Construiește-ți propriul router/firewall sau doar adaugă un VPN

X

Privacy & Cookies

Acest site folosește cookies. Continuând, sunteți de acord cu utilizarea acestora. Aflați mai multe, inclusiv cum să controlați modulele cookie.

Am reușit!

Publicitate

În urmă cu douăzeci de ani, internetul în bandă largă a început să ia avânt, iar oamenii doreau să aibă posibilitatea de a conecta în rețea mai multe calculatoare la noua lor conexiune, astfel că au devenit populare routerele de rețea casnice de la Linksys și de la alți vânzători. Erau vremurile în care companiile DSL și de cablu te obligau să clonezi adresa MAC a computerului tău pentru a păcăli compania să creadă că ai doar UN singur dispozitiv conectat la sistemul lor. Aceste routere timpurii nu aveau prea multe elemente de securitate încorporate, dar asigurau traducerea adreselor de rețea (NAT) și, în principiu, își făceau treaba.

Apoi a apărut „wifi” și routerele fără fir au fost adăugate la combinație. Cred că, la un moment dat, toată lumea a trebuit să dețină un Linksys WRT-54G (care a fost cel mai lung router wireless produs în mod continuu, de la Linksys ca și companie independentă, după ce LinkSys a fost achiziționată de Cisco, până la momentul în care Linksys a încetat să mai facă parte din Cisco).

Deci nu există niciun alt motiv în afară de „la naiba” pentru care cineva trebuie să își construiască propriul router și dispozitiv firewall. Cu toate acestea, există o mare satisfacție în a face lucruri pentru „the hell of it”. Desigur, listele publicate de exploatări cunoscute ale software-ului furnizorului folosite de diverse amenințări avansate persistente (APT) și alți actori cibernetici rău intenționați fac ca preluarea unui control mai mare asupra hardware-ului/software-ului/rețelei dvs. să fie un pas prudent.

Pentru un router/firewall standard veți avea nevoie de un computer cu două plăci de interfață de rețea (NIC). Una poate fi ethernet cu fir, una poate fi wireless dacă intenționați să aveți doar o rețea wireless, deși preferința mea este de cel puțin două NIC-uri ethernet. Routerul/firewall-ul meu personal este unul dintre acele computere industriale compacte fabricate în China cu patru NIC gigabit de marcă Intel, pe care l-am cumpărat destul de ieftin acum doi ani. Dar literalmente orice PC cu două NIC-uri va fi suficient în acest moment, deoarece software-ul pentru a rula un router/firewall este atât de ușor.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, sunt doar câteva dintre distribuțiile care pot funcționa pentru a transforma un calculator vechi într-un router/firewall. Dacă aveți un router vechi care nu mai este suportat de producător pentru actualizări de software, m-aș orienta către OpenWRT ca primă alegere pentru a flash-ui firmware-ul pentru a obține actualizări de securitate suportate de comunitate. În mod ironic, o mulțime de routere comerciale din gama de prețuri mai mici rulează deja OpenWRT sau o ușoară variație a acestuia.

So….ce vă recomand la sfârșitul anului 2019? Păi dacă vreți să folosiți un PC real cu procesor x86 (32 sau 64 bit), vă recomand opnsense, iar dacă vreți să folosiți orice altceva atunci OpenWRT dacă puteți. Excepția de la acest lucru este dacă utilizați echipamentul Ubiquiti, care este construit pentru a rula versiunea lor de software bazată pe VyOS (deși VyOS este doar în linie de comandă, nu există o interfață web la îndemână), astfel încât familiarizarea cu VyOS este probabil mai bună pentru acea singură situație.

Lucruri pe care TREBUIE să le faceți dacă vă construiți propriul dispozitiv.

Configurați-vă propria rețea privată virtuală (VPN) pe care o puteți utiliza pentru a face un tunel înapoi la rețeaua dvs. de acasă în timp ce călătoriți. Acest lucru vă va permite să utilizați WiFi-ul public într-o manieră mult mai sigură, deoarece traficul dvs. va merge criptat de la dispozitivul dvs. mobil până la routerul/firewall-ul dvs. Având în vedere că guvernul și industria știu deja că plătiți pentru serviciul de internet de acasă, ei văd că navigați de acasă, iar spionii nu vă pot sustrage conturile, numerele cărților de credit sau de debit sau alte date sensibile. Dezavantajul este o performanță ușor mai mică, dar securitatea are întotdeauna un impact asupra performanței.

Ce software VPN ar trebui să folosiți? Eu folosesc în prezent OpenVPN, deoarece vine la pachet cu pfsense, pe care îl folosesc deja. OpenVPN are, de asemenea, aplicații client pentru smartphone-uri (le puteți descărca din magazinul de aplicații corespunzător) și are mult sprijin din partea industriei/comunității. Dezavantajul lui OpenVPN este că nu este în mod inerent ușor de configurat (a trebuit să editez manual fișierul de configurare al clientului pentru ca conexiunea cu laptopul meu să funcționeze), iar aplicațiile de conectare nu sunt întotdeauna cele mai stabile. Există o mulțime de zvonuri în jurul Wireguard ca soluție, iar Wireguard a fost încorporat în kernel pentru multe distribuții Linux. Dezavantajul la Wireguard este că este încă o „lucrare în curs de desfășurare” în ceea ce privește dezvoltarea software-ului și încă lucrează pentru o versiune stabilă 1.0 (ceea ce înseamnă că dacă adoptați acum sunteți în esență un beta tester).

Atunci… de ce ar trebui să vă construiți propriul router și să vă configurați propriul VPN? Este într-adevăr doar „de dragul de a o face” sau nu doriți să plătiți o taxă lunară la un serviciu VPN comercial. Nu recomand serviciile „VPN gratuite”, deoarece bănuiesc că toate acestea sunt eforturi de colectare de informații de către diverși actori statali (în principal China). În ceea ce privește serviciile VPN plătite care promit să nu se uite la traficul dvs., presupuneți că mint (paranoia în comunicații este un lucru BUN). Iar în ceea ce privește serviciile VPN plătite, caveat emptor.

Mai multe informații despre pericolele serviciilor VPN gratuite și plătite: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Dacă aveți deja rețeaua configurată așa cum vă place și doriți doar să adăugați o securitate suplimentară cu propriul VPN, vechea soluție VPN de securitate a stratului de trafic (TLS) folosind un Raspberry Pi cu putere redusă este o opțiune excelentă: https://pimylifeup.com/raspberry-pi-vpn-server/ și puteți utiliza un client OpenVPN pentru nevoile dvs. de tunelare atunci când sunteți pe drum.

În concluzie, multe dintre aceste proiecte nu sunt „gratuite” în ceea ce privește hardware-ul, frustrarea sau timpul. Unele dintre ele au o curbă de învățare. Cu toate acestea, toate sunt lucruri bune de făcut pentru a vă crește nivelul de securitate a informațiilor.

Advertisements

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.