Zbuduj własny router/firewall, lub po prostu dodaj VPN

X

Privacy & Cookies

This site uses cookies. Kontynuując, wyrażasz zgodę na ich użycie. Dowiedz się więcej, w tym jak kontrolować pliki cookie.

Got It!

Ogłoszenia

Dwadzieścia lat temu szerokopasmowy Internet zaczął się rozkręcać i ludzie chcieli mieć możliwość połączenia w sieć więcej niż jednego komputera z nowym połączeniem, więc routery sieci domowej Linksys i innych producentów stały się popularne. To były dni, kiedy DSL i firmy kablowe zmusił cię do klonowania adres MAC komputera w celu oszukania firmy do myślenia, że miał tylko JEDNO urządzenie podłączone do ich systemu. Te wczesne routery nie mają zbyt wiele w sposób wbudowany w bezpieczeństwo, ale pod warunkiem, tłumaczenie adresu sieciowego (NAT) i w zasadzie zrobić the job.

Then „wifi” stał się rzeczą i bezprzewodowe routery dostał dodany do mieszanki. Myślę, że w pewnym momencie każdy musiał posiadać Linksys WRT-54G (który był najdłużej stale produkowane bezprzewodowy router produkowany, z Linksys jako niezależnej firmy, do po LinkSys został przejęty przez Cisco, z powrotem, gdy Linksys przestał być częścią Cisco).

Więc nie ma powodu, innego niż „piekło to”, że każdy musi zbudować swój własny router i urządzenie firewall. Jednak istnieje wiele satysfakcji w robieniu rzeczy dla „piekła tego”. Oczywiście opublikowane listy znanych exploitów do oprogramowania producentów używanych przez różne zaawansowane trwałe zagrożenia (APT) i innych złośliwych cyber aktorów sprawia, że biorąc więcej kontroli nad swoim sprzętem/oprogramowaniem/siecią jest rozsądnym krokiem.

Do standardowego routera/zapory sieciowej będziesz potrzebował komputera z dwoma kartami sieciowymi (NIC). Jeden może być przewodowy ethernet, jeden może być bezprzewodowy, jeśli tylko planujesz mieć sieć bezprzewodową, chociaż moim preferencją jest co najmniej dwa ethernet NICs. Mój osobisty router/firewall jest jednym z tych kompaktowych komputerów przemysłowych wykonanych w Chinach z czterema gigabitowymi kartami NIC marki Intel, które dostałem za całkiem tanio dwa lata temu. Ale dosłownie każdy komputer z dwoma NICs będzie zrobić w tym momencie, ponieważ oprogramowanie do uruchomienia routera / firewall jest tak lekki.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, to tylko niektóre z dystrybucji, które mogą pracować, aby włączyć stary komputer do routera / firewall. Jeśli masz stary router, który nie jest już wspierany przez producenta w zakresie aktualizacji oprogramowania, zwróciłbym uwagę na OpenWRT jako pierwszy wybór do flashowania firmware, aby uzyskać wspierane przez społeczność aktualizacje bezpieczeństwa. Jak na ironię wiele komercyjnych routerów w niższym punkcie cenowym już działa na OpenWRT lub niewielkiej wariacji na jego temat.

So…. co polecam na koniec 2019 roku? Cóż jeśli chcesz używać prawdziwego PC z procesorem x86 (32 lub 64 bit) to polecam opnsense, a jeśli chcesz używać czegokolwiek innego to OpenWRT jeśli możesz. Wyjątkiem jest jeśli używasz sprzętu Ubiquiti, który jest zbudowany do uruchomienia ich wersji oprogramowania opartego na VyOS (chociaż VyOS jest tylko wierszem poleceń, nie ma poręcznego interfejsu webowego), więc zapoznanie się z VyOS jest prawdopodobnie lepsze dla tej jednej sytuacji.

Rzeczy, które POWINIENEŚ zrobić jeśli budujesz własne urządzenie.

Utwórz własną wirtualną sieć prywatną (VPN), której możesz użyć do tunelowania z powrotem do sieci domowej podczas podróży. Pozwoli Ci to korzystać z publicznego WiFi w sposób znacznie bardziej bezpieczny, ponieważ Twój ruch będzie zaszyfrowany z urządzenia mobilnego całą drogę powrotną do routera/zapory. Ponieważ rząd i przemysł już wiedzą, że płacisz za usługi internetowe w domu, widzą, że przeglądanie z domu, a snoopers nie może snatch swoje konta, numery kart kredytowych lub debetowych, lub innych danych wrażliwych. The downside is slightly less performance, but security ZAWSZE ma wydajność hit.

What VPN software should you use? Obecnie używam OpenVPN, ponieważ jest on dołączony do pfsense, którego już używam. OpenVPN posiada również aplikacje klienckie na smartfony (można je pobrać z odpowiedniego sklepu z aplikacjami) i ma duże wsparcie branżowe/społecznościowe. Minusem OpenVPN jest to, że nie jest z natury przyjazny dla użytkownika (musiałem ręcznie edytować plik konfiguracyjny klienta, aby moje połączenie z laptopem zaczęło działać), a aplikacje łączące nie zawsze są najbardziej stabilne. Jest wiele szumu wokół Wireguard jako rozwiązania, a Wireguard został włączony do jądra wielu dystrybucji Linuksa. Minusem Wireguard jest to, że jest to nadal „praca w toku” w zakresie rozwoju oprogramowania i nadal pracują w kierunku stabilnego wydania 1.0 (co oznacza, że jeśli przyjmiesz teraz jesteś w zasadzie beta testerem).

Więc…dlaczego powinieneś zbudować swój własny router i skonfigurować własną sieć VPN? To naprawdę jest tylko „do diabła z tym” lub nie chcesz płacić miesięcznej opłaty do komercyjnej usługi VPN. Nie polecam „darmowych usług VPN”, ponieważ podejrzewam, że wszystkie one są wysiłkami zbierania danych wywiadowczych przez różne podmioty państwowe (głównie Chiny). Jeśli chodzi o płatne usługi VPN, które obiecują, że nie będą patrzeć na Twój ruch, załóż, że kłamią (paranoja w komunikacji jest DOBRĄ rzeczą). And as far as paid VPN services go, caveat emptor.

More background on the dangers of free and paid VPN services go: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Jeśli masz już swoją sieć skonfigurowaną tak, jak lubisz, i po prostu chcesz dodać dodatkowe zabezpieczenia za pomocą własnego VPN, stare rozwiązanie Traffic Layer Security (TLS) VPN z wykorzystaniem Raspberry Pi o niskiej mocy jest świetną opcją: https://pimylifeup.com/raspberry-pi-vpn-server/ i możesz użyć klienta OpenVPN dla swoich potrzeb tunelowania, gdy jesteś w drodze.

Podsumowując, wiele z tych projektów nie jest „darmowych” pod względem sprzętu, frustracji lub czasu. Niektóre z nich mają krzywą uczenia się. Jednak wszystkie z nich są dobre rzeczy do zrobienia w celu zwiększenia poziomu bezpieczeństwa informacji.

Ogłoszenia

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.