Come posso crittografare il mio traffico Internet in modo da poter utilizzare il wifi pubblico in modo sicuro?

8

Mi sono trasferito in un ostello e forniscono la rete WiFi. Vorrei essere al sicuro su quella rete WiFi pubblica. Esiste un modo per crittografare la mia trasmissione di dati da e verso il router? Sono un po 'consumato dall'hype dello slogan "Come il WiFi pubblico non sicuro" è.

wireless  security 
Dilip
fonte
1
Che tipo di traffico vuoi crittografare? Dati di autenticazione? Cookie di sessione? Le tue visite a siti compromettenti? Tutto il traffico web? Tutto il traffico di rete? Da chi vuoi proteggerlo? Altri ospiti e passanti? Lo staff IT dell'ostello? L'ISP dell'ostello? Un'agenzia governativa? La rete wireless è crittografata e, in caso affermativo, qual è il metodo di crittografia? L'ostello offre la connessione internet via cavo?
David Foerster,
Non sono sicuro di quanto sia affidabile il provider WiFi dell'ostello. O non puoi rischiare la possibilità di consentire ad altri utenti di accedere al PC o di annusare i miei dati. Sto bene se ISP o Govt. le agenzie danno un'occhiata. La mia preoccupazione è la privacy immediata. PS: non visito siti illegali.
Dilip
Quale metodo di crittografia utilizza la rete wireless?
David Foerster,
1
Non sono un esperto di rete, ma AFAIK, non ci sarebbe alcun uso di crittografare i pacchetti dalla tua parte senza che l'altra parte (es. Il server) lo sapesse. Ad esempio, se crittografassi i pacchetti http (con un metodo, mi chiedo se ne esiste uno), sarebbero considerati corrotti dal server. D'altra parte, potresti sicuramente crittografare i tuoi file per quanto l'altro lato sa come decifrarli.
Utente registrato
2
E si prega di modificare la domanda per includere i risultati e le ipotesi sull'attaccante.
David Foerster,

Risposte:

7

Accesso remoto

La maggior parte dei punti di accesso wireless pubblici (crittografati o meno) utilizzano l'isolamento del client, quindi non è possibile che un altro client di rete possa comunicare con il dispositivo. Se i clienti possono comunicare, basta assicurarsi di (temporaneamente) disabilitazione o assicurare tutti i servizi di rete in esecuzione sul tuo dispositivo (come httpd, ftpd, sshd, smbd), come si sarà probabilmente non ne hanno bisogno durante il vostro soggiorno in ostello in ogni caso. Se ti consideri un "laico" secondo il tuo commento, non devi preoccuparti, perché Ubuntu non ha alcun servizio di rete abilitato di default. Naturalmente un amico più esperto avrebbe potuto abilitarli secondo la tua richiesta, ma sospetto che tu lo sappia.

Sniffing di pacchetti wireless

Poiché la rete è crittografata con WPA2 , un protocollo di crittografia senza vulnerabilità note pubblicamente, sei al sicuro anche dagli sniffer di pacchetti wireless, poiché il punto di accesso wireless assegna una chiave di sessione diversa a ogni client. Anche se tutti i client condividono la stessa password, non saranno in grado di decrittografare il traffico di rete dell'altro (con ragionevole sforzo). Questa parte è vera solo per WPA2- EAP .

Da allora ho appreso che un utente malintenzionato con conoscenza del segreto precondiviso (probabilmente per una rete wireless semi-pubblica) e una registrazione dell'handshake di autenticazione WPA2-PSK (la riautenticazione può essere provocata con un attacco di non autenticazione che richiede solo la conoscenza del PSK) può decrittografare tutto il traffico successivo.

Conclusione: non fare affidamento sulla privacy delle reti wireless pubbliche crittografate con un segreto pre-condiviso. Fare riferimento alle seguenti sezioni per le soluzioni.

