọng không nên bỏ qua: tất cả lưu lượng truy cập của bạn không được định tuyến thông qua proxy PuTTY theo mặc định; nó phải được gắn vào máy chủ SOCKS. Ví dụ, bạn có thể có trình duyệt web nơi bạn bật SOCKS và trình duyệt web nơi bạn không - cả hai trên cùng một máy - và một trình duyệt sẽ mã hóa lưu lượng truy cập của bạn và một trình duyệt sẽ không.
Với mục đích của chúng tôi, chúng tôi muốn bảo mật trình duyệt web của mình, Firefox Portable, đủ đơn giản. Quá trình cấu hình cho Firefox chuyển thành thực tế bất kỳ ứng dụng nào bạn sẽ cần để cắm thông tin SOCKS cho. Khởi chạy Firefox và điều hướng đến Tùy chọn -> Nâng cao -> Cài đặt. Từ trong Cài đặt kết nối menu, chọn Cấu hình proxy thủ công và bên dưới SOCKS Host cắm vào 127.0.0.1-bạn đang kết nối với ứng dụng PuTTY đang chạy trên máy tính cục bộ của mình, do đó bạn phải đặt IP máy chủ cục bộ chứ không phải IP của bộ định tuyến như bạn đã đặt vào mọi khe cắm cho đến nay. Đặt cổng thành 80, và bấm vào được.
Chúng tôi có một tinh chỉnh nhỏ để áp dụng trước khi chúng tôi hoàn tất. Firefox, theo mặc định, không định tuyến các yêu cầu DNS thông qua máy chủ proxy. Điều này có nghĩa là lưu lượng truy cập của bạn sẽ luôn được mã hóa nhưng ai đó rình mò kết nối sẽ thấy tất cả các yêu cầu của bạn. Họ sẽ biết bạn đã ở Facebook.com hoặc Gmail.com nhưng họ sẽ không thể thấy bất cứ điều gì khác. Nếu bạn muốn định tuyến các yêu cầu DNS của mình thông qua SOCKS, bạn sẽ cần bật nó.
Kiểu về: cấu hình trong thanh địa chỉ, sau đó bấm vào Tôi sẽ cẩn thận, tôi hứa! Hãy nếu bạn nhận được một cảnh báo nghiêm khắc về cách bạn có thể làm hỏng trình duyệt của mình. Dán mạng.proxy.socks_remote_dns vào Bộ lọc: và sau đó nhấp chuột phải vào mục nhập cho mạng.proxy.socks_remote_dns và Chuyển đổi nó để Thật. Từ đây ra, cả trình duyệt và yêu cầu DNS của bạn sẽ được gửi qua đường hầm SOCKS.
Mặc dù chúng tôi đang định cấu hình trình duyệt của chúng tôi cho SSH mọi lúc, bạn có thể muốn dễ dàng chuyển đổi cài đặt của mình. Firefox có một tiện ích mở rộng tiện dụng, FoxyProxy, giúp dễ dàng bật và tắt máy chủ proxy của bạn. Nó hỗ trợ hàng tấn tùy chọn cấu hình như chuyển đổi giữa các proxy dựa trên tên miền bạn đang truy cập, các trang web bạn đang truy cập, v.v. Nếu bạn muốn có thể dễ dàng và tự động tắt dịch vụ proxy của mình dựa trên việc bạn có ở nhà hoặc đi, ví dụ, FoxyProxy bảo vệ bạn. Người dùng Chrome sẽ muốn kiểm tra Proxy Switchy! cho chức năng tương tự.
Chúng ta hãy xem nếu mọi thứ làm việc theo kế hoạch, phải không? Để kiểm tra mọi thứ, chúng tôi đã mở hai trình duyệt: Chrome (nhìn bên trái) không có đường hầm và Firefox (nhìn bên phải) được cấu hình mới để sử dụng đường hầm.
Ở bên trái, chúng tôi thấy địa chỉ IP của nút Wi-Fi mà chúng tôi đang kết nối và bên phải, nhờ vào đường hầm SSH, chúng tôi thấy địa chỉ IP của bộ định tuyến xa của chúng tôi. Tất cả lưu lượng truy cập Firefox đang được định tuyến thông qua máy chủ SSH. Sự thành công!
Có một mẹo hoặc thủ thuật để đảm bảo lưu lượng truy cập từ xa? Sử dụng máy chủ SOCKS / SSH với một ứng dụng cụ thể và yêu thích nó? Cần giúp đỡ để tìm ra làm thế nào để mã hóa lưu lượng của bạn? Chúng ta hãy nghe về nó trong các ý kiến.