Tietosuojakäytäntö & Evästeet
Tämä sivusto käyttää evästeitä. Jatkamalla hyväksyt niiden käytön. Lue lisää, mukaan lukien evästeiden hallitseminen.
Kaksikymmentä vuotta sitten laajakaistainternet alkoi yleistyä, ja ihmiset halusivat mahdollisuuden verkottaa useamman kuin yhden tietokoneen uuteen yhteyteen, joten Linksysin ja muiden valmistajien kotiverkkoon tarkoitetut reitittimet tulivat suosituiksi. Tämä oli niitä aikoja, jolloin DSL- ja kaapeliyhtiöt pakottivat sinut kloonaamaan tietokoneesi MAC-osoitteen, jotta yhtiö voisi huijata sinua luulemaan, että sinulla oli vain YKSI laite liitettynä heidän järjestelmäänsä. Näissä varhaisissa reitittimissä ei ollut kovinkaan paljon sisäänrakennettua tietoturvaa, mutta ne tarjosivat verkko-osoitteiden kääntämisen (NAT) ja periaatteessa hoitivat hommansa.
Sitten ”wifi” tuli muotiin ja langattomat reitittimet lisättiin joukkoon. Luulen, että jossain vaiheessa kaikkien piti omistaa Linksys WRT-54G (joka oli pisimpään yhtäjaksoisesti tuotettu langaton reititin, alkaen Linksysistä itsenäisenä yrityksenä, sen jälkeen kun LinkSys ostettiin Ciscon toimesta, siihen kun Linksys lakkasi olemasta osa Ciscoa).
Se ei siis ole mitään muuta syytä kuin ”helvetinmoinen”, että kenenkään tarvitsee rakentaa oma reititin ja palomuurilaite. On kuitenkin paljon tyydytystä tehdä asioita ”sen helvetin takia”. Tietenkin julkaistut luettelot tunnetuista hyväksikäyttötapauksista valmistajien ohjelmistoihin, joita erilaiset kehittyneet pysyvät uhkat (APT) ja muut pahantahtoiset kybertoimijat käyttävät, tekevät laitteiston/ohjelmiston/verkon paremmasta hallinnasta järkevän askeleen.
Tavanomaiseen reitittimeen/palomuuriin tarvitaan tietokone, jossa on kaksi verkkokorttia (NIC). Toinen voi olla langallinen ethernet-kortti, toinen voi olla langaton, jos aiot käyttää vain langatonta verkkoa, vaikka suosittelen vähintään kahta ethernet-korttia. Henkilökohtainen reitittimeni/palomuurini on yksi Kiinassa valmistetuista pienikokoisista teollisuustietokoneista, joissa on neljä Intel-merkkistä gigabitin verkkokorttia ja jotka sain melko halvalla kaksi vuotta sitten. Mutta kirjaimellisesti mikä tahansa tietokone, jossa on kaksi verkkokorttia, kelpaa tässä vaiheessa, koska reitittimen/palomuurin käyttämiseen tarvittavat ohjelmistot ovat niin kevyitä.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, ovat vain joitakin jakeluita, joilla vanhasta tietokoneesta voidaan tehdä reititin/palomuuri. Jos sinulla on vanha reititin, jota valmistaja ei enää tue ohjelmistopäivitysten osalta, käyttäisin OpenWRT:tä ensimmäisenä vaihtoehtona firmwaren flashaamiseen, jotta saat yhteisön tukemat tietoturvapäivitykset. Ironista kyllä, monissa halvemman hintaluokan kaupallisissa reitittimissä käytetään jo OpenWRT:tä tai sen pientä variaatiota.
So….mitä suosittelen vuoden 2019 lopussa? No jos haluat käyttää oikeaa PC:tä x86-prosessorilla (32 tai 64 bit), suosittelen opnsenseä, ja jos haluat käyttää jotain muuta niin OpenWRT:tä jos mahdollista. Poikkeuksena tähän on, jos käytät Ubiquiti-vehkeitä, jotka on rakennettu käyttämään heidän VyOS:iin perustuvaa ohjelmistoversiotaan (tosin VyOS on vain komentorivillä, ei kätevää web-käyttöliittymää), joten VyOS:iin perehtyminen on luultavasti parempi juuri sitä yhtä tilannetta varten.