Maschiatura a monte

Se sei preoccupato che il personale dell'hotel abusi del suo accesso alla rete "upstream" non crittografata (ovvero tra il punto di accesso wireless (AP) e il suo fornitore di servizi Internet (ISP)), devi utilizzare HTTPS / TLS ¹ o una VPN per crittografare il traffico di rete in quella sezione in base alle tue esigenze. Vedi il mio primo commento per le cose da considerare e aggiorna la tua domanda di conseguenza, così posso entrare nei dettagli corretti.

VPN

Per configurare una VPN è necessario trovare un provider VPN che offra protocolli VPN con supporto Linux, preferibilmente con istruzioni di configurazione, ancora meglio quando sono per Ubuntu. Un'alternativa sarebbe una VPN pubblica peer-to-peer come Tor o I2P . Trova o fai un'altra domanda se riscontri problemi con uno di questi, poiché ciò porterebbe un po 'troppo lontano dalla domanda originale.

¹ I siti Web più popolari utilizzano HTTPS per impostazione predefinita o facoltativamente per proteggersi dal furto di sessioni e dagli attacchi man-in-the-middle. Molti altri lo fanno almeno durante l'autenticazione per proteggere la tua password.

David Foerster
fonte
È possibile per il provider WiFi utilizzare l'IP locale e annusare / accedere al mio sistema? Mi stavo solo chiedendo tutto quel clamore su quanto sia pericoloso il WiFi pubblico ...
Dilip,
L'hype su WiFi pubblico non sicuro riguarda principalmente gli aggressori non affiliati con l'operatore del punto di accesso wireless. Se diffidate di questi ultimi, dovete proteggervi da più scenari (vedere la sezione "Sniffing dei pacchetti a monte" nella mia risposta).
David Foerster,
Sono sicuro che stai dicendo la cosa giusta, David. Sarebbe più utile se tu potessi essere laico lingua per spiegare lo stesso. Non sono esperto di reti e sfortunatamente non ho potuto percorrere il sentiero.
Dilip
Grazie mille David. Mi aiuta a capire meglio Sarebbe bello se potessi suggerire un proxy HTTPS gratuito o una VPN come un servizio di tunneling gratuito. Il più vicino che ho trovato è Comodo Trust Connect, ma costa 2 volte la tariffa Internet presso l'ostello.
Dilip
Ho cercato di chiarire alcune cose per il punto di vista di un laico. Andrò più in dettaglio sulle cose TLS e VPN quando me lo dici, se sei preoccupato per il personale dell'ostello. Considera la mia nota 1 e che le VPN richiedono un maggiore sforzo di configurazione e spesso un pagamento per un servizio rapido e affidabile.
David Foerster,
1

Un'idea possibile, potrebbe non essere una "soluzione" per la domanda che stai ponendo, è quella di utilizzare un approccio diverso per l'accesso a Internet:

  1. Utilizzare un servizio VPN che mantiene l'anonimato. Si può cercare Hotspot Shield o alternative per Ubuntu. Esiste un servizio VPN gratuito che funziona su Ubuntu?

  2. Installa VirtualBox con Tails Linux , su cui stai eseguendo un sistema operativo, incentrato sull'anonimato, come macchina virtuale su Ubuntu. Nella mia esperienza, VirtualBox funziona come un incantesimo su 14.04, anche se non ho provato Tails.

Per quanto riguarda "far entrare altri utenti", è necessario installare gli ultimi aggiornamenti di sicurezza e garantire un'adeguata configurazione del firewall ... ma si tratta più della sicurezza generale della rete e non specificamente delle "vostre attività".

Spero che questo possa essere d'aiuto.

kambhampati srinivas
fonte
Ho provato (a) prima di pubblicare questo commento. La maggior parte dei collegamenti sono soluzioni morte o a pagamento ora.
Dilip
1

Visto che nessun altro ha fornito questo come una risposta, penso che sia il momento di raccomandare Tor. Ciò che Tor offre è una sicurezza abbastanza solida instradando il traffico in uscita attraverso un intero gruppo di computer. Tuttavia, Tor non è il massimo della sicurezza. Quello che farà è crittografare il traffico in uscita verso la rete stessa.

