Comment chiffrer mon trafic Internet pour pouvoir utiliser le wifi public en toute sécurité?

8

J'ai déménagé dans une auberge et ils fournissent un réseau WiFi. Je voudrais être en sécurité sur ce réseau WiFi public. Existe-t-il un moyen de crypter ma transmission de données vers et depuis le routeur? Je suis un peu absorbé par le battage médiatique du slogan «Comment le WiFi public est dangereux».

wireless  security 
Dilip
source
1
Quel type de trafic souhaitez-vous chiffrer? Données d'authentification? Cookies de session? Vos visites sur des sites compromettants? Tout le trafic Web? Tout le trafic réseau? De qui voulez-vous le protéger? D'autres invités et passants? Le personnel informatique de l'auberge? Le FAI de l'auberge? Une agence gouvernementale? Le réseau sans fil est-il crypté et si oui, quelle est la méthode de cryptage? L'auberge offre-t-elle un accès Internet par câble?
David Foerster
Je ne suis pas sûr de la fiabilité du fournisseur WiFi de l'auberge. Ou ne peut pas risquer de laisser d'autres utilisateurs à l'intérieur par PC ou renifler mes données. Je suis ok si ISP ou govt. les agences y jettent un œil. Ma préoccupation est la confidentialité immédiate. PS: Je ne visite aucun site illégal.
Dilip
Quelle méthode de cryptage le réseau sans fil utilise-t-il?
David Foerster
1
Je ne suis pas un expert en réseau, mais AFAIK, il ne serait pas utile de chiffrer les paquets de votre côté sans que l'autre côté (par exemple le serveur) le sache. Par exemple, si vous chiffriez des paquets http (par une méthode, je me demande s'il en existe un), ils seraient considérés comme corrompus par le serveur. D'un autre côté, vous pourriez sûrement crypter vos fichiers pour autant que l'autre partie sache comment les décrypter.
Utilisateur enregistré
2
Et veuillez modifier votre question pour inclure vos conclusions et hypothèses sur l'attaquant.
David Foerster

Réponses:

7

Accès à distance

La plupart des points d'accès sans fil publics (chiffrés ou non) utilisent l'isolation du client, il n'y a donc aucun moyen qu'un autre client réseau puisse communiquer avec votre appareil. Si les clients peuvent communiquer, il suffit de (temporairement) désactiver ou sécuriser tous les services réseau en cours d' exécution sur votre appareil (comme httpd, ftpd, sshd, smbd), que vous aurez probablement pas besoin d' eux pendant votre séjour à l'auberge de toute façon. Si vous vous considérez comme un "profane" selon votre commentaire, vous n'avez pas à vous inquiéter, car Ubuntu n'a aucun service réseau activé par défaut. Bien sûr, un ami plus averti aurait pu les activer à votre demande, mais je pense que vous le sauriez.

Reniflage de paquets sans fil

Étant donné que le réseau est crypté avec WPA2 , un protocole de cryptage sans vulnérabilités connues du public, vous êtes également à l'abri des renifleurs de paquets sans fil, car le point d'accès sans fil attribue une clé de session différente à chaque client. Même si tous les clients partagent le même mot de passe, ils ne pourront pas décrypter le trafic réseau de chacun (avec un effort raisonnable). Cette partie n'est valable que pour WPA2- EAP .

J'ai appris depuis qu'un attaquant connaissant le secret pré-partagé (probablement pour un réseau sans fil semi-public) et un enregistrement de la négociation de l'authentification WPA2-PSK (la réauthentification peut être provoquée par une attaque de désauthentification qui ne nécessite que la connaissance de la PSK) peut décrypter tout le trafic ultérieur.

Conclusion: ne vous fiez pas à la confidentialité des réseaux publics sans fil chiffrés avec un secret pré-partagé. Reportez-vous aux sections suivantes pour les solutions.

Prise de fil en amont

Si vous craignez que le personnel de l'hôtel abuse de son accès au réseau «en amont» non chiffré (c'est-à-dire entre le point d'accès sans fil (AP) et son fournisseur de services Internet (ISP)), vous devez utiliser HTTPS / TLS ¹ ou un VPN pour crypter votre trafic réseau dans cette section en fonction de vos besoins. Voir mon premier commentaire pour les choses à considérer et mettre à jour votre question en conséquence, afin que je puisse entrer dans les détails corrects.

