Sestavte si vlastní router/firewall nebo jen přidejte VPN

X

Ochrana osobních údajů & Soubory cookie

Tento web používá soubory cookie. Pokračováním souhlasíte s jejich používáním. Zjistěte více, včetně toho, jak soubory cookie ovládat.

Mám to!

Inzerce

Před dvaceti lety se začal prosazovat širokopásmový internet a lidé chtěli mít možnost připojit k novému připojení více než jeden počítač, proto se staly populárními domácí síťové směrovače od společnosti Linksys a dalších výrobců. Bylo to v dobách, kdy vás DSL a kabelové společnosti nutily klonovat MAC adresu vašeho počítače, aby společnost oklamaly, že máte k jejich systému připojeno pouze JEDNO zařízení. Tyto rané směrovače neměly příliš mnoho vestavěného zabezpečení, ale poskytovaly překlad síťových adres (NAT) a v podstatě plnily svou funkci.

Poté se prosadilo „wifi“ a ke slovu se dostaly bezdrátové směrovače. Myslím, že v určitém okamžiku musel každý vlastnit Linksys WRT-54G (což byl nejdéle nepřetržitě vyráběný bezdrátový směrovač, od Linksysu jako nezávislé společnosti, přes dobu po převzetí LinkSysu společností Cisco až po dobu, kdy Linksys přestal být součástí společnosti Cisco).

Takže neexistuje žádný jiný důvod než „peklo“, proč by si někdo měl stavět vlastní směrovač a zařízení firewall. Nicméně existuje velké uspokojení z toho, že člověk dělá věci „jen tak pro nic za nic“. Samozřejmě, že zveřejněné seznamy známých zneužití softwaru výrobce, které používají různé pokročilé trvalé hrozby (APT) a další škodliví kybernetičtí aktéři, činí z převzetí větší kontroly nad svým hardwarem/softwarem/sítí rozumný krok.

Pro standardní směrovač/firewall budete potřebovat počítač se dvěma kartami síťových rozhraní (NIC). Jedna může být drátová ethernetová, jedna může být bezdrátová, pokud plánujete pouze bezdrátovou síť, i když já preferuji alespoň dvě ethernetové síťové karty. Můj osobní směrovač/firewall je jeden z těch kompaktních průmyslových počítačů vyrobených v Číně se čtyřmi gigabitovými síťovými kartami značky Intel, které jsem před dvěma lety získal docela levně. V tuto chvíli ale stačí doslova jakýkoli počítač se dvěma síťovými kartami, protože software pro provoz routeru/firewallu je velmi nenáročný.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, to jsou jen některé z distribucí, které mohou fungovat tak, že ze starého počítače udělají router/firewall. Pokud máte starý router, který již není výrobcem podporován pro aktualizace softwaru, podíval bych se na OpenWRT jako na první volbu pro flashování firmwaru, abyste získali bezpečnostní aktualizace podporované komunitou. Paradoxně spousta komerčních routerů v nižší cenové kategorii už OpenWRT nebo jeho mírnou variaci používá.

Takže….co doporučuji na konci roku 2019? No pokud chceš používat skutečný počítač s procesorem x86 (32 nebo 64 bit), tak doporučuji opnsense a pokud chceš používat cokoliv jiného, tak OpenWRT, pokud to jde. Výjimkou je, pokud používáte zařízení Ubiquiti, které je postaveno pro provoz jejich verze softwaru založené na VyOS (i když VyOS je pouze příkazový řádek, žádné šikovné webové rozhraní), takže seznámení se s VyOS je pro tuto jedinou situaci asi lepší.

Věci, které byste MĚLI udělat, pokud si stavíte vlastní zařízení.

Nastavte si vlastní virtuální privátní síť (VPN), kterou můžete použít k tunelování zpět do domácí sítě, když jste na cestách. To vám umožní používat veřejnou Wi-Fi mnohem bezpečněji, protože váš provoz bude probíhat šifrovaně z vašeho mobilního zařízení až zpět k vašemu směrovači/firewallu. Vzhledem k tomu, že vláda a průmysl již vědí, že platíte za domácí internetové služby, vidí, že surfujete z domova, a slídilové nemohou odcizit vaše účty, čísla kreditních nebo debetních karet nebo jiné citlivé údaje. Nevýhodou je o něco nižší výkon, ale zabezpečení má VŽDY vliv na výkon.

Jaký software VPN byste měli používat? V současné době používám OpenVPN, protože je součástí balíčku pfsense, který již používám. OpenVPN má také klientské aplikace pro chytré telefony (můžete si je stáhnout z příslušného obchodu s aplikacemi) a má velkou podporu průmyslu/komunity. Nevýhodou OpenVPN je, že není ve své podstatě uživatelsky přívětivé na nastavení (musel jsem ručně upravit konfigurační soubor klienta, aby mi fungovalo připojení k notebooku), a aplikace pro připojení nejsou vždy nejstabilnější. Kolem řešení Wireguard je hodně povyku a Wireguard byl začleněn do jádra mnoha linuxových distribucí. Nevýhodou Wireguardu je, že z hlediska vývoje softwaru se stále jedná o „work in progress“ a stále se pracuje na vydání stabilní verze 1.0 (což znamená, že pokud si jej nyní pořídíte, jste v podstatě beta tester).

Takže… proč byste si měli postavit vlastní router a nastavit si vlastní VPN? Je to opravdu jen „pro sichr“ nebo se vám nechce platit měsíční poplatek komerční službě VPN. Služby „bezplatné VPN“ nedoporučuji, protože mám podezření, že jde vesměs o snahy různých státních subjektů (hlavně Číny) o shromažďování zpravodajských informací. Pokud jde o placené služby VPN, které slibují, že nebudou sledovat váš provoz, předpokládejte, že lžou (paranoia v komunikaci je DOBRÁ věc). A pokud jde o placené služby VPN, caveat emptor.

Další informace o nebezpečí bezplatných a placených služeb VPN: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Pokud už máte svou síť nastavenou tak, jak vám vyhovuje, a chcete jen přidat další zabezpečení pomocí vlastní sítě VPN, je skvělou volbou staré řešení sítě VPN se zabezpečením TLS (Traffic Layer Security) pomocí počítače Raspberry Pi s nízkým výkonem: https://pimylifeup.com/raspberry-pi-vpn-server/ a na cestách můžete pro potřeby tunelování použít klienta OpenVPN.

Shrnuto a podtrženo, mnoho z těchto projektů není „zadarmo“, pokud jde o hardware, frustraci nebo čas. Některé z nich jsou náročné na učení. Všechny z nich jsou však dobré k tomu, abyste zvýšili úroveň zabezpečení informací.

Inzerce

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.