Jak mogę zaszyfrować mój ruch internetowy, aby bezpiecznie korzystać z publicznego Wi-Fi?


8

Przeprowadziłem się do hostelu, który zapewnia sieć Wi-Fi. Chciałbym być bezpieczny w tej publicznej sieci WiFi. Czy istnieje sposób szyfrowania mojej transmisji danych do iz routera? Trochę mnie pochłania szum hasła „Jak niebezpieczne jest publiczne WiFi”.


1
Jaki ruch chcesz szyfrować? Dane uwierzytelniające? Ciasteczka sesyjne? Twoje wizyty w zagrożonych witrynach? Cały ruch internetowy? Cały ruch sieciowy? Przed kim chcesz go chronić? Inni goście i przechodnie? Personel IT hostelu? ISP hostelu? Agencja rządowa? Czy sieć bezprzewodowa jest szyfrowana, a jeśli tak, jaka jest metoda szyfrowania? Czy hostel oferuje przewodowy dostęp do Internetu?
David Foerster

Nie jestem pewien, jak wiarygodny jest dostawca WiFi hostelu. Nie może też ryzykować wpuszczenia do komputera innych użytkowników lub wąchania moich danych. Mam się dobrze, jeśli usługodawca internetowy lub rządowy. agencje patrzą. Moją troską jest natychmiastowa prywatność. PS: Nie odwiedzam żadnych nielegalnych stron.
Dilip

Jakiej metody szyfrowania używa sieć bezprzewodowa?
David Foerster

1
Nie jestem ekspertem od sieci, ale AFAIK, nie byłoby pożytku z szyfrowania pakietów po twojej stronie bez wiedzy drugiej strony (np. Serwera). Na przykład, jeśli zaszyfrujesz pakiety http (jakąś metodą, zastanawiam się, czy istnieje), zostaną one uznane przez serwer za uszkodzone. Z drugiej strony możesz z pewnością zaszyfrować swoje pliki, o ile druga strona wie, jak je odszyfrować.
Zarejestrowany użytkownik

2
I edytuj swoje pytanie, aby uwzględnić ustalenia i założenia dotyczące atakującego.
David Foerster

Odpowiedzi:


7

Zdalny dostęp

Większość publicznych bezprzewodowych punktów dostępowych (zaszyfrowanych lub nie) korzysta z izolacji klienta, więc żaden inny klient sieciowy nie może komunikować się z urządzeniem. Jeśli klienci mogą komunikować się tylko upewnić się (tymczasowo) wyłączyć lub zabezpieczyć wszystkie usługi sieciowe uruchomione na ciebie urządzenie (jak httpd, ftpd, sshd, smbd), jak będzie prawdopodobnie nie potrzebują ich w czasie pobytu w schronisku tak. Jeśli uważasz się za „laika” zgodnie z komentarzem, nie musisz się martwić, ponieważ Ubuntu nie ma domyślnie włączonych żadnych usług sieciowych. Oczywiście bardziej bystry przyjaciel mógł je włączyć zgodnie z twoją prośbą, ale podejrzewam, że o tym wiesz.

Bezprzewodowe wąchanie pakietów

Ponieważ sieć jest szyfrowana za pomocą WPA2 , protokołu szyfrowania bez znanych publicznie luk, jesteś również bezpieczny od bezprzewodowych snifferów pakietów, ponieważ bezprzewodowy punkt dostępu przypisuje inny klucz sesji każdemu klientowi. Nawet jeśli wszyscy klienci korzystają z tego samego hasła, nie będą w stanie odszyfrować nawzajem ruchu sieciowego (przy rozsądnym wysiłku). Ta część dotyczy tylko WPA2- EAP .

Od tego czasu dowiedziałem się, że osoba atakująca ze znajomością wstępnie współdzielonego tajnego klucza (prawdopodobnie w przypadku półpublicznej sieci bezprzewodowej) i rekordem uzgadniania uwierzytelniania WPA2-PSK (ponowne uwierzytelnienie może zostać sprowokowane atakiem deauthentication, który wymaga jedynie znajomości PSK) może odszyfrować cały późniejszy ruch.

Wniosek: nie polegaj na prywatności publicznych sieci bezprzewodowych zaszyfrowanych wstępnie udostępnionym sekretem. Rozwiązania znajdują się w poniższych sekcjach.

