15Jul
Se connecter à Internet depuis des hotspots Wi-Fi, au travail ou n'importe où ailleurs, expose vos données à des risques inutiles. Vous pouvez facilement configurer votre routeur pour prendre en charge un tunnel sécurisé et protéger le trafic de votre navigateur distant: lisez-le pour voir comment.
Qu'est-ce que c'est et pourquoi configurer un tunnel sécurisé?
Vous pourriez être curieux de savoir pourquoi vous voudriez même mettre en place un tunnel sécurisé de vos appareils à votre routeur domestique et quels avantages vous tireriez d'un tel projet. Imaginons quelques scénarios différents qui impliquent que vous utilisiez Internet pour illustrer les avantages du tunneling sécurisé.
Scénario un: Vous êtes dans un café en utilisant votre ordinateur portable pour naviguer sur Internet grâce à leur connexion Wi-Fi gratuite. Les données quittent votre modem Wi-Fi, voyagent en clair dans le nœud Wi-Fi du café, puis sont transmises à Internet. Pendant la transmission de votre ordinateur au grand Internet, vos données sont grandes ouvertes. Toute personne disposant d'un appareil Wi-Fi dans la zone peut renifler vos données. Il est si douloureusement facile qu'un 12 ans motivé avec un ordinateur portable et une copie de Firesheep pourrait s'emparer de vos informations d'identification pour toutes sortes de choses. C'est comme si vous étiez dans une pièce remplie d'orateurs anglais, parlant dans un téléphone parlant le chinois mandarin. Au moment où quelqu'un qui parle le mandarin arrive( le renifleur Wi-Fi), votre pseudo-intimité est brisée.
Scénario 2: Vous êtes dans un café en utilisant votre ordinateur portable pour naviguer à nouveau sur Internet grâce à leur connexion Wi-Fi gratuite. Cette fois, vous avez établi un tunnel crypté entre votre ordinateur portable et votre routeur domestique en utilisant SSH.Votre trafic est acheminé via ce tunnel directement depuis votre ordinateur portable vers votre routeur domestique qui fonctionne comme un serveur proxy. Ce pipeline est impénétrable aux renifleurs Wi-Fi qui ne verraient rien d'autre qu'un flot déformé de données cryptées. Peu importe comment l'établissement, la sécurité de la connexion Wi-Fi, vos données restent dans le tunnel crypté et ne le quitte une fois qu'il a atteint votre connexion Internet à la maison et quitte le grand Internet.
Dans le premier scénario, vous surfez largement;Dans le scénario 2, vous pouvez vous connecter à votre banque ou à d'autres sites Web privés avec la même confiance que vous le feriez depuis votre ordinateur personnel.
Bien que nous utilisions le Wi-Fi dans notre exemple, vous pouviez utiliser le tunnel SSH pour sécuriser une connexion hardline, par exemple, lancer un navigateur sur un réseau distant et percer un trou dans le pare-feu pour naviguer aussi librement que sur votre connexion.
Ça sonne bien, n'est-ce pas? C'est incroyablement facile à configurer, donc il n'y a pas de temps comme le présent - vous pouvez avoir votre tunnel SSH opérationnel dans l'heure.
Ce dont vous aurez besoin
Il existe plusieurs façons de configurer un tunnel SSH pour sécuriser votre navigation sur le Web. Pour ce didacticiel, nous nous concentrons sur la configuration d'un tunnel SSH de la manière la plus simple possible, avec le moins de soucis possible pour un utilisateur disposant d'un routeur domestique et de machines Windows. Pour suivre notre tutoriel, vous aurez besoin des choses suivantes:
- Un routeur exécutant le firmware modifié Tomato ou DD-WRT.
- Un client SSH comme PuTTY.
- Un navigateur Web compatible SOCKS comme Firefox.
Pour notre guide, nous utiliserons Tomato mais les instructions sont presque identiques à celles que vous suivrez pour DD-WRT, donc si vous utilisez DD-WRT, n'hésitez pas à suivre. Si vous n'avez pas de micrologiciel modifié sur votre routeur, consultez notre guide d'installation de DD-WRT et de Tomato avant de continuer.
