Pagina inicial » como » Configurar o SSH no seu roteador para acesso seguro à Web de qualquer lugar

    Configurar o SSH no seu roteador para acesso seguro à Web de qualquer lugar

    Conectar-se à Internet a partir de hotspots Wi-Fi, no trabalho ou em qualquer outro local longe de casa, expõe seus dados a riscos desnecessários. Você pode configurar facilmente seu roteador para suportar um túnel seguro e proteger o tráfego do navegador remoto para ver como.

    O que é e por que configurar um túnel seguro?

    Você pode estar curioso para saber por que você deseja configurar um túnel seguro dos seus dispositivos para o seu roteador doméstico e quais benefícios você obteria de tal projeto. Vamos expor alguns cenários diferentes que envolvem você usando a Internet para ilustrar os benefícios do encapsulamento seguro.

    Cenário 1: Você está em uma cafeteria usando seu laptop para navegar na Internet através de sua conexão Wi-Fi gratuita. Os dados deixam o seu modem Wi-Fi, viajam pelo ar sem criptografia até o nó Wi-Fi no café e, em seguida, são passados ​​para a Internet maior. Durante a transmissão do seu computador para a internet maior, seus dados estão escancarados. Qualquer pessoa com um dispositivo Wi-Fi na área pode farejar seus dados. É tão dolorosamente fácil que um jovem de 12 anos motivado, com um laptop e uma cópia do Firesheep, possa pegar suas credenciais para todos os tipos de coisas. É como se você estivesse em uma sala cheia de pessoas que só falam inglês, falando em um telefone falando mandarim chinês. No momento em que alguém que fala chinês mandarim entra (o sniffer de Wi-Fi) sua pseudo-privacidade é quebrada.

    Cenário dois: você está em uma cafeteria usando seu laptop para navegar na internet através de sua conexão Wi-Fi gratuita novamente. Desta vez, você estabeleceu um túnel criptografado entre seu laptop e seu roteador doméstico usando SSH. Seu tráfego é roteado através deste túnel diretamente do seu laptop para o seu roteador doméstico que está funcionando como um servidor proxy. Esse pipeline é impenetrável para os sniffers de Wi-Fi que não vêem nada além de um fluxo ilegível de dados criptografados. Não importa o quão desajeitado seja o estabelecimento, quão insegura a conexão Wi-Fi, seus dados ficam no túnel criptografado e só o deixa assim que atinge sua conexão doméstica de internet e sai para a internet maior.

    No cenário um você está navegando bem aberto; no cenário dois, você pode acessar seu banco ou outros sites privados com a mesma confiança que você teria em seu computador doméstico.

    Embora usássemos o Wi-Fi em nosso exemplo, você poderia usar o túnel SSH para garantir uma conexão rígida para, digamos, iniciar um navegador em uma rede remota e abrir um buraco no firewall para navegar tão livremente quanto você faria em sua conexão doméstica.

    Soa bem, não é? É incrivelmente fácil de configurar, então não há tempo como o presente - você pode ter seu túnel SSH funcionando dentro de uma hora.

    O que você precisará

    Há muitas maneiras de configurar um túnel SSH para proteger sua navegação na web. Para este tutorial, estamos nos concentrando na configuração de um túnel SSH da maneira mais fácil possível, com o mínimo de confusão para um usuário com um roteador doméstico e máquinas baseadas no Windows. Para acompanhar nosso tutorial, você precisará das seguintes coisas:

    • Um roteador executando o firmware modificado Tomato ou DD-WRT.
    • Um cliente SSH como o PuTTY.
    • Um navegador da Web compatível com SOCKS, como o Firefox.

    Para o nosso guia, usaremos o Tomato, mas as instruções são quase idênticas às que você seguiria para o DD-WRT, por isso, se estiver usando o DD-WRT, sinta-se à vontade para acompanhá-lo. Se você não tiver o firmware modificado no seu roteador, confira nosso guia para instalar o DD-WRT e o Tomato antes de prosseguir.

    Gerando Chaves para o Nosso Túnel Encriptado

    Embora possa parecer estranho dar o salto direto para gerar as chaves antes mesmo de configurarmos o servidor SSH, se tivermos as chaves prontas, poderemos configurar o servidor em uma única passagem.

    Baixe o pacote completo do PuTTY e extraia-o para uma pasta de sua escolha. Dentro da pasta, você encontrará o PUTTYGEN.EXE. Inicie o aplicativo e clique em Chave -> Gerar par de chaves. Você verá uma tela muito parecida com a mostrada acima; mova o mouse para gerar dados aleatórios para o processo de criação de chaves. Uma vez que o processo tenha terminado, sua janela do PuTTY Key Generator deve ser algo como isto; vá em frente e digite uma senha forte:

    Depois de inserir uma senha, vá em frente e clique em Salvar chave privada. Esconda o arquivo .PPK resultante em algum lugar seguro. Copie e cole o conteúdo da caixa “Chave pública para colar…” em um documento TXT temporário por enquanto.

