Xin chào tất cả mọi người, các bạn thân mến!
Hôm nay chúng ta sẽ nói về cách biến bộ định tuyến thông thường thành bộ định tuyến cung cấp kết nối Internet ẩn danh cho tất cả các thiết bị được kết nối của bạn.
Đi nào!
Cách truy cập mạng qua DNS, cách thiết lập kết nối Internet được mã hóa vĩnh viễn, cách bảo vệ bộ định tuyến tại nhà của bạn - và một số mẹo hữu ích khác mà bạn sẽ tìm thấy trong bài viết của chúng tôi.
Để ngăn cấu hình bộ định tuyến theo dõi danh tính của bạn, bạn phải tắt các dịch vụ web trên thiết bị của mình nhiều nhất có thể và thay đổi SSID mặc định. Chúng tôi sẽ chỉ ra cách thực hiện việc này bằng cách sử dụng Zyxel làm ví dụ. Với các bộ định tuyến khác, nguyên lý hoạt động cũng tương tự.
Mở trang cấu hình của bộ định tuyến trong trình duyệt của bạn. Để thực hiện việc này, người dùng bộ định tuyến Zyxel cần nhập “my.keenetic.net” vào thanh địa chỉ.
Bây giờ bạn nên kích hoạt hiển thị các chức năng bổ sung. Để thực hiện việc này, hãy nhấp vào ba dấu chấm ở góc trên bên phải của giao diện web và nhấp vào công tắc cho tùy chọn “Chế độ xem nâng cao”.
Chuyển đến menu “Không dây | Mạng vô tuyến" và trong phần "Mạng vô tuyến", hãy nhập tên mới cho mạng của bạn. Cùng với tên tần số 2,4 GHz, đừng quên đổi tên tần số 5 GHz. Chỉ định bất kỳ chuỗi ký tự nào làm SSID.
Sau đó vào menu “Internet | Cho phép truy cập". Bỏ chọn các hộp phía trước các tùy chọn “Truy cập Internet qua HTTPS đã bật” và “Truy cập Internet vào phương tiện lưu trữ của bạn thông qua các tùy chọn đã bật FTP/FTPS”. Xác nhận thay đổi của bạn.
Xây dựng bảo vệ DNS
Trước hết, hãy thay đổi SSID của bộ định tuyến của bạn
(1). Sau đó, trong cài đặt DNS chỉ định máy chủ Quad9
(2). Bây giờ tất cả các máy khách được kết nối đều an toàn
Bộ định tuyến của bạn cũng nên sử dụng máy chủ DNS thay thế, chẳng hạn như Quad9. Ưu điểm: nếu dịch vụ này được cấu hình trực tiếp trên bộ định tuyến, tất cả các máy khách kết nối với nó sẽ tự động truy cập Internet thông qua máy chủ này. Chúng tôi sẽ giải thích lại cấu hình bằng Zyxel làm ví dụ.
Theo cách tương tự như được mô tả trong phần trước trong “Thay đổi tên bộ định tuyến và SSID”, hãy truy cập trang cấu hình Zyxel và chuyển đến phần “Mạng Wi-Fi” tới tab “Điểm truy cập”. Tại đây, hãy kiểm tra điểm kiểm tra “Ẩn SSID”.
Chuyển đến tab “Máy chủ DNS” và bật tùy chọn “Địa chỉ máy chủ DNS”. Tại dòng thông số nhập địa chỉ IP “9.9.9.9”.
Thiết lập chuyển hướng vĩnh viễn qua VPN
Bạn sẽ đạt được mức độ ẩn danh cao hơn nữa với kết nối VPN vĩnh viễn. Trong trường hợp này, bạn không còn phải lo lắng về việc tổ chức kết nối như vậy trên từng thiết bị riêng lẻ - mỗi máy khách được kết nối với bộ định tuyến sẽ tự động truy cập Mạng thông qua kết nối VPN an toàn. Tuy nhiên, với mục đích này, bạn sẽ cần phần sụn DD-WRT thay thế, phần mềm này phải được cài đặt trên bộ định tuyến thay vì phần sụn từ nhà sản xuất. Phần mềm này tương thích với hầu hết các bộ định tuyến.
