O que é e por que configurar um túnel seguro?
Você pode estar curioso para saber por que você deseja configurar um túnel seguro dos seus dispositivos para o roteador doméstico e quais benefícios você obteria de tal projeto. Vamos expor alguns cenários diferentes que envolvem você usando a Internet para ilustrar os benefícios do encapsulamento seguro.
Cenário 1: você está em uma cafeteria usando seu laptop para navegar na Internet por meio da conexão Wi-Fi gratuita. Os dados deixam seu modem Wi-Fi, viajam pelo ar sem criptografia até o nó Wi-Fi no café e, em seguida, são passados para a Internet maior. Durante a transmissão do seu computador para a internet maior, seus dados estão totalmente abertos. Qualquer pessoa com um dispositivo Wi-Fi na área pode farejar seus dados. É tão dolorosamente fácil que um jovem de 12 anos motivado com um laptop e uma cópia do Firesheep possa pegar suas credenciais para todos os tipos de coisas. É como se você estivesse em uma sala cheia de pessoas que só falam inglês, falando em um telefone que fala chinês mandarim. No momento em que alguém que fala chinês mandarim entra (o sniffer de Wi-Fi), sua pseudo-privacidade é destruída.
Cenário dois: você está em uma cafeteria usando seu laptop para navegar na internet por meio da conexão Wi-Fi gratuita novamente. Desta vez, você estabeleceu um túnel criptografado entre seu laptop e seu roteador doméstico usando SSH. Seu tráfego é roteado através deste túnel diretamente do seu laptop para o seu roteador doméstico que está funcionando como um servidor proxy. Este pipeline é impenetrável para os sniffers de Wi-Fi que não veem nada além de um fluxo ilegível de dados criptografados. Não importa o quão desajeitado seja o estabelecimento, quão insegura a conexão Wi-Fi, seus dados ficam no túnel criptografado e só o deixa assim que ele atinge sua conexão de internet doméstica e sai para a internet maior.
No cenário um, você está navegando bem aberto; no cenário dois, você pode acessar seu banco ou outros sites privados com a mesma confiança que você teria em seu computador doméstico.
Embora usássemos o Wi-Fi em nosso exemplo, você poderia usar o túnel SSH para garantir uma conexão hardline para, digamos, iniciar um navegador em uma rede remota e abrir um buraco no firewall para navegar livremente como faria em sua conexão doméstica.
Soa bem, não é? É incrivelmente fácil de configurar, por isso não há tempo como o presente - você pode ter seu túnel SSH funcionando dentro de uma hora.
O que você precisará
- Um roteador executando o firmware modificado Tomato ou DD-WRT.
- Um cliente SSH como o PuTTY.
- Um navegador da Web compatível com SOCKS, como o Firefox.
Para o nosso guia, usaremos o Tomato, mas as instruções são quase idênticas às que você seguiria para o DD-WRT, por isso, se estiver executando o DD-WRT, fique à vontade para acompanhá-lo. Se você não tiver modificado o firmware em seu roteador, confira nosso guia para instalar o DD-WRT e o Tomato antes de continuar.
Gerando Chaves para o Nosso Túnel Criptografado
Baixe o pacote completo do PuTTY e extraia-o para uma pasta de sua escolha. Dentro da pasta, você encontrará o PUTTYGEN.EXE. Inicie o aplicativo e clique em Chave -> Gerar par de chaves. Você verá uma tela muito parecida com a mostrada acima. mova o mouse para gerar dados aleatórios para o processo de criação da chave. Uma vez que o processo tenha terminado, sua janela do PuTTY Key Generator deve ser algo como isto; vá em frente e digite uma senha forte:
Depois de inserir uma senha, vá em frente e clique em Salvar chave privada. Esconda o arquivo.PPK resultante em algum lugar seguro. Copie e cole o conteúdo da caixa "Chave pública para colar …" em um documento TXT temporário por enquanto.
Se você planeja usar vários dispositivos com seu servidor SSH (como um laptop, um netbook e um smartphone), precisará gerar pares de chaves para cada dispositivo. Vá em frente e gere, senha e salve os pares de chaves adicionais que você precisa agora. Certifique-se de copiar e colar cada nova chave pública em seu documento temporário.