    Se você planeja usar vários dispositivos com seu servidor SSH (como um laptop, um netbook e um smartphone), é necessário gerar pares de chaves para cada dispositivo. Vá em frente e gere, senha e salve os pares de chaves adicionais que você precisa agora. Certifique-se de copiar e colar cada nova chave pública em seu documento temporário.

    Configurando seu roteador para SSH

    Tanto o Tomato quanto o DD-WRT possuem servidores SSH integrados. Isso é incrível por dois motivos. Primeiro, costumava ser um grande esforço ligar-se ao seu roteador para instalar manualmente um servidor SSH e configurá-lo. Segundo, porque você está executando seu servidor SSH em seu roteador (que provavelmente consome menos energia do que uma lâmpada), você nunca precisa deixar seu computador principal ligado apenas para um servidor SSH leve.

    Abra um navegador da Web em uma máquina conectada à sua rede local. Navegue até a interface web do seu roteador, para o nosso roteador - um Linksys WRT54G rodando Tomato - o endereço é http://192.168.1.1. Faça o login na interface da web e navegue até Administração -> SSH Daemon. Lá você precisa checar ambos Ativar na inicialização e Acesso remoto. Você pode alterar a porta remota se desejar, mas o único benefício em fazê-lo é que ela ofusca marginalmente a razão pela qual a porta está aberta se alguém a escanear. Desmarque Permitir login por senha. Nós não estaremos usando uma senha de login para acessar o roteador de longe, estaremos usando um par de chaves.

    Cole as chaves públicas que você gerou na última parte do tutorial no Chaves Autorizadas caixa. Cada chave deve ser sua própria entrada separada por uma quebra de linha. A primeira parte da chave ssh-rsa é muito importante. Se você não incluí-lo com cada chave pública, elas aparecerão inválidas para o servidor SSH.

    Clique Comece agora e, em seguida, role para baixo até a parte inferior da interface e clique em Salve . Neste ponto, seu servidor SSH está funcionando.

    Configurando seu computador remoto para acessar seu servidor SSH

    É aqui que a mágica acontece. Você tem um par de chaves, tem um servidor instalado e funcionando, mas nada disso tem valor, a menos que você possa se conectar remotamente a partir do campo e do túnel em seu roteador. Hora de acabar com nosso confiável net book executando o Windows 7 e pronto para funcionar.

    Primeiro, copie a pasta PuTTY que você criou para o outro computador (ou simplesmente baixe e extraia novamente). A partir daqui, todas as instruções estão focadas no seu computador remoto. Se você executou o PuTTy Key Generator em seu computador em casa, verifique se mudou para o seu computador móvel pelo restante do tutorial. Antes de se estabelecer, você também precisará ter certeza de ter uma cópia do arquivo .PPK que você criou. Depois de ter o PuTTy extraído e o .PPK em mãos, estamos prontos para prosseguir.

    Lançar PuTTY. A primeira tela que você verá é a Sessão tela. Aqui você precisa digitar o endereço IP da sua conexão de internet doméstica. Este não é o IP do seu roteador na LAN local, este é o IP do seu modem / roteador visto pelo mundo externo. Você pode encontrá-lo olhando a página principal de Status na interface da Web do seu roteador. Mude a porta para 2222 (ou o que você substituiu no processo de configuração do SSH Daemon). Certificar-se de que SSH é verificado. Vá em frente e dê um nome à sua sessão de forma que você possa Salve isso para uso futuro. Nós intitulamos o nosso Tomato SSH.

    Navegue, através do painel esquerdo, até Conexão -> Autenticação. Aqui você precisa clicar no botão Procurar e selecionar o arquivo .PPK que você salvou e trouxe para sua máquina remota.

    Enquanto estiver no submenu SSH, continue até SSH -> Túneis. É aqui que vamos configurar o PuTTY para funcionar como servidor proxy para o seu computador móvel. Marque as duas caixas abaixo Port Forwarding. Abaixo, no Adicionar nova porta encaminhada seção, digite 80 para o Porta de origem eo endereço IP do seu roteador para o Destino. Verifica Auto e Dinâmico então clique Adicionar.

    Verifique novamente se uma entrada apareceu no Portas Encaminhadas caixa. Navegue de volta Sessões seção e clique Salve  novamente para salvar todo o seu trabalho de configuração. Agora clique Abrir. O PuTTY irá iniciar uma janela de terminal. Você pode receber um aviso nesse ponto indicando que a chave do host do servidor não está no registro. Vá em frente e confirme que você confia no host. Se você estiver preocupado com isso, poderá comparar a cadeia de impressão digital que é fornecida na mensagem de aviso com a impressão digital da chave que você gerou, carregando-a no PuTTY Key Generator. Uma vez que você abriu o PuTTY e clicou no aviso, você deve ver uma tela como esta:

    No terminal você só precisa fazer duas coisas. No tipo de prompt de login raiz. No prompt da frase secreta insira sua senha de chaveiro RSA-essa é a senha que você criou há alguns minutos quando gerou a chave e não a senha do roteador. O shell do roteador será carregado e pronto no prompt de comando. Você formou uma conexão segura entre o PuTTY e seu roteador doméstico. Agora precisamos instruir seus aplicativos sobre como acessar o PuTTY.

