Як я можу зашифрувати свій інтернет-трафік, щоб я міг безпечно користуватися загальнодоступним Wi-Fi?

Я переїхав до гуртожитку, і вони надають мережу WiFi. Я хотів би бути в безпеці у цій загальнодоступній мережі WiFi. Чи можна зашифрувати передачу даних на маршрутизатор і з нього? Мене трохи споживає гасло "Наскільки небезпечний громадський WiFi".

Віддалений доступ

Більшість загальнодоступних бездротових точок доступу (зашифровані чи не) використовують клієнтську ізоляцію, тому інший мережевий клієнт не може спілкуватися з вашим пристроєм. Якщо клієнти можуть спілкуватися, просто переконайтеся , що (тимчасово) відключити або забезпечити всі мережеві служби , що працюють на вас пристрій (наприклад httpd, ftpd, sshd, smbd), як ви, ймовірно , не потрібні під час вашого перебування в гуртожитку в будь-якому випадку. Якщо ви вважаєте себе "непрофесіоналом" за вашим коментарем, вам не потрібно турбуватися, оскільки Ubuntu не має жодних мережевих служб, включених за замовчуванням. Звичайно, більш кмітливий друг міг дозволити їх за вашим запитом, але я підозрюю, що ви про це знаєте.

Нюхання бездротових пакетів

Оскільки мережа зашифрована за допомогою WPA2 , протоколу шифрування без загальновідомих уразливих ситуацій, ви захищені і від снігурів бездротових пакетів, оскільки бездротова точка доступу призначає кожному клієнту різний ключ сеансу. Навіть якщо всі клієнти мають один і той же пароль, вони не зможуть розшифрувати мережевий трафік один одного (при розумних зусиллях). Ця частина справедлива лише для WPA2- EAP .

З тих пір я дізнався, що зловмисник знає попередньо спільну таємницю (ймовірно, для напівдоступної бездротової мережі) і запис рукостискання аутентифікації WPA2-PSK (повторна автентифікація може бути спровокована атакою знеславлення, яка вимагає лише знань PSK) може розшифрувати весь наступний трафік.

Висновок: не покладайтеся на конфіденційність публічних бездротових мереж, зашифрованих заздалегідь загальним секретом. Про рішення див. У наступних розділах.

Вирізання дроту вгору за течією

Якщо ви стурбовані тим, що персонал готелю зловживає своїм доступом до незашифрованої мережі "вище за течією" (тобто між точкою бездротового доступу (AP) та їх постачальником послуг Інтернету (ISP)), вам потрібно використовувати HTTPS / TLS ¹ або VPN щоб зашифрувати ваш мережевий трафік у цьому розділі залежно від ваших потреб. Дивіться мій перший коментар щодо речей, які слід розглянути, і оновіть відповідне запитання відповідно, щоб я міг перейти до правильних деталей.

VPN

Щоб налаштувати VPN, вам потрібно знайти постачальника VPN, який пропонує протоколи VPN з підтримкою Linux - бажано з інструкціями з налаштування, ще краще, коли вони для Ubuntu. Альтернативою може бути загальнодоступна VPN на основі однорангових версій, наприклад Tor або I2P . Знайдіть або задайте інше питання, якщо у вас виникнуть проблеми з будь-яким із них, оскільки це призведе трохи надто далеко від початкового питання.

¹ Більшість популярних веб-сайтів використовують HTTPS за замовчуванням або необов'язково для захисту від крадіжок сеансу та атаки "посередників". Багато інших роблять це хоча б під час автентифікації, щоб захистити свій пароль.

Одна з можливих ідей, яка може не бути "рішенням" для питання, яке ви задаєте, - це використовувати інший підхід до доступу до Інтернету:

1. Використовуйте сервіс VPN, який підтримує анонімність. Можна шукати Hotspot Shield або альтернативи для Ubuntu. Чи є безкоштовна служба VPN, яка працює на Ubuntu?

2. Встановіть VirtualBox з Tails Linux , де ви працюєте з ОС, яка зосереджена на анонімності, як Virtual Machine в Ubuntu. На мій досвід, VirtualBox працює як шарм 14.04, хоча я не пробував Tails.

