Всем салют, дорогие друзья!Как заходить в сеть через DNS, как настроить постоянно зашифрованное соединение с интернетом, как защитить домашний роутер – и еще несколько полезных советов вы найдете в нашей статье.
Сегодня мы расскажем о том, как из обычного роутера сделать роутер, который будет обеспечивать все ваши подключенные устройства анонимным интернет-соединением.
Погнали!
Для предотвращения отслеживания вашей личности по конфигурации маршрутизатора необходимо отключить по максимуму веб-сервисы вашего устройства и изменить стандартный идентификатор SSID. Как это сделать, мы покажем на примере Zyxel. С другими роутерами принцип действия аналогичен.
Откройте в браузере страницу конфигурации вашего маршрутизатора. Пользователям роутеров Zyxel для этого нужно ввести «my.keenetic.net» в адресную строку.
Теперь следует включить отображение дополнительных функций. Для этого нажмите на три точки в правом верхнем углу веб-интерфейса и щелкните по переключателю для опции «Advanced View».
Зайдите в меню «Wireless | Radio Network» и в разделе «Radio Network» введите новое название вашей сети. Наряду с именем для частоты 2,4 ГГц не забудьте изменить и название для частоты 5 ГГц. В качестве SSID укажите любую последовательность символов.
Затем перейдите в меню «Internet | Permit Access». Снимите флажок перед опциями «Internet access via HTTPS enabled» и «Internet access to your storage media via FTP/FTPS enabled». Подтвердите произведенные изменения.
Построение DNS-защиты
В первую очередь измените SSID своего роутера
(1). Затем в настройках DNS укажите сервер Quad9
(2). Теперь все подключенные клиенты в безопасности
На вашем маршрутизаторе также должен использоваться альтернативный DNS-сервер, например Quad9. Преимущество: если этот сервис настроен непосредственно на роутере, все подключенные к нему клиенты автоматически будут заходить в Интернет через данный сервер. Мы поясним конфигурацию опять-таки на примере Zyxel.
Описанным в предыдущем разделе образом разделе «Изменение имени роутера и идентификатора SSID» образом зайдите на страницу конфигурации Zyxel и перейдите в раздел «Сеть Wi-Fi» на вкладку «Точка доступа». Здесь поставьте галочку в чекпойнте «Скрыть SSID».
Перейдите на вкладку «Серверы DNS» и задействуйте опцию «Адрес сервера DNS». В строке параметра введите IP-адрес «9.9.9.9».
Настройка постоянного перенаправления через VPN
Еще больше анонимности вы добьетесь с помощью постоянного соединения по VPN. В этом случае вам не придется больше беспокоиться об организации такого подключения на каждом отдельном устройстве — каждый клиент, соединенный с роутером, автоматически будет заходить в Сеть через защищенное VPN-подключение. Однако для этой цели вам понадобится альтернативная прошивка DD-WRT, которую необходимо установить на роутер вместо прошивки от производителя. Это ПО совместимо с большинством роутеров.
Например, на маршрутизаторе премиум-класса Netgear Nighthawk X10 имеется поддержка DD-WRT. Впрочем, вы можете использовать в качестве точки доступа к Wi-Fi и недорогой роутер, например TP-Link TL-WR940N. После выбора маршрутизатора следует решить, какую VPN-службу вы предпочтете. В нашем случае мы остановились на бесплатной версии ProtonVPN.
Установка альтернативной прошивки
После установки DD-WRT измените DNS-сервер устройства прежде чем настраивать подключение по VPN.
Мы поясним установку на примере роутера Netgear, однако для других моделей процесс аналогичен. Скачайте прошивку DD-WRT и установите ее с помощью функции обновления. После перезагрузки вы окажетесь в интерфейсе DD-WRT. Вы можете перевести программу на русский язык, выбрав в меню «Administration | Management | Language» вариант «Russian».
Перейдите к пункту «Setup | Basic setup» и для параметра «Static DNS 1» пропишите значение «9.9.9.9».
Также поставьте флажки перед следующими опциями «Use DNSMasq for DHCP», «Use DNSMasq for DNS» и «DHCP-Authoritative». Сохраните изменения щелчком по кнопке «Save».
В разделе «Setup | IPV6» отключите «IPV6 Support». Тем самым вы предотвратите деанонимизацию через утечки IPV6.
Совместимые устройства можно найти в любой ценовой категории, например TP-Link TL-WR940N (около 1300 руб.)
или Netgear R9000 (около 28 000 руб.)
