Jak mogę zaszyfrować mój ruch internetowy, aby bezpiecznie korzystać z publicznego Wi-Fi?

Przeprowadziłem się do hostelu, który zapewnia sieć Wi-Fi. Chciałbym być bezpieczny w tej publicznej sieci WiFi. Czy istnieje sposób szyfrowania mojej transmisji danych do iz routera? Trochę mnie pochłania szum hasła „Jak niebezpieczne jest publiczne WiFi”.

Zdalny dostęp

Większość publicznych bezprzewodowych punktów dostępowych (zaszyfrowanych lub nie) korzysta z izolacji klienta, więc żaden inny klient sieciowy nie może komunikować się z urządzeniem. Jeśli klienci mogą komunikować się tylko upewnić się (tymczasowo) wyłączyć lub zabezpieczyć wszystkie usługi sieciowe uruchomione na ciebie urządzenie (jak httpd, ftpd, sshd, smbd), jak będzie prawdopodobnie nie potrzebują ich w czasie pobytu w schronisku tak. Jeśli uważasz się za „laika” zgodnie z komentarzem, nie musisz się martwić, ponieważ Ubuntu nie ma domyślnie włączonych żadnych usług sieciowych. Oczywiście bardziej bystry przyjaciel mógł je włączyć zgodnie z twoją prośbą, ale podejrzewam, że o tym wiesz.

Bezprzewodowe wąchanie pakietów

Ponieważ sieć jest szyfrowana za pomocą WPA2 , protokołu szyfrowania bez znanych publicznie luk, jesteś również bezpieczny od bezprzewodowych snifferów pakietów, ponieważ bezprzewodowy punkt dostępu przypisuje inny klucz sesji każdemu klientowi. Nawet jeśli wszyscy klienci korzystają z tego samego hasła, nie będą w stanie odszyfrować nawzajem ruchu sieciowego (przy rozsądnym wysiłku). Ta część dotyczy tylko WPA2- EAP .

Od tego czasu dowiedziałem się, że osoba atakująca ze znajomością wstępnie współdzielonego tajnego klucza (prawdopodobnie w przypadku półpublicznej sieci bezprzewodowej) i rekordem uzgadniania uwierzytelniania WPA2-PSK (ponowne uwierzytelnienie może zostać sprowokowane atakiem deauthentication, który wymaga jedynie znajomości PSK) może odszyfrować cały późniejszy ruch.

Wniosek: nie polegaj na prywatności publicznych sieci bezprzewodowych zaszyfrowanych wstępnie udostępnionym sekretem. Rozwiązania znajdują się w poniższych sekcjach.

Nawlekanie drutu w górę

Jeśli obawiasz się, że personel hotelu nadużywa dostępu do niezaszyfrowanej sieci „upstream” (tj. Między bezprzewodowym punktem dostępowym (AP) a ich dostawcą usług internetowych (ISP)), musisz użyć HTTPS / TLS ¹ lub VPN do szyfrowania ruchu sieciowego w tej sekcji w zależności od potrzeb. Zobacz mój pierwszy komentarz, aby rozważyć kwestie i odpowiednio zaktualizuj swoje pytanie, abym mógł przejść do poprawnych szczegółów.

VPN

Aby skonfigurować VPN, musisz znaleźć dostawcę VPN, który oferuje protokoły VPN z obsługą Linuksa - najlepiej z instrukcjami instalacji, nawet lepiej, jeśli są one dla Ubuntu. Alternatywą może być publiczna sieć VPN typu peer-to-peer, taka jak Tor lub I2P . Znajdź lub zadaj inne pytanie, jeśli napotkasz problemy z którymkolwiek z nich, ponieważ prowadziłoby to nieco za daleko od pierwotnego pytania.

¹ Najpopularniejsze strony internetowe używają HTTPS domyślnie lub opcjonalnie w celu ochrony przed kradzieżą sesji i atakami man-in-the-middle. Wiele innych robi to przynajmniej podczas uwierzytelniania, aby chronić swoje hasło.

Jednym z możliwych pomysłów, które może nie być „rozwiązaniem” zadawanego pytania, jest zastosowanie innego podejścia do dostępu do Internetu:

1. Skorzystaj z usługi VPN, która zachowuje anonimowość. Można poszukać Hotspot Shield lub alternatyw dla Ubuntu. Czy istnieje darmowa usługa VPN działająca na Ubuntu?

2. Zainstaluj VirtualBox z systemem Tails Linux , w którym używasz systemu operacyjnego, który koncentruje się na anonimowości, jako maszyna wirtualna na Ubuntu. Z mojego doświadczenia wynika, że ​​VirtualBox działa jak urok na 14.04, chociaż nie próbowałem Tails.