Ví dụ: bộ định tuyến Netgear Nighthawk X10 cao cấp có hỗ trợ DD-WRT. Tuy nhiên, bạn có thể sử dụng bộ định tuyến rẻ tiền, chẳng hạn như TP-Link TL-WR940N, làm điểm truy cập Wi-Fi. Sau khi đã chọn bộ định tuyến, bạn sẽ cần quyết định xem mình sẽ thích dịch vụ VPN nào. Trong trường hợp của chúng tôi, chúng tôi đã chọn phiên bản ProtonVPN miễn phí.
Cài đặt phần mềm thay thế
Sau khi cài đặt DD-WRT, hãy thay đổi máy chủ DNS của thiết bị trước khi thiết lập kết nối VPN.
Chúng tôi sẽ giải thích việc cài đặt bằng bộ định tuyến Netgear làm ví dụ, nhưng quy trình này tương tự đối với các kiểu máy khác. Tải xuống chương trình cơ sở DD-WRT và cài đặt nó bằng chức năng cập nhật. Sau khi khởi động lại, bạn sẽ thấy mình trong giao diện DD-WRT. Bạn có thể dịch chương trình sang tiếng Nga bằng cách chọn “Quản trị | Quản lý | Tùy chọn ngôn ngữ" "Tiếng Nga".
Đi tới “Cài đặt | Thiết lập cơ bản" và đối với tham số "DNS tĩnh 1", nhập giá trị "9.9.9.9".
Đồng thời kiểm tra các tùy chọn sau: “Sử dụng DNSMasq cho DHCP”, “Sử dụng DNSMasq cho DNS” và “DHCP-Có thẩm quyền”. Lưu các thay đổi bằng cách nhấp vào nút "Lưu".
Trong phần “Cài đặt | IPV6" tắt "Hỗ trợ IPV6". Bằng cách này, bạn sẽ ngăn chặn việc hủy ẩn danh thông qua rò rỉ IPV6.
Các thiết bị tương thích có thể được tìm thấy ở bất kỳ loại giá nào, ví dụ TP-Link TL-WR940N (khoảng 1300 rúp)
hoặc Netgear R9000 (khoảng 28 chà.)
Cấu hình mạng riêng ảo (VPN)
Khởi chạy Máy khách OpenVPN (1) trong DD-WRT. Sau khi nhập dữ liệu truy cập vào menu "Trạng thái", bạn có thể kiểm tra xem đường hầm bảo vệ dữ liệu đã được xây dựng chưa (2)
Trên thực tế, để thiết lập VPN, bạn cần thay đổi cài đặt ProtonVPN. Cấu hình không tầm thường, vì vậy hãy làm theo hướng dẫn cẩn thận. Sau khi bạn đăng ký trên trang web ProtonVPN, trong cài đặt tài khoản của bạn, hãy tải xuống tệp Ovpn có các nút bạn muốn sử dụng. Tập tin này chứa tất cả các thông tin truy cập cần thiết. Đối với các nhà cung cấp dịch vụ khác, bạn sẽ tìm thấy thông tin này ở nơi khác, nhưng thường xuyên nhất là trong tài khoản của bạn.
Mở tệp Ovpn trong trình soạn thảo văn bản. Sau đó trên trang cấu hình bộ định tuyến, nhấp vào “Dịch vụ | VPN" và trên tab này, sử dụng nút gạt để kích hoạt tùy chọn "OpenVPN Client". Để có các tùy chọn có sẵn, hãy nhập thông tin từ tệp Ovpn. Ví dụ: đối với máy chủ miễn phí ở Hà Lan, hãy sử dụng giá trị “nlfree-02.protonvpn.com” trong dòng “IP/Name máy chủ” và chỉ định “1194” làm cổng.
