Поздрави на всички, скъпи приятели!
Днес ще говорим за това как да превърнете обикновен рутер в рутер, който ще осигури на всичките ви свързани устройства анонимна интернет връзка.
Да тръгваме!
Как да получите достъп до мрежата чрез DNS, как да настроите постоянно криптирана връзка с интернет, как да защитите домашния си рутер - и още няколко полезни съвета ще намерите в нашата статия.
За да попречите на конфигурацията на вашия рутер да проследява самоличността ви, трябва да деактивирате уеб услугите на вашето устройство колкото е възможно повече и да промените SSID по подразбиране. Ще покажем как да направите това, използвайки Zyxel като пример. При другите рутери принципът на работа е подобен.
Отворете страницата за конфигурация на вашия рутер в браузъра си. За да направят това, потребителите на рутери Zyxel трябва да въведат „my.keenetic.net“ в адресната лента.
Сега трябва да активирате показването на допълнителни функции. За да направите това, щракнете върху трите точки в горния десен ъгъл на уеб интерфейса и щракнете върху превключвателя за опцията „Разширен изглед“.
Отидете в менюто „Безжична | Радиомрежа“ и в секцията „Радиомрежа“ въведете новото име на вашата мрежа. Заедно с името за честота 2,4 GHz, не забравяйте да промените името за честота 5 GHz. Посочете произволна последователност от знаци като SSID.
След това отидете в менюто „Интернет | Разрешете достъп“. Премахнете отметката от квадратчетата пред опциите „Интернет достъп чрез HTTPS активиран“ и „Интернет достъп до вашия носител за съхранение чрез активиран FTP/FTPS“. Потвърдете вашите промени.
Изграждане на DNS защита
Първо, променете SSID на вашия рутер
(1). След това в настройките на DNS посочете Quad9 сървъра
(2). Сега всички свързани клиенти са в безопасност
Вашият рутер също трябва да използва алтернативен DNS сървър, като Quad9. Предимство: ако тази услуга е конфигурирана директно на рутера, всички клиенти, свързани към него, автоматично ще имат достъп до интернет през този сървър. Ще обясним отново конфигурацията, използвайки Zyxel като пример.
По същия начин, както е описано в предишния раздел под „Промяна на името на рутера и SSID“, отидете на страницата за конфигурация на Zyxel и отидете в секцията „Wi-Fi мрежа“ до раздела „Точка за достъп“. Тук проверете контролната точка „Скриване на SSID“.
Отидете в раздела „DNS сървъри“ и активирайте опцията „Адрес на DNS сървър“. В реда за параметри въведете IP адреса "9.9.9.9".
Настройка на постоянно пренасочване чрез VPN
Ще постигнете още повече анонимност с постоянна VPN връзка. В този случай вече не е нужно да се притеснявате за организирането на такава връзка на всяко отделно устройство - всеки клиент, свързан към рутера, автоматично ще има достъп до мрежата чрез защитена VPN връзка. За тази цел обаче ще ви трябва алтернативен DD-WRT фърмуер, който трябва да бъде инсталиран на рутера вместо фърмуера от производителя. Този софтуер е съвместим с повечето рутери.
Например първокласният рутер Netgear Nighthawk X10 има поддръжка на DD-WRT. Можете обаче да използвате евтин рутер, като TP-Link TL-WR940N, като Wi-Fi точка за достъп. След като изберете своя рутер, ще трябва да решите коя VPN услуга предпочитате. В нашия случай избрахме безплатната версия на ProtonVPN.
Инсталиране на алтернативен фърмуер
След като инсталирате DD-WRT, променете DNS сървъра на устройството, преди да настроите VPN връзка.
Ще обясним инсталацията, използвайки рутер Netgear като пример, но процесът е подобен за други модели. Изтеглете фърмуера на DD-WRT и го инсталирайте с помощта на функцията за актуализиране. След рестартиране ще се озовете в интерфейса DD-WRT. Можете да преведете програмата на руски, като изберете „Администрация | Управление | Език" опция "Руски".
Отидете на „Настройка | Основна настройка" и за параметъра "Статичен DNS 1" въведете стойността "9.9.9.9".
Проверете също следните опции: „Използване на DNSMasq за DHCP“, „Използване на DNSMasq за DNS“ и „DHCP-авторитетен“. Запазете промените, като щракнете върху бутона „Запазване“.
