Fortrolighed & Cookies
Dette websted bruger cookies. Ved at fortsætte accepterer du brugen af dem. Få mere at vide, herunder hvordan du styrer cookies.
For tyve år siden begyndte bredbåndsinternet at tage fart, og folk ønskede mulighed for at oprette netværk mellem mere end én computer til deres nye forbindelse, så routere til hjemmenetværk fra Linksys og andre leverandører blev populære. Det var dengang, hvor DSL- og kabelselskaberne tvang dig til at klone MAC-adressen på din computer for at narre selskabet til at tro, at du kun havde ÉN enhed tilsluttet til deres system. Disse tidlige routere havde ikke særlig meget indbygget sikkerhed, men de leverede NAT (network address translation) og klarede stort set opgaven.
Så blev “wifi” en ting, og trådløse routere blev tilføjet til blandingen. Jeg tror, at alle på et tidspunkt måtte eje en Linksys WRT-54G (som var den længst kontinuerligt producerede trådløse router, der blev produceret, fra Linksys som selvstændigt firma, til efter LinkSys blev opkøbt af Cisco, til tilbage da Linksys holdt op med at være en del af Cisco).
Så der er ingen anden grund end “the hell of it”, at nogen har brug for at bygge deres egen router og firewall appliance. Der er dog en stor tilfredsstillelse i at gøre tingene for “the hell of it”. Selvfølgelig gør de offentliggjorte lister over kendte exploits til leverandørsoftware, der anvendes af forskellige Advanced Persistent Threats (APT’er) og andre ondsindede cyberaktører, det klogt at tage mere kontrol over sin hardware/software/netværk.
For en standardrouter/firewall skal du bruge en computer med to netværksinterfacekort (NIC’er). Det ene kan være kablet ethernet, det ene kan være trådløst, hvis du kun planlægger at have et trådløst netværk, selv om min præference er mindst to ethernet NIC’er. Min personlige router/firewall er en af disse kompakte industricomputere fremstillet i Kina med fire gigabit-NIC’er af mærket Intel, som jeg fik for ret billigt for to år siden. Men bogstaveligt talt enhver pc med to NIC’er kan bruges på nuværende tidspunkt, fordi softwaren til at køre en router/firewall er så let.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, er blot nogle af de distributioner, der kan fungere til at omdanne en gammel computer til en router/firewall. Hvis du har en gammel router, der ikke længere understøttes af producenten for softwareopdateringer, ville jeg se på OpenWRT som første valg til at flashe firmwaren for at få fællesskabsunderstøttede sikkerhedsopdateringer. Ironisk nok kører mange kommercielle routere i det lavere prisleje allerede OpenWRT eller en lille variation af det.
So….hvad vil jeg anbefale i slutningen af 2019? Tja hvis du vil bruge en rigtig PC med x86 processor (32 eller 64 bit), så anbefaler jeg opnsense, og hvis du vil bruge noget andet så OpenWRT hvis du kan. Undtagelsen er hvis du bruger Ubiquiti gear, som er bygget til at køre deres version af software baseret på VyOS (selvom VyOS kun er kommandolinje, ingen praktisk webinterface), så det er nok bedre at blive fortrolig med VyOS i den ene situation.
Ting du BØR gøre, hvis du bygger din egen enhed.
Sæt dit eget virtuelle private netværk (VPN) op, som du kan bruge til at tunnelere tilbage til dit hjemmenetværk, mens du er på rejse. På den måde kan du bruge offentligt WiFi på en meget mere sikker måde, da din trafik går krypteret fra din mobile enhed hele vejen tilbage til din router/firewall. Da myndighederne og industrien allerede ved, at du betaler for internetadgang i hjemmet, kan de se, at du surfer hjemmefra, og snushaner kan ikke snuppe dine konti, kredit- eller betalingskortnumre eller andre følsomme data. Ulempen er lidt mindre ydeevne, men sikkerhed har ALTID et ydelseshit.
Hvilken VPN-software skal du bruge? Jeg bruger i øjeblikket OpenVPN, da det leveres bundtet i pfsense, som jeg allerede bruger. OpenVPN har også klient-apps til smartphones (du kan downloade fra den relevante app-butik), og det har en masse støtte fra industrien/samfundet. Ulempen ved OpenVPN er, at det ikke i sig selv er brugervenligt at opsætte (jeg var nødt til manuelt at redigere klientkonfigurationsfilen for at få min bærbare forbindelse til at fungere), og forbindelsesapplikationerne er ikke altid de mest stabile. Der er meget snak om Wireguard som en løsning, og Wireguard er blevet indarbejdet i kernen til mange Linux-distroer. Ulempen ved Wireguard er, at det stadig er et “work in progress” med hensyn til softwareudvikling, og de arbejder stadig hen imod en stabil 1.0-udgave (hvilket betyder, at hvis du adopterer nu, er du i bund og grund en betatester).
Så… hvorfor skal du bygge din egen router og opsætte din egen VPN? Det er vel egentlig bare “for hyggens skyld” eller du vil ikke betale et månedligt gebyr til en kommerciel VPN-tjeneste. Jeg anbefaler ikke “gratis VPN-tjenester”, fordi jeg mistænker dem alle for at være efterretningsindsamling fra forskellige statslige aktører (primært Kina). Hvad angår de betalte VPN-tjenester, der lover ikke at kigge på din trafik, så gå ud fra, at de lyver (paranoia i kommunikation er en GOD ting). Og hvad angår betalte VPN-tjenester, caveat emptor.
Mere baggrund om farerne ved gratis og betalte VPN-tjenester: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Hvis du allerede har dit netværk sat op, som du vil, og blot ønsker at tilføje yderligere sikkerhed med din egen VPN, er den gamle TLS (Traffic Layer Security)-VPN-løsning (TLS), der bruger en Raspberry Pi med lavt strømforbrug, en god mulighed: https://pimylifeup.com/raspberry-pi-vpn-server/ og du kan bruge en OpenVPN-klient til dine tunnelingsbehov, når du er på farten.
Sammenfattende er mange af disse projekter ikke “gratis” i form af hardware, frustration eller tid. Nogle af dem har en indlæringskurve. Men de er alle sammen gode ting at gøre for at øge dit informationssikkerhedsniveau.