Đặt "Thiết bị đường hầm" thành "TUN" và "Mật mã mã hóa" thành "AES-256 CBC".
Đối với "Thuật toán băm", hãy đặt "SHA512", bật "Xác thực thẻ người dùng" và trong trường "Người dùng" và "Mật khẩu", hãy nhập thông tin đăng nhập Proton của bạn.
Bây giờ là lúc chuyển sang phần "Tùy chọn nâng cao". Đặt “TLS Cypher” thành “Không có”, “Nén LZO” thành “Có”. Kích hoạt “NAT” và “Bảo vệ tường lửa” và chỉ định số “1500” làm “Cài đặt MTU đường hầm”. "TCP-MSS" phải bị tắt.
Trong trường “Khóa xác thực TLS”, sao chép các giá trị từ tệp Ovpn mà bạn sẽ tìm thấy dưới dòng “BEGIN OpenVPN Static key V1”.
Trong trường “Cấu hình bổ sung”, nhập các dòng bạn tìm thấy trong “Tên máy chủ”.
Cuối cùng, đối với “Chứng chỉ CA”, hãy dán văn bản bạn nhìn thấy vào dòng “Chứng chỉ BEGIN”. Lưu cài đặt bằng cách nhấp vào nút “Lưu” và bắt đầu cài đặt bằng cách nhấp vào “Áp dụng cài đặt”. Sau khi khởi động lại, bộ định tuyến của bạn sẽ được kết nối với VPN. Để biết độ tin cậy, hãy kiểm tra kết nối qua “Trạng thái | OpenVPN."
Lời khuyên cho bộ định tuyến của bạn
Với một số thủ thuật đơn giản, bạn có thể biến bộ định tuyến gia đình của mình thành một nút an toàn. Trước khi bắt đầu cấu hình, bạn nên thay đổi cấu hình mặc định của thiết bị.
Thay đổi SSID Không để lại tên bộ định tuyến mặc định. Bằng cách sử dụng nó, kẻ tấn công có thể đưa ra kết luận về thiết bị của bạn và tiến hành một cuộc tấn công có chủ đích vào các lỗ hổng tương ứng.
Bảo vệ DNS Đặt máy chủ DNS Quad9 làm mặc định trên trang cấu hình. Sau này, tất cả các máy khách được kết nối sẽ truy cập Mạng thông qua DNS an toàn. Nó cũng giúp bạn tránh phải cấu hình thiết bị theo cách thủ công.
Sử dụng VPN Thông qua chương trình cơ sở DD-WRT thay thế, có sẵn cho hầu hết các kiểu bộ định tuyến, bạn có thể xây dựng kết nối VPN cho tất cả các máy khách được liên kết với thiết bị này. Không cần phải cấu hình từng máy khách riêng lẻ. Tất cả thông tin được đưa vào Mạng ở dạng được mã hóa. Các dịch vụ web sẽ không thể tìm ra địa chỉ và vị trí IP thực của bạn nữa.
Nếu bạn làm theo tất cả các đề xuất được nêu trong bài viết này, ngay cả các chuyên gia bảo vệ dữ liệu cũng sẽ không thể tìm ra lỗi trong cấu hình của bạn vì bạn sẽ đạt được khả năng ẩn danh tối đa (càng nhiều càng tốt).
Cảm ơn bạn đã đọc bài viết của tôi, bạn có thể tìm thêm hướng dẫn, bài viết về an ninh mạng, Internet ngầm và nhiều nội dung khác trên [kênh Telegram](https://t.me/dark3idercartel) của chúng tôi.
Cảm ơn tất cả những người đã đọc bài viết của tôi và làm quen với nó, tôi hy vọng bạn thích nó và viết bình luận bạn nghĩ gì về điều này?
Nguồn: www.habr.com