Build your own router/firewall, or just add VPN

20年前にブロードバンドインターネットが普及し始め、人々は新しい接続に複数のコンピューターをネットワークするオプションを求め、Linksysや他のベンダーによるホームネットワークルーターが普及するようになりました。 これは、DSLやケーブル会社が、システムに接続されているデバイスが1つだけであると誤認させるために、コンピュータのMACアドレスをクローンすることを強制していた時代でした。 これらの初期のルーターには、あまり多くのセキュリティ機能はありませんでしたが、ネットワークアドレス変換 (NAT) を提供し、基本的に仕事をこなしていました。

その後、「無線LAN」が流行し、無線ルーターがミックスに加えられました。 ある時点で、誰もが Linksys WRT-54G (Linksys が独立企業として、LinkSys が Cisco に買収された後、Linksys が Cisco の一員でなくなった後、最も長く製造され続けたワイヤレス ルーター) を所有しなければならなかったと思います。 しかし、”地獄のような” ことをすることには、多くの満足感があります。 もちろん、さまざまな高度持続的脅威 (APT) やその他の悪意のあるサイバーアクターが使用するベンダー ソフトウェアに対する既知のエクスプロイトのリストが公表されているため、ハードウェア/ソフトウェア/ネットワークをより制御することは賢明なステップとなります。 1 つは有線イーサネットで、もう 1 つはワイヤレス ネットワークを持つことを計画している場合はワイヤレスで構いませんが、私の好みとしては、少なくとも 2 つのイーサネット NIC を使用することです。 私の個人的なルーター／ファイアウォールは、中国製のコンパクトな産業用コンピューターで、2年前にかなり安く手に入れた、インテルブランドのギガビットNICを4枚搭載しています。

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell などは、古いコンピュータをルーター/ファイアウォールにするために動作させることができるディストリビューションのほんの一例です。 もしあなたが、メーカーがソフトウェアアップデートをサポートしていない古いルーターを持っているなら、コミュニティがサポートするセキュリティアップデートを得るためにファームウェアをフラッシュする最初の選択肢として、私はOpenWRTに注目します。 皮肉なことに、低価格帯の商用ルーターの多くは、すでにOpenWRTまたはその若干のバリエーションを実行しています。

では…2019年末に私がお勧めするのは何でしょうか？ そうですね……x86プロセッサ（32ビットまたは64ビット）のリアルPCを使いたいならopnsenseを、それ以外を使いたいならできればOpenWRTをお勧めします。

自分でデバイスを構築する場合に行うべきこと。

旅行中に自宅のネットワークにトンネルで戻るために使用できる独自の仮想プライベート ネットワーク (VPN) を設定します。 これは、トラフィックがモバイルデバイスからルーター/ファイアウォールに戻ってすべての方法を暗号化するので、はるかに安全な方法で公共のWiFiを使用することができます。 政府や企業は、あなたが自宅のインターネットサービスにお金を払っていることをすでに知っているので、あなたが自宅からブラウジングしているのを見て、盗聴者はあなたのアカウント、クレジットカードやデビットカードの番号、その他の機密データを盗むことができません。 欠点は、パフォーマンスが若干低いことですが、セキュリティは常にパフォーマンスに影響します。

どのVPNソフトウェアを使うべきですか? 私は現在、すでに使用しているpfsenseにバンドルされているOpenVPNを使用しています。 OpenVPNはスマートフォン用のクライアントアプリもあり（該当するアプリストアからダウンロードできます）、業界やコミュニティのサポートが充実しています。 OpenVPNの欠点は、セットアップが本質的にユーザーフレンドリーではないことです（私はラップトップ接続を動作させるためにクライアント設定ファイルを手動で編集しなければなりませんでした）、そして接続アプリケーションは常に最も安定しているとは限りません。 Wireguardは、多くのLinuxディストロのカーネルに組み込まれています。 Wireguard の欠点は、ソフトウェア開発の面でまだ「作業中」であり、安定した 1.0 リリースに向けてまだ作業中であることです (つまり、今採用すると、本質的にベータ テスターであるということです)。

では、なぜ独自のルーターを構築して独自の VPN をセットアップする必要がありますか? それは本当に「そのため」であったり、商用 VPN サービスに月額料金を支払いたくないからです。 無料のVPN」サービスは、さまざまな国家的行為者（主に中国）による情報収集活動だと思われるので、私はお勧めしない。 あなたのトラフィックを見ないと約束している有料のVPNサービスに関しては、彼らは嘘をついていると考えてください（通信におけるパラノイアは良いことです）。 そして、有料のVPNサービスに関しては、「caveat emptor」です。

無料および有料のVPNサービスの危険性について、さらに詳しい背景を説明しています。 https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

すでに自分の好きなようにネットワークを設定しており、独自の VPN でさらにセキュリティを追加したい場合、低電力の Raspberry Pi を使用した古い Traffic Layer Security (TLS) VPN ソリューションは素晴らしい選択肢となります。 https://pimylifeup.com/raspberry-pi-vpn-server/ また、外出先でのトンネリング ニーズには OpenVPN クライアントを使用できます。

まとめると、これらのプロジェクトの多くは、ハードウェア、フラストレーション、時間の面で「無料」ではないのです。 それらのいくつかは、学習曲線があります。 しかし、これらはすべて、情報セキュリティ レベルを高めるために行うべき良いことです。