    Nota: Se você quiser simplificar o processo ao preço de diminuir um pouco sua segurança, pode gerar um par de chaves sem uma senha e definir o PuTTY para fazer login na conta root automaticamente (você pode alternar essa configuração em Conectar -> Dados -> Login Automático ). Isso reduz o processo de conexão do PuTTY para simplesmente abrir o aplicativo, carregar o perfil e clicar em Abrir.

    Configurando seu navegador para se conectar ao PuTTY

    Neste ponto do tutorial seu servidor está ativo e em execução, seu computador está conectado a ele e apenas uma etapa permanece. Você precisa dizer aos aplicativos importantes para usar o PuTTY como um servidor proxy. Qualquer aplicativo que suporte o protocolo SOCKS pode ser vinculado ao PuTTY, como Firefox, mIRC, Thunderbird e uTorrent, para citar alguns - se você não tiver certeza se um aplicativo é compatível com SOCKS nos menus de opções ou consulte a documentação. Este é um elemento crítico que não deve ser esquecido: todo o seu tráfego não é roteado através do proxy PuTTY por padrão; isto devo ser anexado ao servidor SOCKS. Você poderia, por exemplo, ter um navegador da Web em que você ativou o SOCKS e um navegador da Web onde você não o fez - ambos na mesma máquina - e um criptografaria seu tráfego, e um não.

    Para os nossos propósitos, queremos proteger o nosso navegador, o Firefox Portable, que é bastante simples. O processo de configuração do Firefox se traduz em praticamente qualquer aplicativo que você precisa para conectar informações do SOCKS. Inicie o Firefox e navegue até Opções -> Avançado -> Configurações. De dentro do Configurações de Conexão menu, selecione Configuração manual de proxy e sob o plug-in do SOCKS Host 127.0.0.1-você está se conectando ao aplicativo PuTTY em execução no seu computador local, portanto, você deve colocar o IP do host local, não o IP do roteador, como você colocou em todos os slots até o momento. Definir a porta para 80, e clique Está bem.

    Temos um pequeno ajuste para aplicar antes de estarmos todos prontos. O Firefox, por padrão, não roteia solicitações DNS através do servidor proxy. Isso significa que seu tráfego sempre será criptografado, mas alguém que bisbilhotar a conexão verá todos os seus pedidos. Eles saberiam que você estava no Facebook.com ou no Gmail.com, mas eles não conseguiriam ver mais nada. Se você quiser encaminhar suas solicitações de DNS por meio do SOCKS, será necessário ativá-lo.

    Tipo about: config na barra de endereços, clique em “Eu terei cuidado, prometo!” se você receber um aviso severo sobre como pode estragar seu navegador. Colar network.proxy.socks_remote_dns no Filtro: caixa e, em seguida, clique direito sobre a entrada para network.proxy.socks_remote_dns e Alternancia para Verdade. A partir daqui, tanto a sua navegação como as suas solicitações de DNS serão enviadas através do túnel SOCKS.

    Embora estejamos configurando nosso navegador para SSH-todo-o-tempo, talvez você queira alternar facilmente suas configurações. O Firefox tem uma extensão útil, o FoxyProxy, que torna super fácil ligar e desligar seus servidores proxy. Ele oferece suporte a várias opções de configuração, como alternar entre proxies com base no domínio em que você está, nos sites que você está visitando etc. Se você quiser ser capaz de desativar seu serviço de proxy de maneira fácil e automática, dependendo se você está em casa ou fora, por exemplo, FoxyProxy cobriu você. Os usuários do Chrome desejarão verificar o Proxy Switchy! para funcionalidade semelhante.

    Vamos ver se tudo funcionou como planejado, vamos? Para testar as coisas, abrimos dois navegadores: Chrome (visto à esquerda) sem túnel e Firefox (visto à direita) recém-configurado para usar o túnel.

    À esquerda, vemos o endereço IP do nó Wi-Fi ao qual estamos nos conectando e à direita, cortesia do nosso túnel SSH, vemos o endereço IP de nosso roteador distante. Todo o tráfego do Firefox está sendo roteado através do servidor SSH. Sucesso!


    Tem uma dica ou truque para proteger o tráfego remoto? Use um servidor SOCKS / SSH com um aplicativo específico e amá-lo? Precisa de ajuda para descobrir como criptografar seu tráfego? Vamos ouvir sobre isso nos comentários.