VPN

Pour configurer un VPN, vous devez trouver un fournisseur VPN qui offre des protocoles VPN avec prise en charge Linux - de préférence avec des instructions de configuration, encore mieux quand ils sont pour Ubuntu. Une alternative serait un VPN public peer-to-peer comme Tor ou I2P . Trouvez ou posez une autre question si vous rencontrez des problèmes avec l'un ou l'autre, car cela mènerait un peu trop loin de la question d'origine.

¹ Les sites Web les plus populaires utilisent HTTPS par défaut ou en option pour se protéger contre le vol de session et les attaques de l'homme du milieu. Beaucoup d'autres le font au moins pendant l'authentification pour protéger votre mot de passe.

David Foerster
source
Est-il possible pour le fournisseur WiFi d'utiliser l'IP local et de flairer / accéder à mon système? Je me demandais juste à tous ces battages médiatiques à quel point le WiFi public est dangereux ...
Dilip
Le battage médiatique à propos du WiFi public non sécurisé concerne principalement les attaquants non affiliés à l'opérateur du point d'accès sans fil. Si vous vous méfiez de ce dernier, vous devez vous protéger contre plus de scénarios (voir la section «Reniflage de paquets en amont» dans ma réponse).
David Foerster
Je suis sûr que vous dites la bonne chose, David. Il serait plus utile que vous puissiez être votre langue profane pour expliquer la même chose. Je ne suis pas expert en réseautage et je n'ai malheureusement pas pu suivre le chemin.
Dilip
Merci beaucoup David. M'aide à mieux comprendre. Ce serait bien si vous pouvez suggérer un proxy HTTPS gratuit ou un VPN comme un service de tunneling gratuit. Le plus proche que j'ai pu trouver est Comodo Trust Connect mais cela coûte 2 fois les frais d'Internet à l'auberge.
Dilip
J'ai essayé de clarifier certaines choses pour le point de vue d'un profane. J'irai plus en détail sur les trucs TLS et VPN quand vous me le direz, si vous êtes préoccupé par le personnel de l'auberge. Considérez ma note de bas de page 1 et que les VPN nécessitent plus d'efforts de configuration et souvent de paiement pour un service rapide et fiable.
David Foerster
1

Une idée possible, qui peut ne pas être une "solution" à la question que vous posez, est d'utiliser une approche différente pour accéder à Internet:

  1. Utilisez un service VPN qui conserve l'anonymat. On peut chercher Hotspot Shield ou des alternatives pour Ubuntu. Existe-t-il un service VPN gratuit qui fonctionne sur Ubuntu?

  2. Installez VirtualBox avec Tails Linux , où vous exécutez un système d'exploitation, qui se concentre sur l'anonymat, en tant que machine virtuelle sur Ubuntu. D'après mon expérience, VirtualBox fonctionne comme un charme sur 14.04, même si je n'ai pas essayé Tails.

Pour ce qui est de "laisser entrer d'autres utilisateurs", vous devez installer les dernières mises à jour de sécurité et assurer une configuration correcte du pare-feu ... mais il s'agit davantage de sécurité générale du réseau et non spécifiquement de "vos activités".

J'espère que ça aide.

kambhampati srinivas
source
J'ai essayé (a) avant de poster ce commentaire. La plupart des liens sont des solutions mortes ou payantes maintenant.
Dilip
1

Étant donné que personne d'autre n'a fourni cette réponse, je pense qu'il est temps de recommander Tor. Ce que Tor offre est une sécurité assez robuste en acheminant votre trafic sortant à travers tout un tas d'ordinateurs. Cependant, Tor n'est pas la sécurité absolue. Ce qu'il fera, c'est chiffrer votre trafic sortant vers le réseau lui-même.

Cela signifie que vos paquets sortants (ce que vous envoyez) ne pourront pas être lus par quiconque interceptant le trafic à cette fin . Cependant, ils n'ont aucun moyen de contrôler le trafic au-delà d'un nœud de sortie.