Ciò significa che i pacchetti in uscita (ciò che invii) non potranno essere letti da nessuno che intercetta il traffico a tale scopo . Tuttavia, non hanno modo di controllare il traffico oltre un nodo di uscita.

Ecco una buona carrellata sull'intero processo: nota la prima risposta. Ecco il punto, ma ti incoraggio a visitare il sito e a leggere effettivamente l'intera domanda e le varie risposte ad essa. Vale la pena conoscere queste informazioni in quanto potrebbero tornare utili in vari modi. Ecco qui:

La connessione alla stessa rete Tor è crittografata, così come le connessioni tra i nodi Tor. In effetti, ogni hop è crittografato con una nuova chiave per evitare la traccia indietro. Ciò che potrebbe non essere crittografato è la connessione dal tuo nodo di uscita al Web, se ti connetti tramite un protocollo non crittografato. Ciò significa che se stai visualizzando una pagina Web HTTP standard, il nodo Tor finale nel tuo circuito e il loro ISP possono vedere i dati non crittografati, ma non saranno in grado di risalire alla sua origine (a meno che i dati non contengano qualcosa di personale identificarti).

Ora ci sono molti modi per far funzionare Tor ma, francamente, il modo più semplice a cui riesco a pensare è semplicemente andare qui e scaricare la versione appropriata per il tuo computer (32 o 64 bit).

Cosa non è Tor - Tor non è qualcosa che usi per scaricare file di grandi dimensioni, non è nemmeno qualcosa con cui scarichi torrent. Tor è pensato principalmente per rimanere sulle reti .onion ma può essere usato come un server proxy per navigare sul web. Questo non è completamente sicuro da qualcuno che è in grado di utilizzare attacchi di modellazione / modellazione dei pacchetti di traffico e attacchi di temporizzazione. Se riescono a vedere la forma del tuo pacchetto entrare nella rete e controllare un nodo in uscita, possono determinare dove sei andato. Questo non si applica alla tua situazione, comunque.

Se vuoi un modo aggiuntivo per installare Tor e mantenerlo aggiornato, ecco come lo fai per l'ultima versione:

Devi aggiungere la seguente voce in /etc/apt/sources.list o un nuovo file in /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Quindi aggiungere la chiave gpg utilizzata per firmare i pacchetti eseguendo i seguenti comandi al prompt dei comandi:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Puoi installarlo con i seguenti comandi:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Se hai bisogno di maggiori informazioni, consulta questo sito, ma le indicazioni sopra riportate dovrebbero rimanere stabili e invariate per il prossimo futuro.

KGIII
fonte
1

Tutto ciò che serve è un servizio VPN. Consiglio personalmente IPvanish, che è un servizio VPN con molti server in Europa, specialmente in Germania. È molto veloce e molto affidabile. Ecco un link da una recensione del servizio: https://anonymweb.de/ipvanish-vpn-im-test/

Alba111
fonte
-1

Se sei preoccupato per la privacy degli altri sul wireless (come dovresti essere), puoi utilizzare una VPN come cyberghost. Dovresti anche avere un firewall potente come zonealarm

Se stai usando WPA2 o no se l'aggressore è in modalità wireless può comunque accedere ai dati del pacchetto, non sono sicuro del perché si dice che non puoi. Non ho intenzione di entrare in questo qui.

L'opzione migliore è usare un firewall potente e vpn allo stesso tempo. Ciò manterrà gli altri fuori dal computer e i dati dei pacchetti crittografati con un programma software diverso da quello del router stesso.

user384781
fonte
1
Un firewall aiuta solo se ci sono demoni del server in esecuzione sul desktop di Ubuntu. Di default non ce ne sono. Quindi, da cosa proteggerà il firewall l'utente? Hai esperienza nell'uso di zonealarm in Ubuntu? Sarà un miracolo, poiché non esiste Zonealarm per Linux / Ubuntu. Se hai configurato la cyberghost VPN in una macchina Ubuntu, potresti scrivere un how-to anche per quello?
user68186
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.