Générer des clés pour notre tunnel crypté
Bien qu'il puisse sembler bizarre d'aller directement à la génération des clés avant même de configurer le serveur SSH, si les clés sont prêtes, nous pourrons configurer le serveur en un seul passage.
Téléchargez le pack PuTTY complet et extrayez-le dans un dossier de votre choix. Dans le dossier, vous trouverez PUTTYGEN.EXE.Lancez l'application et cliquez sur Key - & gt;Générez la paire de clés .Vous verrez un écran semblable à celui illustré ci-dessus;déplacez votre souris pour générer des données aléatoires pour le processus de création de clé.Une fois le processus terminé, votre fenêtre PuTTY Key Generator devrait ressembler à ceci:allez-y et entrez un mot de passe fort:
Une fois que vous avez branché un mot de passe, allez-y et cliquez sur Enregistrer la clé privée .Stash le fichier. PPK résultant quelque part en toute sécurité.Copiez et collez le contenu de la boîte "Clé publique pour coller. .." dans un document temporaire TXT pour le moment.
Si vous envisagez d'utiliser plusieurs périphériques avec votre serveur SSH( tel qu'un ordinateur portable, un netbook et un smartphone), vous devez générer des paires de clés pour chaque périphérique. Allez-y et générez, mot de passe, et enregistrez les paires de clés supplémentaires dont vous avez besoin maintenant. Assurez-vous de copier et coller chaque nouvelle clé publique dans votre document temporaire.
Configuration de votre routeur pour SSH
Tomato et DD-WRT ont tous deux des serveurs SSH intégrés. C'est génial pour deux raisons. Tout d'abord, il était très difficile de se connecter à Telnet par votre routeur pour installer manuellement un serveur SSH et le configurer. Deuxièmement, parce que vous utilisez votre serveur SSH sur votre routeur( qui consomme probablement moins d'énergie qu'une ampoule), vous n'avez jamais à laisser votre ordinateur principal allumé juste pour un serveur SSH léger.
Ouvre un navigateur Web sur une machine connectée à votre réseau local. Accédez à l'interface Web de votre routeur, pour notre routeur-un Linksys WRT54G exécutant Tomato-l'adresse est http://192.168.1.1.Connectez-vous à l'interface Web et naviguez jusqu'à Administration - & gt; SSH Daemon .Là, vous devez vérifier Activer au démarrage et Remote Access .Vous pouvez changer le port distant si vous le désirez mais le seul avantage à le faire est qu'il obscurcit marginalement la raison pour laquelle le port est ouvert si quelqu'un vous scanne. Décochez Autoriser la connexion par mot de passe .Nous n'utiliserons pas un mot de passe pour accéder au routeur à distance, nous utiliserons une paire de clés.
Collez les clés publiques que vous avez générées dans la dernière partie du didacticiel dans la zone Autorised Keys .Chaque clé doit être sa propre entrée séparée par un saut de ligne. La première partie de la clé ssh-rsa est très importante. Si vous ne l'incluez pas avec chaque clé publique, ils apparaîtront invalides pour le serveur SSH.
Cliquez sur Démarrez maintenant , puis faites défiler vers le bas de l'interface et cliquez sur Enregistrer .À ce stade, votre serveur SSH est opérationnel.
Configuration de votre ordinateur distant pour accéder à votre serveur SSH
C'est ici que la magie se produit. Vous avez une paire de clés, vous disposez d'un serveur opérationnel, mais rien de tout cela n'a de valeur, à moins que vous ne puissiez vous connecter à distance depuis le terrain et le tunnel dans votre routeur. Il est temps de sortir notre bon livre net sous Windows 7 et de travailler.