Конфигурация виртуальной частной сети (VPN)
Запустите OpenVPN Client (1) в DD-WRT. После ввода данных доступа в меню «Status» можно проверить, построен ли туннель для защиты данных (2)
Собственно для настройки VPN вам необходимо изменить параметры ProtonVPN. Конфигурация нетривиальна, поэтому строго следуйте указаниям. После того как вы зарегистрируетесь на сайте ProtonVPN, в настройках аккаунта скачайте файл Ovpn с узлами, которые вы хотите использовать. Этот файл содержит всю необходимую информацию для доступа. В случае с другими поставщиками услуг вы найдете эти сведения в другом месте, однако чаще всего в своем аккаунте.
Откройте файл Ovpn в текстовом редакторе. Затем на странице конфигурации роутера нажмите на «Services | VPN» и на этой вкладке переключателем активируйте опцию «OpenVPN Client». Для доступных опций внесите информацию из файла Ovpn. Для бесплатного сервера в Голландии, к примеру, используйте в строчке «Server IP/Name» значение «nlfree-02.protonvpn.com», а в качестве порта укажите «1194».
«Tunnel Device» установите на «TUN», а «Encryption Cipher» – на «AES-256 CBC».
Для «Hash Algorithm» задайте «SHA512», включите «User Pass Authentication» и в полях «User» и «Password» укажите свои данные для входа в Proton.
Теперь пришло время заняться разделом «Advanced Options». «TLS Cypher» переведите в положение «None», «LZO Compression» — на «Yes». Активируйте «NAT» и «Firewall Protection» и в качестве «Tunnel MTU settings» укажите число «1500». «TCP-MSS» необходимо выключить.
В поле «TLS Auth Key» скопируйте значения из файла Ovpn, которые вы найдете под строчкой «BEGIN OpenVPN Static key V1».
В поле «Additional Configuration» введите строчки, которые вы найдете под «Server Name».
В завершение для «CA Cert» вставьте текст, который вы видите в строчке «BEGIN Certificate». Сохраните настройки нажатием на кнопку «Save» и запустите установку нажатием на «Apply Settings». После перезагрузки ваш роутер будет связан с VPN. Для надежности проверьте соединение через «Status | OpenVPN».
Советы для вашего роутераПри выполнении всех рекомендаций, изложенных в этой статье, даже специалисты в области защиты данных не смогут придраться к вашим конфигурациям, поскольку вы добьетесь максимальной анонимности(на сколько это возможно).
С помощью пары несложных приемов вы сможете превратить свой домашний маршрутизатор в безопасный узел. Прежде чем приступать к настройке, следует изменить стандартную конфигурацию устройства.
Изменение SSID Не оставляйте название роутера по умолчанию. По нему злоумышленники могут сделать выводы о вашем устройстве и провести целенаправленную атаку на соответствующие уязвимости.
DNS-защита Установите DNS-сервер Quad9 в качестве стандартного на странице конфигурации. После этого все подключенные клиенты будут заходить в Сеть через безопасный DNS. Это также избавляет вас от ручной настройки устройств.
Использование VPN Через альтернативную прошивку DD-WRT, доступную для большинства моделей маршрутизаторов, вы сможете построить VPN-соединение для всех клиентов, связанных с этим устройством. Необходимость конфигурировать клиенты по отдельности отпадает. Вся информация поступает в Сеть в зашифрованном виде. Веб-службы больше не смогут вычислить ваши реальные IP-адрес и местоположение.
Спасибо за прочтение моей статьи, больше мануалов, статей про кибербезопасность, теневой интернет и многое другое вы сможете найти на нашем [Telegram канале](https://t.me/dark3idercartel).
Всем спасибо кто прочитал мою статью и ознакомился с ней.Надеюсь вам понравилось и вы отпишите в комментариях, что думаете по этому поводу?
Комментарии (11)
ss-nopol
27.08.2019 12:16+2(1) в настройках DNS укажите сервер Quad9
(2) теперь все подключенные клиенты в безопасности
Для начала было бы неплохо рассказать, в чём же была опасность, от которой мы здесь обезопасились. А затем добавить ещё, что 99% других опасностей никуда не делись.
lowtechomega
27.08.2019 12:42Да уж, весьма безопасное решение)))
Через интерфейс роутера вообще ничего безопасно не сделать. Нужно в консоли, и вариантов тоже немного:
* dnscrypt (libdnscrypt) это сначала
* тор (dnscrypt через него)
* VPN тунель
* правила передачи трафа (тор или впн)
* как ререрв можно заюзать серверы vpngate (много стран).