Voici un bon aperçu de l'ensemble du processus - notez la première réponse. Voici l'essentiel, mais je vous encourage à vous rendre sur le site et à lire l'intégralité de la question et les différentes réponses. Il vaut la peine de connaître ces informations car elles peuvent être utiles de diverses manières. Voici:

Votre connexion au réseau Tor lui-même est cryptée, tout comme les connexions entre les nœuds Tor. En fait, chaque saut est chiffré avec une nouvelle clé pour éviter le retour en arrière. Ce qui pourrait ne pas être crypté, c'est la connexion de votre nœud de sortie sur le Web, si vous vous connectez via un protocole non crypté. Cela signifie que si vous consultez une page Web HTTP standard, le nœud Tor final de votre circuit et son FAI peuvent voir les données non chiffrées, mais ils ne pourront pas remonter à leur origine (à moins que ces données ne contiennent rien de personnellement vous identifier).

Maintenant, il existe de nombreuses façons de faire fonctionner Tor mais, franchement, la façon la plus simple à laquelle je peux penser est d'aller simplement ici et de télécharger la version appropriée pour votre ordinateur (32 ou 64 bits).

Ce que Tor n'est pas - Tor n'est pas quelque chose que vous utilisez pour télécharger de gros fichiers, ce n'est pas quelque chose avec lequel vous téléchargez des torrents. Tor est principalement destiné à rester sur les réseaux .onion mais peut être utilisé comme un serveur proxy pour naviguer sur le Web. Ce n'est pas complètement sécurisé par quelqu'un qui est capable d'utiliser des attaques de mise en forme / modélisation de paquets de trafic et des attaques de synchronisation. S'ils peuvent voir la forme de votre paquet entrer dans le réseau et contrôler un nœud sortant, ils peuvent déterminer où vous êtes allé. Cependant, cela ne s'applique pas vraiment à votre situation.

Si vous voulez un moyen supplémentaire d'installer Tor et de le maintenir à jour, voici comment procéder pour la dernière version:

Vous devez ajouter l'entrée suivante dans /etc/apt/sources.list ou un nouveau fichier dans /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Ajoutez ensuite la clé gpg utilisée pour signer les packages en exécutant les commandes suivantes à votre invite de commandes:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Vous pouvez l'installer avec les commandes suivantes:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Si vous avez besoin de plus d'informations, veuillez consulter ce site, mais les instructions ci-dessus devraient rester stables et inchangées dans un avenir prévisible.

KGIII
source
1

Tout ce dont vous avez besoin est un service VPN. Je recommande personnellement IPvanish qui est un service VPN avec beaucoup de serveurs en Europe, en particulier en Allemagne. C'est très rapide et très fiable. Voici un lien d'un examen du service: https://anonymweb.de/ipvanish-vpn-im-test/

Alba111
source
-1

Si vous vous inquiétez de la confidentialité des autres sur le sans fil (ce que vous devriez être), vous pouvez utiliser un VPN comme cyberghost. Vous devriez également avoir un pare-feu solide comme zonealarm

Si vous utilisez WPA2 ou non, si l'attaquant est sur le réseau sans fil, il peut toujours accéder aux données du package, je ne sais pas pourquoi il est dit que vous ne pouvez pas. Je ne vais pas y entrer ici.

La meilleure option est d'utiliser un pare-feu et un vpn solides en même temps. Cela empêchera les autres de votre ordinateur et vos données de paquets cryptées avec un logiciel autre que celui du routeur lui-même.

user384781
source
1
Un pare-feu n'est utile que si des démons de serveur s'exécutent sur le bureau Ubuntu. Par défaut, il n'y en a pas. Alors, de quoi le pare-feu protégera-t-il l'utilisateur? Avez-vous une expérience de l'utilisation de zonealarm dans Ubuntu? Ce sera un miracle, car il n'y a pas de Zonealarm pour Linux / Ubuntu. Si vous avez configuré un VPN cyberghost sur une machine Ubuntu, pourriez-vous également rédiger un mode d'emploi?
user68186
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.