Tout d'abord, copiez le dossier PuTTY que vous avez créé sur votre autre ordinateur( ou téléchargez-le et extrayez-le à nouveau).A partir de là, toutes les instructions sont concentrées sur votre ordinateur distant. Si vous avez exécuté le générateur de clés PuTTy sur votre ordinateur personnel, assurez-vous que vous avez basculé sur votre ordinateur portable pour la suite du didacticiel. Avant de vous installer, vous devrez également vous assurer d'avoir une copie du fichier. PPK que vous avez créé.Une fois que vous avez extrait PuTTy et que le. PPK est en main, nous sommes prêts à continuer.
Lancer PuTTY.Le premier écran que vous verrez est l'écran Session .Ici, vous devrez entrer l'adresse IP de votre connexion Internet à la maison. Ce n'est pas l'IP de votre routeur sur le LAN local c'est l'IP de votre modem / routeur vu par le monde extérieur. Vous pouvez le trouver en consultant la page d'état principale de l'interface Web de votre routeur. Changez le port en 2222 ( ou ce que vous avez remplacé dans le processus de configuration du démon SSH).Assurez-vous que SSH est vérifié .Allez-y et donner à votre session un nom afin que vous puissiez l'enregistrer pour une utilisation future. Nous avons intitulé la nôtre Tomate SSH.
Naviguer, via le volet de gauche, jusqu'à la connexion - & gt;Auth .Ici, vous devez cliquer sur le bouton Parcourir et sélectionner le fichier. PPK que vous avez enregistré et transféré sur votre machine distante.
Dans le sous-menu SSH, continuez jusqu'à SSH - & gt;Tunnels .C'est ici que nous allons configurer PuTTY pour fonctionner comme serveur proxy pour votre ordinateur portable. Vérifiez les deux boîtes sous Port Forwarding .Ci-dessous, dans la section du port ajouté, entrez 80 pour le port et l'adresse IP de votre routeur pour .Vérifiez Auto et Dynamic puis cliquez sur Add .
Vérifiez qu'une entrée est apparue dans la zone des ports .Revenez dans la section des sessions et cliquez à nouveau sur pour sauvegarder tous vos travaux de configuration. Maintenant, cliquez sur Open .PuTTY va lancer une fenêtre de terminal. Vous pouvez recevoir un avertissement à ce stade indiquant que la clé hôte du serveur ne se trouve pas dans le registre. Allez-y et confirmez que vous faites confiance à l'hôte. Si vous êtes inquiet à ce sujet, vous pouvez comparer la chaîne d'empreintes digitales qu'il vous donne dans le message d'avertissement avec l'empreinte de la clé que vous avez générée en le chargeant dans PuTTY Key Generator. Une fois que vous avez ouvert PuTTY et cliqué à travers l'avertissement, vous devriez voir un écran qui ressemble à ceci:
Au terminal, vous aurez seulement besoin de faire deux choses.À l'invite de connexion, tapez root .À l'invite de mot de passe , entrez votre mot de passe de clé RSA : il s'agit du mot de passe que vous avez créé il y a quelques minutes lorsque vous avez généré votre clé et non le mot de passe de votre routeur. Le shell du routeur va charger et vous avez terminé à l'invite de commande. Vous avez établi une connexion sécurisée entre PuTTY et votre routeur domestique. Nous devons maintenant indiquer à vos applications comment accéder à PuTTY.
Remarque: Si vous souhaitez simplifier le processus au prix d'une légère diminution de votre sécurité, vous pouvez générer une paire de clés sans mot de passe et configurer PuTTY pour vous connecter automatiquement au compte root( vous pouvez basculer ce paramètre sous Connexion - & gt; Données - & gt; Connexion automatique).Cela réduit le processus de connexion PuTTY à simplement ouvrir l'application, charger le profil et cliquer sur Ouvrir.
