¿Cómo puedo encriptar mi tráfico de Internet para poder usar wifi público de forma segura?

8

Me he mudado a un albergue y ofrecen red WiFi. Me gustaría estar seguro en esa red WiFi pública. ¿Hay alguna forma de cifrar mi transmisión de datos hacia y desde el enrutador? Estoy un poco consumido por la exageración del eslogan "Qué tan inseguro es el WiFi público".

Dilip
fuente
1
¿Qué tipo de tráfico quieres encriptar? Datos de autenticación? Cookies de sesión ¿Tus visitas a sitios comprometedores? Todo el tráfico web? Todo el tráfico de red? ¿De quién quieres protegerlo? ¿Otros invitados y transeúntes? ¿El personal de TI del albergue? El ISP del albergue? ¿Una agencia gubernamental? ¿La red inalámbrica está encriptada y, de ser así, cuál es el método de encriptación? ¿Ofrece el albergue acceso a internet por cable?
David Foerster
No estoy seguro de cuán confiable es el proveedor de WiFi del albergue. O no puedo arriesgarme a dejar entrar a otros usuarios por PC o rastrear mis datos. Estoy bien si ISP o gobierno. Las agencias echan un vistazo. Mi preocupación es la privacidad inmediata. PD: no visito ningún sitio ilegal.
Dilip
¿Qué método de encriptación usa la red inalámbrica?
David Foerster
1
No soy un experto en redes, pero AFAIK, no habría uso de cifrar paquetes de su lado sin que el otro lado (por ejemplo, el servidor) lo supiera. Por ejemplo, si encripta los paquetes http (por algún método, me pregunto si existe alguno), el servidor los consideraría corruptos. Por otro lado, seguramente podría cifrar sus archivos hasta donde la otra parte sepa cómo descifrarlos.
Usuario registrado
2
Y edite su pregunta para incluir sus hallazgos y suposiciones sobre el atacante.
David Foerster

Respuestas:

7

Acceso remoto

La mayoría de los puntos de acceso inalámbricos públicos (encriptados o no) utilizan el aislamiento del cliente, por lo que no hay forma de que otro cliente de la red pueda comunicarse con su dispositivo. Si los clientes pueden comunicarse, sólo asegúrese de que (temporalmente) desactivar la seguridad de todos los servicios de red que se ejecutan en el dispositivo (como httpd, ftpd, sshd, smbd), ya que es probable que no los necesite durante su estancia en el albergue de todos modos. Si te consideras un "laico" según tu comentario, no debes preocuparte, porque Ubuntu no tiene ningún servicio de red habilitado por defecto. Por supuesto, un amigo más inteligente podría haberlos habilitado según su solicitud, pero sospecho que lo sabría.

Inyección de paquetes inalámbrica

Dado que la red está encriptada con WPA2 , un protocolo de encriptación sin vulnerabilidades conocidas públicamente, también está a salvo de los rastreadores de paquetes inalámbricos, porque el punto de acceso inalámbrico asigna una clave de sesión diferente a cada cliente. Incluso si todos los clientes comparten la misma contraseña, no podrán descifrar el tráfico de red de los demás (con un esfuerzo razonable). Esta parte solo es cierta para WPA2- EAP .

Desde entonces, he aprendido que un atacante con conocimiento del secreto precompartido (probablemente para una red inalámbrica semipública) y un registro del protocolo de enlace de autenticación WPA2-PSK (la reautenticación puede ser provocada con un ataque de desautenticación que solo requiere conocimiento del PSK) puede descifrar todo el tráfico posterior.

Conclusión: no confíe en la privacidad de las redes inalámbricas públicas cifradas con un secreto previamente compartido. Consulte las siguientes secciones para obtener soluciones.

Toma de cable aguas arriba

Si le preocupa que el personal del hotel abuse de su acceso a la red "en sentido ascendente" no cifrada (es decir, entre el punto de acceso inalámbrico (AP) y su proveedor de servicios de Internet (ISP)), debe usar HTTPS / TLS ¹ o una VPN para cifrar el tráfico de su red a lo largo de esa sección según sus necesidades Vea mi primer comentario para ver las cosas a considerar y actualice su pregunta en consecuencia, para que pueda entrar en los detalles correctos.

VPN

Para configurar una VPN, necesita encontrar un proveedor de VPN que ofrezca protocolos VPN con soporte para Linux, preferiblemente con instrucciones de configuración, incluso mejor cuando son para Ubuntu. Una alternativa sería una VPN pública de igual a igual como Tor o I2P . Encuentre o haga otra pregunta si encuentra problemas con cualquiera de ellos, ya que esto conduciría demasiado lejos de la pregunta original.

