Усім салют, дарагія сябры!
Сёння мы раскажам пра тое, як са звычайнага роўтара зрабіць роўтар, які будзе забяспечваць усе вашыя падлучаныя прылады ананімным інтэрнэт-злучэннем.
Пагналі!
Як заходзіць у сетку праз DNS, як наладзіць стала зашыфраванае злучэнне з інтэрнэтам, як абараніць хатні роўтэр - і яшчэ некалькі карысных парад вы знойдзеце ў нашым артыкуле.
Для прадухілення адсочвання вашай асобы па канфігурацыі маршрутызатара неабходна адключыць па максімуме вэб-сэрвісы вашага прылады і змяніць стандартны ідэнтыфікатар SSID. Як гэта зрабіць, мы пакажам на прыкладзе Zyxel. З іншымі роўтарамі прынцып дзеяння аналагічны.
Адкрыйце ў браўзэры старонку канфігурацыі вашага маршрутызатара. Карыстачам роўтэраў Zyxel для гэтага трэба ўвесці "my.keenetic.net" у адрасны радок.
Цяпер трэба ўключыць адлюстраванне дадатковых функцый. Для гэтага націсніце на тры кропкі ў правым верхнім куце вэб-інтэрфейсу і пстрыкніце па перамыкачу для опцыі "Advanced View".
Зайдзіце ў меню Wireless | Radio Network» і ў раздзеле «Radio Network» увядзіце новую назву вашай сеткі. Нараўне з імем для частаты 2,4 Ггц не забудзьцеся змяніць і назву для частаты 5 Ггц. У якасці SSID укажыце любую паслядоўнасць сімвалаў.
Затым перайдзіце ў меню "Internet | Permit Access». Зніміце сцяжок перад опцыямі "Internet access via HTTPS enabled" і "Internet access to your storage media via FTP/FTPS enabled". Пацвердзіце зробленыя змены.
Пабудова DNS-абароны
У першую чаргу зменіце SSID свайго роўтара
(1). Затым у наладах DNS укажыце сервер Quad9
(2). Цяпер усе падлучаныя кліенты ў бяспецы
На вашым маршрутызатары таксама мусіць выкарыстоўвацца альтэрнатыўны DNS-сервер, напрыклад Quad9. Перавага: калі гэты сэрвіс наладжаны непасрэдна на роўтары, усе падлучаныя да яго кліенты аўтаматычна будуць заходзіць у Інтэрнэт праз дадзены сервер. Мы растлумачым канфігурацыю ізноў-ткі на прыкладзе Zyxel.
Апісанай у папярэдняй частцы выявай раздзеле «Змена імя роўтара і ідэнтыфікатара SSID» выявай зайдзіце на старонку канфігурацыі Zyxel і перайдзіце ў падзел «Сетка Wi-Fi» на ўкладку «Кропка доступу». Тут пастаўце галачку ў чэкпойнце «Схаваць SSID».
Перайдзіце на ўкладку "Серверы DNS" і задзейнічайце опцыю "Адрас сервера DNS". У радку параметра ўвядзіце IP-адрас "9.9.9.9".
Настройка пастаяннага перанакіравання праз VPN
Яшчэ больш ананімнасці вы даможацеся з дапамогай сталага злучэння па VPN. У гэтым выпадку вам не прыйдзецца больш турбавацца аб арганізацыі такога падлучэння на кожнай асобнай прыладзе - кожны кліент, злучаны з роўтарам, аўтаматычна будзе заходзіць у Сетку праз абароненае VPN-падлучэнне. Аднак для гэтай мэты вам спатрэбіцца альтэрнатыўная прашыўку DD-WRT, якую неабходна ўсталяваць на роўтар замест прашыўкі ад вытворцы. Гэтае ПЗ сумяшчальна з большасцю роўтэраў.
Напрыклад, на маршрутызатары прэміум-класа Netgear Nighthawk X10 маецца падтрымка DD-WRT. Зрэшты, вы можаце выкарыстоўваць у якасці кропкі доступу да Wi-Fi і недарагі роўтар, напрыклад TP-Link TL-WR940N. Пасля выбару маршрутызатара варта вырашыць, якую VPN-службу вы аддасце перавагу. У нашым выпадку мы спыніліся на бясплатнай версіі ProtonVPN.
Ўстаноўка альтэрнатыўнай прашыўкі
Пасля ўсталёўкі DD-WRT зменіце DNS-сервер прылады перш чым наладжваць падлучэнне па VPN.
Мы растлумачым усталёўку на прыкладзе роўтара Netgear, аднак для іншых мадэляў працэс аналагічны. Запампуйце прашыўку DD-WRT і ўсталюеце яе з дапамогай функцыі абнаўлення. Пасля перазагрузкі вы апынецеся ў інтэрфейсе DD-WRT. Вы можаце перавесці праграму на рускую мову, выбраўшы ў меню «Administration | Management | Language» варыянт «Russian».
Перайдзіце да пункта «Setup | Basic setup» і для параметра «Static DNS 1» прапішыце значэнне «9.9.9.9».
Таксама пастаўце сцяжкі перад наступнымі опцыямі "Use DNSMasq for DHCP", "Use DNSMasq for DNS" і "DHCP-Authoritative". Захавайце змены пстрычкай па кнопцы "Save".