Configuration de votre navigateur pour se connecter à PuTTY
À ce stade du tutoriel, votre serveur est opérationnel et votre ordinateur y est connecté, et il ne reste qu'une étape. Vous devez indiquer aux applications importantes d'utiliser PuTTY comme serveur proxy. Toute application prenant en charge le protocole SOCKS peut être liée à PuTTY, comme Firefox, mIRC, Thunderbird et uTorrent, pour n'en nommer que quelques-unes si vous n'êtes pas sûr qu'une application supporte SOCKS dans les menus d'options ou consulte la documentation. Il s'agit d'un élément essentiel qui ne doit pas être négligé: tout votre trafic n'est pas routé via le proxy PuTTY par défaut; doit être attaché au serveur SOCKS.Vous pouvez, par exemple, avoir un navigateur Web sur lequel vous avez activé SOCKS et un navigateur Web où vous ne l'avez pas fait - tous deux sur la même machine - et où l'un crypterait votre trafic et l'autre pas.
Pour nos besoins, nous voulons sécuriser notre navigateur Web, Firefox Portable, ce qui est assez simple. Le processus de configuration pour Firefox se traduit par pratiquement n'importe quelle application dont vous aurez besoin pour brancher des informations SOCKS.Lancez Firefox et accédez aux options - & gt;Avancé - & gt;Paramètres .Dans le menu Paramètres de connexion , sélectionnez Configuration manuelle du proxy et sous SOCKS Hôte 127.0.0.1 -vous vous connectez à l'application PuTTY s'exécutant sur votre ordinateur local. Vous devez donc placer l'adresse IP hôte locale, et nonl'adresse IP de votre routeur comme vous l'avez mis dans chaque slot jusqu'à présent. Définissez le port sur 80 et cliquez sur OK.
Nous avons un petit petit tweak à appliquer avant que nous soyons tous ensemble. Firefox, par défaut, n'achemine pas les requêtes DNS via le serveur proxy. Cela signifie que votre trafic sera toujours crypté, mais que quelqu'un espionnant la connexion verra toutes vos demandes. Ils sauraient que vous étiez sur Facebook.com ou Gmail.com mais ils ne pourraient rien voir d'autre. Si vous souhaitez router vos requêtes DNS via SOCKS, vous devez l'activer.
Type à propos de: config dans la barre d'adresse, puis cliquez sur "Je ferai attention, promis!" Si vous obtenez un avertissement sévère sur la façon dont vous pouvez bousiller votre navigateur. Collez network.proxy.socks_remote_dns dans le champ Filter: , puis faites un clic droit sur l'entrée network.proxy.socks_remote_dns et Basculez sur True .A partir de là, votre navigation et vos requêtes DNS seront envoyées via le tunnel SOCKS.
Bien que nous configurions notre navigateur pour SSH-tout le temps, vous pouvez facilement basculer vos paramètres. Firefox a une extension pratique, FoxyProxy, qui le rend très facile à activer et désactiver vos serveurs proxy. Il prend en charge de nombreuses options de configuration, comme la commutation entre les proxies en fonction du domaine dans lequel vous vous trouvez, des sites que vous visitez, etc. Si vous voulez pouvoir désactiver facilement et automatiquement votre service proxy en fonction de votre statutà la maison ou ailleurs, par exemple, FoxyProxy vous a couvert. Les utilisateurs de Chrome voudront vérifier Proxy Switchy!pour des fonctionnalités similaires.
Voyons si tout a fonctionné comme prévu, n'est-ce pas? Pour tester les choses, nous avons ouvert deux navigateurs: Chrome( vu à gauche) sans tunnel et Firefox( vu à droite) fraîchement configuré pour utiliser le tunnel.
Sur la gauche, nous voyons l'adresse IP du nœud Wi-Fi auquel nous nous connectons et à droite, grâce à notre tunnel SSH, nous voyons l'adresse IP de notre routeur distant. Tout le trafic Firefox est acheminé via le serveur SSH.Succès!
Avoir une astuce ou un truc pour sécuriser le trafic à distance? Utiliser un serveur SOCKS / SSH avec une application particulière et l'aimer? Besoin d'aide pour trouver comment crypter votre trafic? Entendons-le dans les commentaires.