|
Żyjemy w świecie, w którym jest coraz więcej miejsc, w których oferowane jest bezpłatne wifi i bezpłatny dostęp do Internetu. W każdym hotelu, barze czy kawiarni trzeba zadbać o to, aby te połączenia były bezpieczne, bo generalnie o to chodzi otwarte Wi-Fi, bez żadnego rodzaju ochronyW takich przypadkach połączenie nie jest bezpieczne, ale oczywiście nadal musisz się łączyć i czytać wiadomości e-mail lub udostępniać niektóre dokumenty. CoCo robić: Czy narażasz się na ewentualną kradzież informacji lub nie łączysz się bezpośrednio? Czy istnieje inna alternatywa? Tak, utwórz tunel SSH. |
Istnieje kilka podstawowych narzędzi, takich jak SSH i Firefox (lub prawie każda inna przeglądarka internetowa), które mogą pomóc w zbudowaniu bezpiecznego połączenia z zaufanym komputerem w Internecie (na przykład z własnym serwerem głównym).
Żeby było jaśniej: załóżmy, że masz połączenie z siecią publiczną lub hotspotem Wi-Fi. Wokół ciebie jest wiele osób z tym samym łączem i nie wiesz nic o tym, kto jest dostawcą sieci. Co możesz zrobić, aby uzyskać bezpieczne połączenie? Otwórz tak zwany tunel SSH na znanej maszynie (zwykle odległej maszynie, którą posiadasz) i prześlij cały ruch generowany przez przeglądarkę internetową przez ten tunel.
Można to zrobić za pomocą następującego polecenia ssh:
ssh -N -f -D 8080 nazwa_użytkownika@zdalny_serwer_ssh
Gdzie nazwa użytkownika to nazwa użytkownika, z którą zwykle łączysz się przez SSH z tym komputerem, a zdalny_ssh_serwer to adres IP lub nazwa zdalnego komputera. Polecam zrobić mężczyzna ssh aby znaleźć więcej informacji o tym poleceniu.
To, co robi powyższe polecenie, to otwarcie portu 8080 na naszej lokalnej maszynie (127.0.0.1), gdzie będzie nasłuchiwać wszystkich żądań przeglądania sieci i wysyłać je do maszyny zdalnej. Następnie zdalna maszyna przekaże wszystkie pakiety do Internetu tak, jakby pochodziły stamtąd. Dlatego publiczny adres IP naszej przeglądarki to zdalny serwer, a nie maszyna, z której przeglądamy.
To, co brzmi jak chiński, oznacza, że właśnie włączyłeś port na swoim komputerze (w przykładzie 8080), aby bezpiecznie wysyłać i odbierać ruch internetowy.
Pozostało tylko skonfigurować Firefoksa lub preferowaną przeglądarkę internetową do korzystania z tego portu i upewnić się, że wszystkie żądania DNS są również kierowane przez to bezpieczne połączenie. Idziemy do Edycja > Preferencje > Zaawansowane > Sieć > Połączenie > Ustawienia. Tam skonfiguruj nowy serwer proxy SOCKS.
Aby skonfigurować wymagania DNS, wpisałem about: config w pasku adresu Firefoksa i poszukaj następującej zmiennej. Kliknij go dwukrotnie, aby go zmienić prawdziwy.
sieć.proxy.socks_remote_dns; domyślna wartość logiczna prawda
Aby łatwo włączyć/wyłączyć korzystanie z tego serwera proxy, możesz pobrać rozszerzenia dla przeglądarki Firefox, takie jak Szybkie proxy o FoxyProxy.
Aby zamknąć port, wystarczy zabić proces ssh uruchomiony poleceniem wskazanym na początku tego posta. Za każdym razem, gdy chcesz nawiązać bezpieczne połączenie, musisz uruchomić to polecenie ssh, wprowadzając warianty pasujące do twoich upodobań i potrzeb (port może być inny, możesz przekazać mu parametr -C, aby skompresować wszystkie informacje itp. )
źródło: linuksaria & Słońce Wiki
co to jest bakan linux 🙂
Idealnym uzupełnieniem (i ulepszeniem oryginalnego artykułu, do którego się odwołujemy) byłoby wskazanie serwera, który nam na to pozwala ustanowić bezpieczne połączenia SSH bez konieczności pozostawiania włączonego domowego komputera 😉
Nie ma na to sposobu, chyba że strona jest HTTPS.
Na wszelki wypadek i aby uniknąć nieporozumień, chciałbym wyjaśnić, że nie ma to nic wspólnego z możliwością połączenia przez SSH z inną maszyną (z Twojej sieci lub z zewnątrz). To, co porusza ten post, to coś zupełnie innego (choć korzystając z powyższego): możliwość zbudowania bezpiecznego sposobu na spokojną nawigację w niezabezpieczonych sieciach Wi-Fi.
Twoje zdrowie! Paweł.
9 sierpnia 2011 03:31, Disqus
<> napisał:
I należy wspomnieć, że tunelowanie ssh jest jedną z niewielu rzeczy, które możemy zrobić, aby uniknąć ataków mitm.
Eärendil możesz dodać, jak to zrobić, gdy idziemy do cybernetycznego komputera z systemem Windows. To samo można zrobić z PuTTY, oczywiście będziemy również musieli mieć własny lub znany serwer ssh, z którym będziemy mogli się połączyć.
Musisz po prostu skonfigurować go tak, jak jest na zrzucie ekranu i nacisnąć ADD, a następnie jest taki sam, jak przyjaciel już wyjaśnił w poście: http://www.subeimagenes.net/images/286Dibujo.jpg
Czy można to zrobić ze smartfona (na przykład z Androidem)? A gdybym na przykład otworzył msn z tego samego firefoxa, w którym wykonałem te kroki z usługą taką jak meebo lub strona hotmail, to byłoby to bezpieczne, prawda?
Tak.Możesz również bezpośrednio skonfigurować klienta MSN do korzystania z nowego serwera proxy.
Twoje zdrowie! Paweł.
dobry
Uwaga: połączenie to można nawiązać półautomatycznie bez pytania o hasło. Polecam lekturę http://rm-rf.es/login-ssh-sin-password-de-forma-rapida-y-sencilla/
pozdrowienia
A skąd wziąć serwer SSH z publicznym adresem IP?
Zwykle używam własnego komputera stacjonarnego
To musi być kolejna twoja maszyna. Na przykład, jeśli jesteś w starbucksie, musiałaby to być maszyna w domu lub w pracy. Ta metoda (jedyna, którą znam, aby łączyć się „bezpiecznie” w otwartych sieciach Wi-Fi) ma tę wadę, że musisz mieć włączony inny komputer (i któremu możesz zaufać), aby działał.
Twoje zdrowie! Paweł.
9 sierpnia 2011 04:37, Disqus
<> napisał:
To słuszna droga... chociaż nie sądzę, żeby była najbezpieczniejsza. Wolę wprowadzać klucz za każdym razem (tak jak w Sudo).
Twoje zdrowie! Paweł.
9 sierpnia 2011 03:47, Disqus
<> napisał:
Służy to również do ominięcia blokad stron, takich jak dans guard, prawda?
Tak jest przyjacielu...
10 sierpnia 2011 17:57, Disqus
<> napisał:
Zrzut ekranu pochodzi z firefoxa na osx ee xD