Nawlekanie drutu w górę

Jeśli obawiasz się, że personel hotelu nadużywa dostępu do niezaszyfrowanej sieci „upstream” (tj. Między bezprzewodowym punktem dostępowym (AP) a ich dostawcą usług internetowych (ISP)), musisz użyć HTTPS / TLS ¹ lub VPN do szyfrowania ruchu sieciowego w tej sekcji w zależności od potrzeb. Zobacz mój pierwszy komentarz, aby rozważyć kwestie i odpowiednio zaktualizuj swoje pytanie, abym mógł przejść do poprawnych szczegółów.

VPN

Aby skonfigurować VPN, musisz znaleźć dostawcę VPN, który oferuje protokoły VPN z obsługą Linuksa - najlepiej z instrukcjami instalacji, nawet lepiej, jeśli są one dla Ubuntu. Alternatywą może być publiczna sieć VPN typu peer-to-peer, taka jak Tor lub I2P . Znajdź lub zadaj inne pytanie, jeśli napotkasz problemy z którymkolwiek z nich, ponieważ prowadziłoby to nieco za daleko od pierwotnego pytania.

¹ Najpopularniejsze strony internetowe używają HTTPS domyślnie lub opcjonalnie w celu ochrony przed kradzieżą sesji i atakami man-in-the-middle. Wiele innych robi to przynajmniej podczas uwierzytelniania, aby chronić swoje hasło.


Czy dostawca Wi-Fi może korzystać z lokalnego adresu IP i wąchać / uzyskiwać dostęp do mojego systemu? Właśnie zastanawiałem się nad tymi wszystkimi szumami na temat tego, jak niebezpieczne jest publiczne Wi-Fi ...
Dilip

Hype na temat niebezpiecznych publicznych Wi-Fi dotyczy głównie osób atakujących niezwiązanych z operatorem bezprzewodowego punktu dostępowego. Jeśli nie ufasz temu drugiemu, musisz zabezpieczyć się przed większą liczbą scenariuszy (patrz sekcja „Wąchanie pakietów w górę” w mojej odpowiedzi).
David Foerster

Jestem pewien, że mówisz właściwą rzecz David. Bardziej pomocne byłoby wyjaśnienie tego samego jako laika. Nie jestem ekspertem od nawiązywania kontaktów i niestety nie mogłem kroczyć ścieżką.
Dilip

Wielkie dzięki David. Pomaga mi lepiej zrozumieć. Byłoby miło, gdybyś mógł zasugerować bezpłatne proxy HTTPS lub VPN, takie jak bezpłatna usługa tunelowania. Najbliższe, jakie mogłem znaleźć, to Comodo Trust Connect, ale kosztuje 2 razy więcej niż opłata za internet w hostelu.
Dilip

Próbowałem wyjaśnić kilka rzeczy z punktu widzenia laika. Bardziej szczegółowo omówię rzeczy związane z TLS i VPN, kiedy mi powiesz, jeśli martwisz się o personel hostelu. Zastanów się nad moim przypisem 1 i że sieci VPN wymagają większego wysiłku w zakresie konfiguracji i często zapłaty za szybką i niezawodną usługę.
David Foerster

1

Jednym z możliwych pomysłów, które może nie być „rozwiązaniem” zadawanego pytania, jest zastosowanie innego podejścia do dostępu do Internetu:

  1. Skorzystaj z usługi VPN, która zachowuje anonimowość. Można poszukać Hotspot Shield lub alternatyw dla Ubuntu. Czy istnieje darmowa usługa VPN działająca na Ubuntu?

  2. Zainstaluj VirtualBox z systemem Tails Linux , w którym używasz systemu operacyjnego, który koncentruje się na anonimowości, jako maszyna wirtualna na Ubuntu. Z mojego doświadczenia wynika, że ​​VirtualBox działa jak urok na 14.04, chociaż nie próbowałem Tails.

Jeśli chodzi o „wpuszczanie innych użytkowników”, musisz zainstalować najnowsze aktualizacje zabezpieczeń i zapewnić właściwą konfigurację zapory. Ale to dotyczy bardziej ogólnego bezpieczeństwa sieci, a nie „twoich działań”.

Mam nadzieję, że to pomoże.


Próbowałem (a) przed opublikowaniem tego komentarza. Większość linków jest już martwych lub płatnych rozwiązań.
Dilip

1

Widząc, że nikt inny nie udzielił tego jako odpowiedzi, myślę, że nadszedł czas, aby polecić Tora. To, co oferuje Tor, to dość solidne bezpieczeństwo, kierując ruch wychodzący przez całą grupę komputerów. Jednak Tor nie jest najważniejszym zabezpieczeniem. Będzie to szyfrować ruch wychodzący do samej sieci.