Що стосується "пускання інших користувачів", вам потрібно встановити останні оновлення безпеки та забезпечити належну настройку брандмауера. ... але це стосується загальної безпеки мережі, а не конкретно про "вашої діяльності".

Я сподіваюся, що це допомагає.

Вважаючи, що ніхто інший не надав це як відповідь, я думаю, що пора рекомендувати Tor. Те, що пропонує Tor, є досить надійною безпекою, спрямувавши свій вихідний трафік через цілу купу комп’ютерів. Однак Tor - це не всеохоплююча та безпека. Що це буде робити - шифрувати ваш вихідний трафік до самої мережі.

Це означає, що ваші вихідні пакети (те, що ви надсилаєте) не зможуть прочитати будь-хто, хто перехоплює трафік на цьому шляху . Однак вони не мають можливості контролювати трафік за межами вузла виходу.

Ось хороший пробіг у всьому процесі - зауважте першу відповідь. Ось суть цього, але я закликаю вас зайти на сайт і фактично прочитати все запитання та різні відповіді на нього. Варто знати цю інформацію, оскільки вона може стати в нагоді різними способами. Ось вам:

Ваше підключення до самої мережі Tor зашифровано, як і з'єднання між вузлами Tor. Насправді кожен хоп шифрується новим ключем, щоб уникнути зворотного відстеження. Можливо, незашифровано - це з'єднання з вашого вузла виходу до Інтернету, якщо ви підключаєтесь через незашифрований протокол. Це означає, що якщо ви переглядаєте стандартну веб-сторінку HTTP, то в кінцевому вузлі Tor у вашій схемі та їх провайдері можна побачити незашифровані дані, але вони не зможуть відстежити їх до їх походження (якщо тільки ці дані не містять нічого особисто ідентифікувати вас).

Зараз існує маса способів запустити Tor, але, чесно кажучи, найпростіший спосіб, про який я можу придумати, - це просто зайти сюди і завантажити відповідну версію для свого комп’ютера (32 або 64 біт).

Що Tor не є - Tor - це не те, що ви використовуєте для завантаження великих файлів, це не те, що ви завантажуєте торренти з будь-яким. Tor призначений, як правило, залишатися в мережах .onion, але може використовуватися як проксі-сервер для перегляду Інтернету. Це не повністю захищено від тих, хто може використовувати атаки для формування / моделювання пакетів трафіку та атаки синхронізації. Якщо вони можуть побачити форму вашого пакета, що входить до мережі, і керувати вихідним вузлом, то вони можуть визначити, куди ви пішли. Однак це не стосується вашої ситуації.

Якщо ви хочете отримати додатковий спосіб встановити Tor і постійно оновлювати його, ось як це зробити для останнього випуску:

Вам потрібно додати наступний запис у /etc/apt/sources.list або новий файл у /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Потім додайте ключ gpg, який використовується для підписання пакетів, виконавши в командному рядку наступні команди:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Ви можете встановити його за допомогою таких команд:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Якщо вам потрібна додаткова інформація, будь ласка, перегляньте цей сайт, але вищезазначені вказівки повинні залишатися стабільними та незмінними в осяжному майбутньому.

Все, що вам потрібно, - це послуга VPN. Я особисто рекомендую IPvanish, який є сервісом VPN з великою кількістю серверів у Європі, особливо в Німеччині. Це дуже швидко і дуже надійно. Ось посилання з огляду послуги: https://anonymweb.de/ipvanish-vpn-im-test/

Якщо ви турбуєтесь про конфіденційність інших людей по бездротовій мережі (якою ви повинні бути), ви можете використовувати VPN, наприклад, cyberhost. У вас також повинен бути потужний брандмауер, як зона-тривога

Якщо ви використовуєте WPA2 чи ні, якщо зловмисник знаходиться в бездротовому режимі, вони все ще можуть отримати доступ до даних пакету, я не впевнений, чому сказано, що ви не можете. Я не збираюся тут вступати в це.

Найкращий варіант - використання потужного брандмауера та vpn одночасно. Це дозволить уберегти інших від вашого комп'ютера, а ваші пакетні дані зашифровані за допомогою програмного забезпечення, відмінного від самого маршрутизатора.