В „Настройка | IPV6" деактивирайте "IPV6 Support". По този начин ще предотвратите деанонимизиране чрез изтичане на IPV6.
Съвместими устройства могат да бъдат намерени във всяка ценова категория, например TP-Link TL-WR940N (около 1300 рубли)
или Netgear R9000 (около 28 000 rub.)
Конфигурация на виртуална частна мрежа (VPN).
Стартирайте OpenVPN Client (1) в DD-WRT. След като въведете данните за достъп в менюто "Статус", можете да проверите дали тунелът за защита на данните е изграден (2)
Всъщност, за да настроите VPN, трябва да промените настройките на ProtonVPN. Конфигурацията не е тривиална, така че следвайте внимателно указанията. След като се регистрирате на уебсайта на ProtonVPN, в настройките на вашия акаунт изтеглете Ovpn файла с възлите, които искате да използвате. Този файл съдържа цялата необходима информация за достъп. За други доставчици на услуги ще намерите тази информация другаде, но най-често във вашия акаунт.
Отворете файла Ovpn в текстов редактор. След това на страницата за конфигурация на рутера щракнете върху „Услуги | VPN" и в този раздел използвайте превключвателя, за да активирате опцията „OpenVPN клиент". За налични опции въведете информация от Ovpn файла. За безплатен сървър в Холандия, например, използвайте стойността „nlfree-02.protonvpn.com“ в реда „IP/Име на сървъра“ и посочете „1194“ като порт.
Задайте „Tunnel Device“ на „TUN“ и „Encryption Cipher“ на „AES-256 CBC“.
За „Hash Algorithm“ задайте „SHA512“, активирайте „User Pass Authentication“ и в полетата „User“ и „Password“ въведете вашата информация за влизане в Proton.
Сега е време да преминете към секцията „Разширени опции“. Задайте “TLS Cypher” на “None”, “LZO Compression” на “Yes”. Активирайте „NAT“ и „Защита на защитната стена“ и посочете числото „1500“ като „Настройки на MTU на тунела“. "TCP-MSS" трябва да бъде деактивиран.
В полето „TLS Auth Key“ копирайте стойностите от Ovpn файла, който ще намерите под реда „BEGIN OpenVPN Static key V1“.
В полето „Допълнителна конфигурация“ въведете редовете, които намирате под „Име на сървъра“.
И накрая, за „CA Cert“ поставете текста, който виждате в реда „BEGIN Certificate“. Запазете настройките, като щракнете върху бутона „Запазване“ и започнете инсталацията, като щракнете върху „Прилагане на настройките“. След рестартиране вашият рутер ще бъде свързан към VPN. За надеждност проверете връзката чрез „Състояние | OpenVPN."
Съвети за вашия рутер
С няколко прости трика можете да превърнете домашния си рутер в защитен възел. Преди да започнете конфигурацията, трябва да промените конфигурацията по подразбиране на устройството.
Промяна на SSID Не оставяйте името на рутера по подразбиране. Използвайки го, атакуващите могат да направят изводи за вашето устройство и да проведат целенасочена атака срещу съответните уязвимости.
DNS защита Задайте Quad9 DNS сървъра по подразбиране на страницата за конфигурация. След това всички свързани клиенти ще имат достъп до мрежата чрез защитен DNS. Освен това ви спестява от ръчно конфигуриране на устройства.
Използване на VPN Чрез алтернативния фърмуер DD-WRT, наличен за повечето модели рутери, можете да изградите VPN връзка за всички клиенти, свързани с това устройство. Няма нужда да конфигурирате клиенти поотделно. Цялата информация влиза в мрежата в криптирана форма. Уеб услугите вече няма да могат да разберат истинския ви IP адрес и местоположение.
Ако следвате всички препоръки, описани в тази статия, дори специалистите по защита на данните няма да могат да намерят грешка във вашите конфигурации, тъй като ще постигнете максимална анонимност (доколкото е възможно).
Благодаря ви, че прочетохте статията ми, можете да намерите още ръководства, статии за киберсигурността, интернет в сянка и много повече в нашия [канал в Telegram](https://t.me/dark3idercartel).
Благодаря на всички, които прочетоха статията ми и се запознаха с нея, надявам се да ви е харесала и напишете в коментарите какво мислите за това?
Източник: www.habr.com