Tekemistä, jotka sinun PITÄISI tehdä, jos rakennat omaa laitettasi.
Rakenna itsellesi oma yksityinen virtuaaliverkko (VPN), jonka avulla voit tunneloitua kotiverkkoon, kun olet matkoilla. Näin voit käyttää julkista WiFiä paljon turvallisemmalla tavalla, koska liikenne kulkee salattuna mobiililaitteestasi aina takaisin reitittimeesi/palomuuriin asti. Koska viranomaiset ja teollisuus tietävät jo nyt, että maksat koti-internetpalvelusta, he näkevät, että selailet kotoa käsin, eivätkä nuuskimiset voi siepata tilejäsi, luotto- tai pankkikorttisi numeroita tai muita arkaluonteisia tietoja. Huonona puolena on hieman heikompi suorituskyky, mutta tietoturva vaikuttaa AINA suorituskykyyn.
Mitä VPN-ohjelmistoa kannattaa käyttää? Käytän tällä hetkellä OpenVPN:ää, koska se tulee paketoituna pfsenseen, jota jo käytän. OpenVPN:llä on myös asiakassovelluksia älypuhelimille (voit ladata sopivasta sovelluskaupasta) ja sillä on paljon alan/yhteisön tukea. OpenVPN:n huonona puolena on se, että se ei ole luonnostaan käyttäjäystävällinen asentaa (jouduin muokkaamaan manuaalisesti asiakaskonfiguraatiotiedostoa saadakseni kannettavan tietokoneeni yhteyden toimimaan), eivätkä yhteyssovellukset ole aina kaikkein vakaimpia. Wireguardista on paljon puhetta ratkaisuna, ja Wireguard on sisällytetty ytimeen monissa Linux-distroissa. Wireguardin huono puoli on se, että se on vielä ”työn alla” ohjelmistokehityksen suhteen ja he työskentelevät edelleen kohti vakaata 1.0-julkaisua (mikä tarkoittaa, että jos otat sen käyttöön nyt, olet käytännössä beta-testaja).
So…miksi sinun pitäisi rakentaa oma reititin ja perustaa oma VPN? Ihan oikeasti vain ”huvin vuoksi” tai kun ei halua maksaa kuukausimaksua kaupalliselle VPN-palvelulle. En suosittele ”ilmaisia VPN-palveluja”, koska epäilen, että ne ovat kaikki eri valtiollisten toimijoiden (lähinnä Kiinan) tiedustelupyrkimyksiä. Mitä tulee maksullisiin VPN-palveluihin, jotka lupaavat olla katsomatta liikennettäsi, oleta, että he valehtelevat (vainoharhaisuus viestinnässä on HYVÄ asia). Ja mitä tulee maksullisiin VPN-palveluihin, caveat emptor.
Lisää taustaa ilmaisten ja maksullisten VPN-palveluiden vaaroista: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Jos verkko on jo asetettu haluamallasi tavalla ja haluat vain lisätä lisäturvaa omalla VPN:lläsi, vanha Traffic Layer Security (TLS) VPN-ratkaisu, jossa käytetään pienitehoista Raspberry Pi:tä, on loistava vaihtoehto: https://pimylifeup.com/raspberry-pi-vpn-server/ ja voit käyttää OpenVPN-asiakasohjelmaa tunnelointitarpeisiisi tien päällä.
Yhteenvetona voidaan todeta, että monet näistä projekteista eivät ole ”ilmaisia” laitteiston, turhautumisen tai ajan suhteen. Joissakin niistä on oppimiskäyrä. Kaikki niistä ovat kuitenkin hyviä asioita tietoturvatason nostamiseksi.