У раздзеле «Setup | IPV6” адключыце “IPV6 Support”. Тым самым вы прадухіліце дэананімізацыі праз уцечкі IPV6.
Сумяшчальныя прылады можна знайсці ў любой коштавай катэгорыі, напрыклад TP-Link TL-WR940N (каля 1300 руб.)
або Netgear R9000 (каля 28 000 руб.)
Канфігурацыя віртуальнай прыватнай сеткі (VPN)
Запусціце OpenVPN Client (1) у DD-WRT. Пасля ўводу дадзеных доступу ў меню "Status" можна праверыць, ці пабудаваны тунэль для абароны дадзеных (2)
Уласна для настройкі VPN вам неабходна змяніць параметры ProtonVPN. Канфігурацыя нетрывіяльная, таму строга выконвайце ўказанні. Пасля таго як вы зарэгіструецеся на сайце ProtonVPN, у наладах акаўнта запампуйце файл Ovpn з вузламі, якія вы жадаеце выкарыстоўваць. Гэты файл змяшчае ўсю неабходную інфармацыю для доступу. У выпадку з іншымі пастаўшчыкамі паслуг вы знойдзеце гэтыя звесткі ў іншым месцы, аднак часцей за ўсё ў сваім акаўнце.
Адкрыйце файл Ovpn у тэкставым рэдактары. Затым на старонцы канфігурацыі роўтара націсніце на «Services | VPN» і на гэтай укладцы перамыкачом актывуйце опцыю «OpenVPN Client». Для даступных опцый унясіце інфармацыю з файла Ovpn. Для бясплатнага сервера ў Галандыі, да прыкладу, выкарыстоўвайце ў радку "Server IP/Name" значэнне "nlfree-02.protonvpn.com", а ў якасці порта пакажыце "1194".
"Tunnel Device" усталюеце на "TUN", а "Encryption Cipher" - на "AES-256 CBC".
Для "Hash Algorithm" задайце "SHA512", уключыце "User Pass Authentication" і ў палях "User" і "Password" пазначце свае дадзеныя для ўваходу ў Proton.
Цяпер прыйшоў час заняцца раздзелам "Advanced Options". "TLS Cypher" перавядзіце ў становішча "None", "LZO Compression" - на "Yes". Актывуйце "NAT" і "Firewall Protection" і ў якасці "Tunnel MTU settings" укажыце лік "1500". "TCP-MSS" неабходна выключыць.
У полі "TLS Auth Key" скапіруйце значэнні з файла Ovpn, якія вы знойдзеце пад радком "BEGIN OpenVPN Static key V1".
У поле "Additional Configuration" увядзіце радкі, якія вы знойдзеце пад "Server Name".
У завяршэнне для "CA Cert" устаўце тэкст, які вы бачыце ў радку "BEGIN Certificate". Захавайце налады націскам на кнопку «Save» і запусціце ўстаноўку націскам на «Apply Settings». Пасля перазагрузкі ваш роўтэр будзе звязаны з VPN. Для надзейнасці праверце злучэнне праз Status | OpenVPN».
Парады для вашага роўтара
З дапамогай пары нескладаных прыёмаў вы зможаце ператварыць свой хатні маршрутызатар у бяспечны вузел. Перад пачаткам налады неабходна змяніць стандартную канфігурацыю прылады.
Змена SSID Не пакідайце назву роўтара па змаўчанні. Па ім зламыснікі могуць зрабіць высновы аб вашым прыладзе і правесці мэтанакіраваную атаку на адпаведныя ўразлівасці.
DNS-абарона Усталюйце DNS-сервер Quad9 у якасці стандартнага на старонцы канфігурацыі. Пасля гэтага ўсе падлучаныя кліенты будуць заходзіць у Сетку праз бяспечны DNS. Гэта таксама пазбаўляе вас ад ручной наладкі прылад.
Выкарыстанне VPN Праз альтэрнатыўную прашыўку DD-WRT, даступную для большасці мадэляў маршрутызатараў, вы зможаце пабудаваць VPN-злучэнне для ўсіх кліентаў, злучаных з гэтай прыладай. Неабходнасць канфігураваць кліенты па асобнасці адпадае. Уся інфармацыя паступае ў Сетку ў зашыфраваным выглядзе. Вэб-службы больш не змогуць вылічыць вашыя рэальныя IP-адрас і месцазнаходжанне.
Пры выкананні ўсіх рэкамендацый, выкладзеных у гэтым артыкуле, нават спецыялісты ў галіне абароны дадзеных не змогуць прычапіцца да вашых канфігурацый, паколькі вы даможацеся максімальнай ананімнасці (на колькі гэта магчыма).
Дзякуй за чытанне майго артыкула, больш мануалаў, артыкулаў пра кібербяспеку, ценявы інтэрнэт і шматлікае іншае вы зможаце знайсці на нашым [Telegram канале](https://t.me/dark3idercartel).
Усім дзякуй хто прачытаў мой артыкул і азнаёміўся з ім. Спадзяюся вам спадабалася і вы адпішыце ў каментарах, што думаеце з гэтай нагоды?
Крыніца: habr.com