В целом описание решения задачи требует много страниц, посколько существуют и вложенные решения, например i2p web-outboud для самой серкетности пущеный через тор.DarkWolf13
27.08.2019 13:14Можно еще дополнить правилами, когда не нужно «мудрить» и достаточно использовать прямые подключения, а для тора и впн поставить свои условия, что бы был какой-то условный выбор вроде «серая» часть запросов через тор, совсем темная через впн, а часть вроде новостей можно и не заморачиваться пускай через «любимого» провайдера, согласен все через терминал да и скриптик немаленький получается…
lowtechomega
27.08.2019 13:26Да и в целом автор похоже имеет слабые представления о «полной анонимности» раз предлагает элементарно подключить бесплатный впн на роутер. На этом собственно все меры «полной анонимности заканчиваются.
Материал элементарно вводит в заблуждение — этот роутер будет такой же дырявый как и без него.
9.9.9.9 днс + изменить SSID = „Теперь все подключенные клиенты в безопасности“ ;-)
Зачем SSID менять на случайную последовательность, можете дать пример от чего сия „защита“?
ТС слышали про dnscrypt? dnsoverhttps? похоже нет. А предлагать бесплатный впн как безопасность — это вообще похоже на саботаж.
»Web-UI/UX Designer / C# programming" — вот про и стоило бы писать, а не про безопасность.
ne_kotin
27.08.2019 14:03Я для себя решил задачу проще: собрал образ для малинки, который поднимает хотспот, и весь трафик с него роутит в тор. всё.
наружу в ethernet/RNDIS уезжает TLS до тора.dmitry_dvm
27.08.2019 17:29А можно поподробнее? Все никак не найду применение для своей rpi2.
ne_kotin
27.08.2019 17:32Со второй вроде как сложнее, там ЕМНИП Wi-Fi не встроен в отличие от третьей.
1delovoj1
27.08.2019 20:09Необходимо было разрекламировать DNS-сервер Quad9, дотируемый тайными службами США и Великобритании. А если пост на Хабре, то много ищущих мануал по роутерам проникнутся идеей «безопасности» Quad9
SaberRed
28.08.2019 03:35На мой взгляд, подобные статьи, обещающие «полную анонимность», вредны и опасны.
Иллюзия безопасности, или, в данном случае, анонимности, хуже чем полное отсутствие безопасности/анонимности. Кое-кто может влезть туда, куда не следует, не понимая последствий от своих действий.
Вкратце пройдусь по пунктам:
Настройка DNS:
- Настройка DNS, сама по себе, анонимность не увеличивает, провайдер (и все кто получает данные от провайдера) по прежнему видят все соединения (IP и порты), могут анализировать тип соединений (протоколы и т.д.), в случае соединения по http без шифрования всё ещё виден весь трафик.
Со стороны сервера/веб-сайта, по прежнему видно всё, и IP, и стек TCP/IP, и используемый DNS, какие технологии активны в браузеры, фингерпринт и всё остальное. - Некоторые роутеры (и в частности Zyxel), вроде как, продолжают автоматически принимать провайдерский DNS, который используется как резервный. Отключается это через CLI.
SSID это просто идентификатор локальной беспроводной сети, он никуда дальше не передаётся.
Про VPN:
- Использование VPN не делает никого анонимным, атаки по корреляции, использование уже скомпрометированных аккаунтов, продажа информации со стороны владельца сервера, неправильно настроенный браузер и многое другое.
- Для неподготовленного пользователя одним из немногих способов затруднить идентификацию личности является использование TOR Bundle (т.к. всё преднастроено специалистами) поверх VPN (выступает в качестве моста), и то только если пользователь понимает как правильно вести себя в сети.
Рекомендации, которые я могу привести от себя:
- Для начала нужно разобраться от кого и зачем защищаться, если от гугла или яндекса, то применяются одни меры, если от мексиканского наркокартеля, то другие. Подготовка требуется очень разная.
- Читать TOR FAQ и best practies. Потом уже можно переходить на серьезную документацию.
- 100% надёжных программных/аппаратных средств обеспечения анонимности не существует и существовать не может, всегда есть возможность компрометации.
- Хорошенько подумайте прежде чем лезть во что-то опасное, любая ошибка может очень дорого обойтись.
- Настройка DNS, сама по себе, анонимность не увеличивает, провайдер (и все кто получает данные от провайдера) по прежнему видят все соединения (IP и порты), могут анализировать тип соединений (протоколы и т.д.), в случае соединения по http без шифрования всё ещё виден весь трафик.
Nikobraz
Публичный VPN.
Даа, я прямо чувствую безопасность и анонимность.