Privatkopiering & Cookies
Denna webbplats använder cookies. Genom att fortsätta godkänner du att de används. Läs mer, bland annat om hur du kontrollerar cookies.
För tjugo år sedan började bredbandsinternet att ta fart och folk ville ha möjlighet att koppla fler än en dator till den nya anslutningen, så hemnätverksroutrar från Linksys och andra leverantörer blev populära. Detta var den tid då DSL- och kabelföretag tvingade dig att klona MAC-adressen på din dator för att lura företaget att tro att du bara hade EN enhet ansluten till deras system. Dessa tidiga routrar hade inte så mycket inbyggd säkerhet, men tillhandahöll översättning av nätverksadresser (NAT) och gjorde i princip jobbet.
Då blev ”wifi” en grej och trådlösa routrar lades till i mixen. Jag tror att alla någon gång var tvungna att äga en Linksys WRT-54G (som var den längsta kontinuerligt producerade trådlösa routern som producerades, från Linksys som ett självständigt företag, till efter att LinkSys förvärvades av Cisco, till tillbaka när Linksys slutade att vara en del av Cisco).
Så det finns ingen annan anledning än ”helvetet” till att någon behöver bygga sin egen router och brandväggsapparat. Det finns dock en stor tillfredsställelse i att göra saker för ”the hell of it”. Naturligtvis gör de publicerade listorna över kända exploateringar av leverantörernas mjukvara som används av olika avancerade, långlivade hot (Advanced Persistent Threats, APT) och andra illasinnade cyberaktörer att det är klokt att ta mer kontroll över sin hårdvara/mjukvara/nätverk.
För en standardrouter/brandvägg behöver du en dator med två nätverksgränssnittskort (NIC). Ett kan vara trådbundet ethernet, ett kan vara trådlöst om du bara planerar att ha ett trådlöst nätverk, även om jag föredrar minst två ethernet NICs. Min personliga router/brandvägg är en av dessa kompakta industridatorer tillverkade i Kina med fyra gigabit-NIC:er av märket Intel, som jag fick ganska billigt för två år sedan. Men bokstavligen vilken dator som helst med två NIC:er duger i dagsläget eftersom programvaran för att driva en router/brandvägg är så lätt.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, är bara några av de distributioner som kan fungera för att förvandla en gammal dator till en router/brandvägg. Om du har en gammal router som inte längre stöds av tillverkaren för mjukvaruuppdateringar skulle jag se OpenWRT som förstahandsval för att flasha den fasta programvaran för att få säkerhetsuppdateringar som stöds av samhället. Ironiskt nog kör många kommersiella routrar i den lägre prisklassen redan OpenWRT eller en liten variant av det.
So….vad rekommenderar jag i slutet av 2019? Jo, om du vill använda en riktig dator med x86-processor (32 eller 64 bit) rekommenderar jag opnsense, och om du vill använda något annat så OpenWRT om du kan. Undantaget är om du använder Ubiquiti-utrustning, som är byggd för att köra deras version av programvara baserad på VyOS (även om VyOS endast är kommandoradsbaserad, inget praktiskt webbgränssnitt) så att bekanta sig med VyOS är förmodligen bättre för den enda situationen.
Saker som du SKA göra om du bygger en egen enhet.
Skapa ett eget virtuellt privat nätverk (VPN) som du kan använda för att tunnla tillbaka till ditt hemmanätverk när du är på resande fot. På så sätt kan du använda offentligt WiFi på ett mycket säkrare sätt, eftersom din trafik går krypterad från din mobila enhet hela vägen tillbaka till din router/brandvägg. Eftersom regeringen och industrin redan vet att du betalar för heminternet, ser de att du surfar hemifrån, och snokare kan inte sno åt sig dina konton, kredit- eller betalkortsnummer eller andra känsliga uppgifter. Nackdelen är något sämre prestanda, men säkerhet har ALLTID en prestandaskada.
Vilken VPN-programvara ska du använda? Jag använder för närvarande OpenVPN eftersom det ingår i pfsense som jag redan använder. OpenVPN har också klientappar för smartphones (du kan ladda ner från lämplig appbutik) och det har mycket stöd från industrin/gemenskapen. Nackdelen med OpenVPN är att det inte är användarvänligt att konfigurera (jag var tvungen att manuellt redigera klientkonfigurationsfilen för att få min laptop-anslutning att fungera), och anslutningsapplikationerna är inte alltid de mest stabila. Det finns en hel del snack om Wireguard som lösning, och Wireguard har införlivats i kärnan för många Linux-distributioner. Nackdelen med Wireguard är att det fortfarande är ett ”work in progress” när det gäller mjukvaruutveckling och att de fortfarande arbetar mot en stabil 1.0-version (vilket innebär att om du adopterar nu är du i princip en betatestare).
Så… varför ska du bygga din egen router och sätta upp din egen VPN? Det är egentligen bara ”för att det är kul” eller om du inte vill betala en månadsavgift till en kommersiell VPN-tjänst. Jag rekommenderar inte ”gratis VPN-tjänster” eftersom jag misstänker att de alla är underrättelseinsamlingar från olika statliga aktörer (främst Kina). När det gäller betalda VPN-tjänster som lovar att inte titta på din trafik, anta att de ljuger (paranoia inom kommunikation är en BRA sak). Och när det gäller betalda VPN-tjänster: caveat emptor.
Mer bakgrund om farorna med gratis och betalda VPN-tjänster: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Om du redan har konfigurerat ditt nätverk som du vill och bara vill lägga till ytterligare säkerhet med din egen VPN är den gamla TLS-vpnp-lösningen (Traffic Layer Security) med hjälp av en Raspberry Pi med låg energiförbrukning ett utmärkt alternativ: https://pimylifeup.com/raspberry-pi-vpn-server/ och du kan använda en OpenVPN-klient för dina tunnelbehov när du är på resande fot.
Sammanfattningsvis är många av dessa projekt inte ”gratis” när det gäller hårdvara, frustration eller tid. Vissa av dem har en inlärningskurva. Alla är dock bra saker att göra för att öka din informationssäkerhetsnivå.
.