Configurando seu roteador para SSH
Abra um navegador da web em uma máquina conectada à sua rede local.Navegue até a interface web do seu roteador, para o nosso roteador - um Linksys WRT54G rodando Tomato - o endereço é https://192.168.1.1. Faça o login na interface da web e navegue até Administração -> SSH Daemon. Lá você precisa checar ambos Ativar na inicialização e Acesso remoto. Você pode alterar a porta remota se desejar, mas a única vantagem de fazê-lo é que ela ofusca marginalmente o motivo pelo qual a porta está aberta se alguém a escanear. Desmarque Permitir login por senha. Nós não estaremos usando um login de senha para acessar o roteador de longe, estaremos usando um par de chaves.
Cole as chaves públicas que você gerou na última parte do tutorial no Chaves Autorizadas caixa. Cada chave deve ser sua própria entrada separada por uma quebra de linha. A primeira parte da chave ssh-rsa é muito importante. Se você não incluí-lo com cada chave pública, elas aparecerão inválidas para o servidor SSH.
Clique Comece agora e, em seguida, role para baixo até a parte inferior da interface e clique em Salve . Nesse ponto, seu servidor SSH está em funcionamento.
Configurando seu computador remoto para acessar seu servidor SSH
É aqui que a mágica acontece. Você tem um par de chaves, tem um servidor instalado e funcionando, mas nada disso tem valor, a menos que você possa se conectar remotamente a partir do campo e entrar no seu roteador. Hora de acabar com o nosso confiável net book executando o Windows 7 e pronto para funcionar.
Primeiro, copie a pasta PuTTY que você criou para o seu outro computador (ou simplesmente baixe e extraia novamente). A partir daqui, todas as instruções estão focadas no seu computador remoto. Se você executou o gerador de chaves PuTTy em seu computador doméstico, verifique se mudou para o computador móvel pelo restante do tutorial. Antes de decidir, também é necessário ter uma cópia do arquivo.PPK que você criou. Depois de ter extraído o PuTTy e o.PPK em mãos, estamos prontos para prosseguir.
Inicie o PuTTY. A primeira tela que você verá é a Sessão tela. Aqui, você precisará inserir o endereço IP da sua conexão de internet doméstica. Este não é o IP do seu roteador na LAN local, este é o IP do seu modem / roteador visto pelo mundo externo. Você pode encontrá-lo olhando para a página principal "Status" na interface da Web do seu roteador. Mude a porta para 2222 (ou o que você substituiu no processo de configuração do SSH Daemon). Certificar-se de que SSH é verificado. Vá em frente e dê um nome à sua sessão de forma que você possa Salve isso para uso futuro. Nós intitulamos o nosso Tomato SSH.
Navegue, através do painel esquerdo, até Conexão -> Autenticação. Aqui você precisa clicar no botão Procurar e selecionar o arquivo.PPK que você salvou e trouxe para a sua máquina remota.
Enquanto estiver no submenu SSH, continue até SSH -> Túneis. É aqui que vamos configurar o PuTTY para funcionar como servidor proxy para o seu computador móvel. Marque as duas caixas abaixo Port Forwarding. Abaixo, no Adicionar nova porta encaminhada seção, digite 80 para o Porta de origem e o endereço IP do seu roteador para o Destino. Verifica Auto e Dinâmico então clique Adicionar.
Verifique novamente se uma entrada apareceu no Portas Encaminhadas caixa. Navegue de volta Sessões seção e clique Salve novamente para salvar todo o seu trabalho de configuração. Agora clique Abrir. PuTTY irá lançar uma janela de terminal. Você pode receber um aviso nesse momento indicando que a chave do host do servidor não está no registro. Vá em frente e confirme que você confia no host. Se estiver preocupado, você pode comparar a cadeia de impressão digital que aparece na mensagem de aviso com a impressão digital da chave que você gerou, carregando-a no PuTTY Key Generator. Depois de abrir o PuTTY e clicar no aviso, você verá uma tela como esta:
No terminal você só precisa fazer duas coisas. No tipo de prompt de login raiz. No prompt da frase secreta insira sua senha de chaveiro RSA- essa é a senha que você criou há alguns minutos quando gerou a chave e não a senha do seu roteador. O shell do roteador será carregado e você estará pronto no prompt de comando. Você formou uma conexão segura entre o PuTTY e seu roteador doméstico. Agora precisamos instruir seus aplicativos sobre como acessar o PuTTY.