Oznacza to, że twoje pakiety wychodzące (to, co wysyłasz) nie będą mogły być odczytane przez nikogo przechwytującego ruch na tym końcu . Nie mają jednak możliwości kontrolowania ruchu poza węzłem wyjściowym.

Oto dobre podsumowanie całego procesu - zwróć uwagę na pierwszą odpowiedź. Oto sedno tego, ale zachęcam do odwiedzenia strony i przeczytania całego pytania oraz różnych odpowiedzi na nie. Warto poznać te informacje, ponieważ mogą się przydać na wiele różnych sposobów. Proszę bardzo:

Twoje połączenie z samą siecią Tor jest szyfrowane, podobnie jak połączenia między węzłami Tora. W rzeczywistości każdy przeskok jest szyfrowany nowym kluczem, aby uniknąć śledzenia wstecznego. To, co może być niezaszyfrowane, to połączenie z Twojego węzła wyjściowego do Internetu, jeśli łączysz się za pomocą niezaszyfrowanego protokołu. Oznacza to, że jeśli przeglądasz standardową stronę HTTP, to ostatni węzeł Tora w twoim obwodzie i jego dostawca usług internetowych mogą zobaczyć niezaszyfrowane dane, ale nie będą w stanie prześledzić ich z powrotem do źródła (chyba że dane te zawierają coś osobiście identyfikacja ciebie).

Teraz jest wiele sposobów na uruchomienie Tora, ale szczerze mówiąc, najprostszym sposobem, jaki mogę wymyślić, jest po prostu pójść tutaj i pobrać odpowiednią wersję na swój komputer (32- lub 64-bitowy).

Czym nie jest Tor - Tor nie jest czymś, czego używasz do pobierania dużych plików, nie jest też czymś, z którego pobierasz torrenty. Tor jest przeznaczony głównie do pozostania w sieci .onion, ale może być używany jako serwer proxy do przeglądania sieci. Nie jest to całkowicie bezpieczne przed kimś, kto jest w stanie użyć ataków kształtowania / modelowania pakietów ruchu i ataków czasowych. Jeśli widzą kształt pakietu wchodzącego do sieci i kontrolują węzeł wychodzący, mogą ustalić, dokąd poszedłeś. Nie dotyczy to jednak twojej sytuacji.

Jeśli chcesz dodatkowego sposobu na zainstalowanie Tora i aktualizowanie go, oto jak to zrobić w najnowszej wersji:

Musisz dodać następujący wpis do /etc/apt/sources.list lub nowy plik w /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Następnie dodaj klucz gpg używany do podpisywania pakietów, uruchamiając następujące polecenia w wierszu polecenia:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Możesz zainstalować go za pomocą następujących poleceń:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Jeśli potrzebujesz więcej informacji, odwiedź tę stronę, ale powyższe wskazówki powinny pozostać stabilne i niezmienione w dającej się przewidzieć przyszłości.



-1

Jeśli martwisz się o prywatność innych osób w sieci bezprzewodowej (którą powinieneś być), możesz korzystać z VPN, takiej jak cyberghost. Powinieneś także mieć silną zaporę ogniową, taką jak strefa alarmu

Jeśli używasz WPA2 lub nie, jeśli atakujący jest w trybie bezprzewodowym, nadal może uzyskać dostęp do danych pakietu, nie jestem pewien, dlaczego mówi się, że nie możesz. Nie zamierzam się tutaj do tego zabierać.

Najlepszą opcją jest jednoczesne używanie silnej zapory ogniowej i VPN. Dzięki temu inni nie będą mogli korzystać z komputera, a dane pakietu będą szyfrowane za pomocą programu innego niż sam router.


1
Zapora pomaga tylko wtedy, gdy na pulpicie Ubuntu działają jakiekolwiek demony serwera. Domyślnie nie ma żadnych. Więc przed czym zapora ochroni użytkownika? Czy masz jakieś doświadczenie w korzystaniu ze strefyalarm w Ubuntu? To będzie cud, ponieważ nie ma Zonealarm dla Linux / Ubuntu. Jeśli skonfigurowałeś cyberghost VPN na maszynie Ubuntu, czy mógłbyś napisać również instrukcje na ten temat?
user68186
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.