Jeśli chodzi o „wpuszczanie innych użytkowników”, musisz zainstalować najnowsze aktualizacje zabezpieczeń i zapewnić właściwą konfigurację zapory. Ale to dotyczy bardziej ogólnego bezpieczeństwa sieci, a nie „twoich działań”.

Mam nadzieję, że to pomoże.

Widząc, że nikt inny nie udzielił tego jako odpowiedzi, myślę, że nadszedł czas, aby polecić Tora. To, co oferuje Tor, to dość solidne bezpieczeństwo, kierując ruch wychodzący przez całą grupę komputerów. Jednak Tor nie jest najważniejszym zabezpieczeniem. Będzie to szyfrować ruch wychodzący do samej sieci.

Oznacza to, że twoje pakiety wychodzące (to, co wysyłasz) nie będą mogły być odczytane przez nikogo przechwytującego ruch na tym końcu . Nie mają jednak możliwości kontrolowania ruchu poza węzłem wyjściowym.

Oto dobre podsumowanie całego procesu - zwróć uwagę na pierwszą odpowiedź. Oto sedno tego, ale zachęcam do odwiedzenia strony i przeczytania całego pytania oraz różnych odpowiedzi na nie. Warto poznać te informacje, ponieważ mogą się przydać na wiele różnych sposobów. Proszę bardzo:

Twoje połączenie z samą siecią Tor jest szyfrowane, podobnie jak połączenia między węzłami Tora. W rzeczywistości każdy przeskok jest szyfrowany nowym kluczem, aby uniknąć śledzenia wstecznego. To, co może być niezaszyfrowane, to połączenie z Twojego węzła wyjściowego do Internetu, jeśli łączysz się za pomocą niezaszyfrowanego protokołu. Oznacza to, że jeśli przeglądasz standardową stronę HTTP, to ostatni węzeł Tora w twoim obwodzie i jego dostawca usług internetowych mogą zobaczyć niezaszyfrowane dane, ale nie będą w stanie prześledzić ich z powrotem do źródła (chyba że dane te zawierają coś osobiście identyfikacja ciebie).

Teraz jest wiele sposobów na uruchomienie Tora, ale szczerze mówiąc, najprostszym sposobem, jaki mogę wymyślić, jest po prostu pójść tutaj i pobrać odpowiednią wersję na swój komputer (32- lub 64-bitowy).

Czym nie jest Tor - Tor nie jest czymś, czego używasz do pobierania dużych plików, nie jest też czymś, z którego pobierasz torrenty. Tor jest przeznaczony głównie do pozostania w sieci .onion, ale może być używany jako serwer proxy do przeglądania sieci. Nie jest to całkowicie bezpieczne przed kimś, kto jest w stanie użyć ataków kształtowania / modelowania pakietów ruchu i ataków czasowych. Jeśli widzą kształt pakietu wchodzącego do sieci i kontrolują węzeł wychodzący, mogą ustalić, dokąd poszedłeś. Nie dotyczy to jednak twojej sytuacji.

Jeśli chcesz dodatkowego sposobu na zainstalowanie Tora i aktualizowanie go, oto jak to zrobić w najnowszej wersji:

Musisz dodać następujący wpis do /etc/apt/sources.list lub nowy plik w /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Następnie dodaj klucz gpg używany do podpisywania pakietów, uruchamiając następujące polecenia w wierszu polecenia:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Możesz zainstalować go za pomocą następujących poleceń:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Jeśli potrzebujesz więcej informacji, odwiedź tę stronę, ale powyższe wskazówki powinny pozostać stabilne i niezmienione w dającej się przewidzieć przyszłości.

Wszystko czego potrzebujesz to usługa VPN. Osobiście polecam IPvanish, która jest usługą VPN z wieloma serwerami w Europie, szczególnie w Niemczech. Jest bardzo szybki i niezawodny. Oto link z recenzji usługi: https://anonymweb.de/ipvanish-vpn-im-test/

Jeśli martwisz się o prywatność innych osób w sieci bezprzewodowej (którą powinieneś być), możesz korzystać z VPN, takiej jak cyberghost. Powinieneś także mieć silną zaporę ogniową, taką jak strefa alarmu

Jeśli używasz WPA2 lub nie, jeśli atakujący jest w trybie bezprzewodowym, nadal może uzyskać dostęp do danych pakietu, nie jestem pewien, dlaczego mówi się, że nie możesz. Nie zamierzam się tutaj do tego zabierać.

Najlepszą opcją jest jednoczesne używanie silnej zapory ogniowej i VPN. Dzięki temu inni nie będą mogli korzystać z komputera, a dane pakietu będą szyfrowane za pomocą programu innego niż sam router.