Nota: Se você quiser simplificar o processo ao preço de diminuir um pouco sua segurança, pode gerar um par de chaves sem uma senha e configurar o PuTTY para acessar a conta raiz automaticamente (você pode alternar essa configuração em Conectar -> Dados -> Login Automático ). Isso reduz o processo de conexão do PuTTY para simplesmente abrir o aplicativo, carregar o perfil e clicar em Abrir.
Configurando seu navegador para conectar-se ao PuTTY
Neste ponto do tutorial que seu servidor está instalado e funcionando, seu computador está conectado a ele e apenas uma etapa permanece. Você precisa dizer aos aplicativos importantes para usar o PuTTY como um servidor proxy. Qualquer aplicativo que suporte o protocolo SOCKS pode ser vinculado ao PuTTY - como Firefox, mIRC, Thunderbird e uTorrent, para citar alguns - se você não tiver certeza se um aplicativo é compatível com SOCKS nos menus de opções ou consulte a documentação. Esse é um elemento crítico que não deve ser ignorado: todo o seu tráfego não é roteado por meio do proxy PuTTY por padrão; isto devo ser anexado ao servidor SOCKS.Você pode, por exemplo, ter um navegador da Web no qual você ativou o SOCKS e um navegador da Web em que você não o fez - ambos na mesma máquina - e um criptografaria seu tráfego, e outro não.
Para os nossos propósitos, queremos proteger o nosso navegador, o Firefox Portable, que é bastante simples. O processo de configuração do Firefox se traduz em praticamente qualquer aplicativo que você precisa para inserir informações do SOCKS. Inicie o Firefox e navegue até Opções -> Avançado -> Configurações. De dentro do Configurações de Conexão menu, selecione Configuração manual de proxy e sob o plug-in do SOCKS Host 127.0.0.1Você está se conectando ao aplicativo PuTTY em execução no seu computador local, portanto, é necessário colocar o IP do host local, não o IP do roteador, como você colocou em todos os locais até o momento. Definir a porta para 80e clique ESTÁ BEM.
Temos um pequeno ajuste para aplicar antes de estar tudo pronto. O Firefox, por padrão, não roteia solicitações DNS através do servidor proxy. Isso significa que seu tráfego sempre será criptografado, mas alguém que bisbilhotar a conexão verá todos os seus pedidos. Eles saberiam que você estava no Facebook.com ou no Gmail.com, mas eles não conseguiriam ver mais nada. Se você quiser encaminhar suas solicitações de DNS por meio do SOCKS, será necessário ativá-lo.
Tipo about: config na barra de endereço, clique em "Terei cuidado, prometo" se você receber um aviso severo sobre como estragar seu navegador. Colar network.proxy.socks_remote_dns no Filtro: caixa e, em seguida, clique direito sobre a entrada para network.proxy.socks_remote_dns e Alternancia para Verdade. A partir daqui, tanto a sua navegação como as suas solicitações de DNS serão enviadas através do túnel SOCKS.
Embora estejamos configurando nosso navegador para SSH-todo-o-tempo, talvez você queira alternar facilmente suas configurações. O Firefox tem uma extensão útil, o FoxyProxy, que torna super fácil ligar e desligar seus servidores proxy. Ele oferece suporte a várias opções de configuração, como alternar entre proxies com base no domínio em que você está, nos sites que você está visitando etc. Se você quiser ser capaz de desativar seu serviço de proxy com facilidade e automaticamente, dependendo se você está em casa ou fora, por exemplo, FoxyProxy cobriu você. Os usuários do Chrome desejarão verificar o Proxy Switchy! para funcionalidade semelhante.
Vamos ver se tudo funcionou como planejado, vamos? Para testar as coisas, abrimos dois navegadores: Chrome (visto à esquerda) sem túnel e Firefox (visto à direita) recém-configurado para usar o túnel.
Tem uma dica ou truque para proteger o tráfego remoto? Use um servidor SOCKS / SSH com um aplicativo específico e amá-lo? Precisa de ajuda para descobrir como criptografar seu tráfego? Vamos ouvir sobre isso nos comentários.
