我想使用最有效、最安全的方法来保护“开放”环境中的无线流量,例如咖啡店的免费 WiFi。哪种方法更有效、更安全:SOCKS 代理(我目前使用,如下所示)还是 IPSec VPN 连接?
我在家里的电缆调制解调器上安装了 Smoothwall 防火墙/路由器,并运行了 SSH 服务器。(Smoothwall 还支持单个 IPSec VPN 实例。)我一直使用 SSH 连接到 Smoothwall 盒,将所有本地 Ubuntu Linux 流量通过 Firefox 中的 SOCKS 代理传递到家里的 SSH 服务器。这是我使用的控制台命令:
ssh -D 5678 -p 222 non_root_user@_a_DynamicDNS_DNS-name
这会将所有本地流量通过 5678 端口发送到 Smoothwall 上 SSH 服务器上的 222 端口。我实际上是将所有流量加密后通过本地开放 WiFi 路由器,返回到我家里的 Smoothwall 盒子,到达我想要的互联网网站,然后在返回咖啡店的途中重新加密。我让朋友嗅探过这些流量,测试结果显示是加密的。
我了解 VPN 的概念,但从未设置过。我想我真的不明白使用 VPN 是否会比我现在使用的 SSH 连接更有益。是的,有时远程访问家用电脑和打印机会很不错 - 我试过免费版的 LogMeIn,它适用于 PC 访问。
有什么想法或明智之言吗?
答案1
如果您只想确保网页浏览安全,您描述的设置应该可以正常工作。但是,您的解决方案仅保护 HTTP 流量。VPN 会在您的笔记本电脑和家庭办公室之间设置一个安全的网络管道。理论上,您可以在此管道上运行任何协议,包括 SMTP、POP3、IMAP、SMB、NFS 等。只要此流量通过 VPN 路由,它就是安全的。
答案2
使用 openvpn。您可以进行预共享配置,这将是一个简单的设置。有一个适用于 Windows 和 Linux 的客户端和服务器组件。
即使在企业环境中,这也非常有用,因为企业可能会阻止出站 ssh 流量。您可以在端口 80 上运行 openvpn,大多数不复杂的网络永远不会知道您在做什么。
主要优点还在于您每次使用 ssh 路由时不必修改浏览器上的代理设置。
另一个很酷的优势是,通过一些调整,您甚至可以将 DNS 请求发送到您的家用机器,保持安静。否则,在 ssh 场景中,您可能会将请求泄露给本地咖啡店 DNS 服务器。