Build your own router/firewall, or just add a VPN

X

Privacy & Cookies

This site uses cookies. A folytatással Ön hozzájárul ezek használatához. Tudjon meg többet, beleértve a sütik ellenőrzését.

Megvan!

Hirdetések

Húsz évvel ezelőtt a szélessávú internet kezdett elterjedni, és az emberek szerették volna, ha egynél több számítógépet is hálózatba tudnak kapcsolni az új kapcsolatukhoz, ezért a Linksys és más gyártók otthoni hálózati routerei népszerűvé váltak. Ez volt az az idő, amikor a DSL- és kábeltársaságok arra kényszerítettek, hogy klónozd a számítógéped MAC-címét, hogy elhitessék a céggel, hogy csak EGY eszköz csatlakozik a rendszerükhöz. Ezek a korai routerek nem rendelkeztek túl sok beépített biztonsági funkcióval, de hálózati címfordítást (NAT) biztosítottak, és alapvetően elvégezték a feladatukat.

Akkor a “wifi” divatba jött, és a vezeték nélküli routerek is bekerültek a kínálatba. Azt hiszem, egy bizonyos ponton mindenkinek rendelkeznie kellett egy Linksys WRT-54G-vel (amely a leghosszabb ideje folyamatosan gyártott vezeték nélküli router volt, a Linksys független cégként való megjelenésétől kezdve, miután a LinkSys-t felvásárolta a Cisco, egészen addig, amikor a Linksys már nem volt a Cisco része).

Szóval nincs más ok, mint “a pokol”, hogy bárkinek saját router és tűzfal készüléket kell építenie. Viszont nagy elégedettséggel jár, ha valaki “a pokolba is” csinál valamit. Természetesen a különféle fejlett tartós fenyegetések (APT-k) és más rosszindulatú kiberszereplők által használt, a gyártók szoftvereit érintő ismert exploitok közzétett listái miatt a hardver/szoftver/hálózat feletti nagyobb kontroll megszerzése bölcs lépés.

A szabványos routerhez/ tűzfalhoz egy számítógépre van szükség, amely két hálózati interfészkártyával (NIC) rendelkezik. Az egyik lehet vezetékes ethernet, a másik lehet vezeték nélküli, ha csak vezeték nélküli hálózatot tervez, bár én legalább két ethernet NIC-et preferálok. Az én személyes routerem/tűzfalam egy olyan kompakt, Kínában gyártott ipari számítógép, négy Intel márkájú gigabites hálózati kártyával, amelyet két évvel ezelőtt elég olcsón szereztem be. De szó szerint bármilyen PC két NIC-kártyával megteszi ezen a ponton, mert a router/firewall futtatásához szükséges szoftverek olyan könnyűek.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, csak néhány a disztribúciók közül, amelyekkel egy régi számítógépet routerré/firewallá lehet alakítani. Ha van egy régi routered, amit már nem támogat a gyártó a szoftverfrissítések tekintetében, én az OpenWRT-et nézném, mint első választást a firmware flasheléséhez, hogy a közösség által támogatott biztonsági frissítésekhez jusson. Ironikus módon sok kereskedelmi router az alacsonyabb árkategóriában már OpenWRT-et vagy annak egy kis változatát futtatja.

So….mit ajánlok 2019 végén? Nos, ha igazi PC-t akarsz használni x86-os processzorral (32 vagy 64 bites), akkor az opnsense-t ajánlom, ha pedig bármi mást akarsz használni, akkor OpenWRT-t, ha lehet. Kivételt képez ez alól, ha Ubiquiti felszerelést használsz, amely a VyOS-on alapuló szoftverük verziójának futtatására épül (bár a VyOS csak parancssoros, nincs praktikus webes felület), így a VyOS megismerése valószínűleg jobb erre az egy helyzetre.

Azt, amit meg KELL tenned, ha saját eszközt építesz.

Beszerezz egy saját virtuális magánhálózatot (VPN), amellyel utazás közben vissza tudsz tunnelezni az otthoni hálózatodra. Így sokkal biztonságosabban használhatja a nyilvános WiFi-t, mivel a forgalom titkosítva halad a mobileszközétől egészen az útválasztójáig/tűzfaláig. Mivel a kormány és az ipar már tudja, hogy Ön otthoni internetszolgáltatásért fizet, látják, hogy otthonról böngészik, és a szimatolók nem tudják elrabolni a fiókjait, hitel- vagy bankkártyaszámát vagy más érzékeny adatait. A hátránya a kissé kisebb teljesítmény, de a biztonság MINDIG a teljesítmény rovására megy.

Milyen VPN szoftvert érdemes használni? Jelenleg az OpenVPN-t használom, mivel az a pfsense-hez van csomagolva, amit már használok. Az OpenVPN-nek kliensalkalmazásai is vannak okostelefonokra (letölthető a megfelelő alkalmazásboltból), és rengeteg iparági/közösségi támogatással rendelkezik. Az OpenVPN hátránya, hogy a beállítása nem túl felhasználóbarát (kézzel kellett szerkesztenem a kliens konfigurációs fájlját, hogy a laptopom kapcsolata működjön), és a kapcsolati alkalmazások nem mindig a legstabilabbak. A Wireguard mint megoldás körül nagy a felhajtás, és a Wireguardot számos Linux disztróba beépítették a kernelbe. A Wireguard hátránya, hogy a szoftverfejlesztés szempontjából még mindig “folyamatban lévő munka”, és még mindig dolgoznak a stabil 1.0-s kiadáson (ami azt jelenti, hogy ha most fogadod el, akkor lényegében béta tesztelő vagy).

Szóval…miért érdemes saját routert építeni és saját VPN-t létrehozni? Tényleg csak “kedvtelésből”, vagy mert nem akarsz havi díjat fizetni egy kereskedelmi VPN szolgáltatásnak. Nem ajánlom az “ingyenes VPN” szolgáltatásokat, mert gyanítom, hogy ezek mind a különböző állami szereplők (főleg Kína) hírszerzési erőfeszítései. Ami a fizetős VPN-szolgáltatásokat illeti, amelyek azt ígérik, hogy nem nézik meg a forgalmát, feltételezzük, hogy hazudnak (a paranoiás kommunikáció jó dolog). Ami pedig a fizetős VPN-szolgáltatásokat illeti, caveat emptor.

Még több háttérinformáció az ingyenes és fizetős VPN-szolgáltatások veszélyeiről: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Ha már úgy van beállítva a hálózatod, ahogyan szeretnéd, és csak további biztonságot szeretnél hozzáadni a saját VPN-eddel, a régi Traffic Layer Security (TLS) VPN megoldás egy alacsony teljesítményű Raspberry Pi segítségével nagyszerű lehetőség: https://pimylifeup.com/raspberry-pi-vpn-server/ és útközben egy OpenVPN-klienst használhatsz az alagútépítési igényeidhez.

Összefoglalva, sok ilyen projekt nem “ingyenes” a hardver, a frusztráció vagy az idő szempontjából. Néhányuknak tanulási görbéje van. Azonban mindegyikük jó dolog, amit az információbiztonság szintjének növelése érdekében érdemes megtenni.

Hirdetések

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.