Sites Los sitios web más populares usan HTTPS de manera predeterminada u opcionalmente para protegerse contra el robo de sesiones y los ataques de intermediarios. Muchos más lo hacen al menos durante la autenticación para proteger su contraseña.

David Foerster
fuente
¿Es posible que el proveedor de WiFi use la IP local y huela / acceda a mi sistema? Me preguntaba todas esas exageraciones sobre cuán inseguro es el WiFi público ...
Dilip
La exageración sobre el WiFi público inseguro se trata principalmente de atacantes no afiliados con el operador del punto de acceso inalámbrico. Si desconfía de este último, debe protegerse contra más escenarios (consulte la sección "Detección de paquetes en sentido ascendente" en mi respuesta).
David Foerster
Estoy seguro de que estás diciendo lo correcto, David. Sería más útil si puede ser su lenguaje laico para explicar lo mismo. No soy experto en redes y desafortunadamente no pude recorrer el camino.
Dilip
Muchas gracias David. Me ayuda a entender mejor. Sería bueno si puede sugerir un proxy HTTPS o VPN gratuito como un servicio de túnel gratuito. Lo más cercano que pude encontrar es Comodo Trust Connect, pero cuesta 2 veces el cargo de internet en el albergue.
Dilip
Traté de aclarar algunas cosas para el punto de vista de un laico. Voy a entrar en más detalles sobre las cosas de TLS y VPN cuando me digas, si te preocupa el personal del albergue. Considere mi nota al pie 1 y que las VPN requieren más esfuerzo de configuración y, a menudo, pago por un servicio rápido y confiable.
David Foerster
1

Una posible idea, que puede no ser una "solución" para la pregunta que está haciendo, es utilizar un enfoque diferente para acceder a Internet:

  1. Use un servicio VPN que mantenga el anonimato. Uno puede buscar Hotspot Shield o alternativas para Ubuntu. ¿Hay un servicio VPN gratuito que funcione en Ubuntu?

  2. Instale VirtualBox con Tails Linux , donde está ejecutando un sistema operativo, que se centra en el anonimato, como Máquina virtual en Ubuntu. En mi experiencia, VirtualBox funciona de maravilla en 14.04, aunque no he probado Tails.

En cuanto a "dejar entrar a otros usuarios", debe instalar las últimas actualizaciones de seguridad y garantizar la configuración adecuada del firewall ... pero esto se trata más de la seguridad general de la red y no específicamente de "sus actividades".

Espero que esto ayude.

kambhampati srinivas
fuente
Intenté (a) antes de publicar este comentario. La mayoría de los enlaces son soluciones muertas o pagadas ahora.
Dilip
1

Como nadie más ha proporcionado esto como respuesta, creo que es hora de recomendar Tor. Lo que ofrece Tor es una seguridad bastante sólida al enrutar el tráfico saliente a través de un montón de computadoras. Sin embargo, Tor no es el principio y el fin de la seguridad. Lo que hará es cifrar su tráfico saliente a la red misma.

Lo que esto significa es que sus paquetes salientes (lo que envía) no podrán ser leídos por nadie que intercepte el tráfico en ese extremo . Sin embargo, no tienen forma de controlar el tráfico más allá de un nodo de salida.

Aquí hay un buen resumen de todo el proceso: tenga en cuenta la primera respuesta. Aquí está la esencia, pero te animo a que vayas al sitio y realmente leas toda la pregunta y las diversas respuestas. Vale la pena conocer esta información, ya que puede ser útil de varias maneras. Aqui tienes:

Su conexión a la red Tor está encriptada, al igual que las conexiones entre nodos Tor. De hecho, cada salto está encriptado con una nueva clave para evitar el rastreo. Lo que podría no estar encriptado es la conexión de su Nodo de Salida a la web, si se está conectando a través de un protocolo no encriptado. Esto significa que si está viendo una página web HTTP estándar, entonces el nodo Tor final en su circuito y su ISP pueden ver los datos no cifrados, pero no podrán rastrearlos hasta su origen (a menos que esos datos contengan algo personalmente identificarte).

Ahora hay muchas maneras de hacer que Tor funcione, pero, francamente, la forma más fácil que se me ocurre es simplemente ir aquí y descargar la versión adecuada para su computadora (32 o 64 bits).

Lo que Tor no es: Tor no es algo que usas para descargar archivos grandes, tampoco es algo con lo que descargues torrents. Tor está destinado principalmente a permanecer en las redes .onion, pero se puede usar como un servidor proxy para navegar por la web. Esto no es completamente seguro de alguien que pueda usar ataques de modelado / modelado de paquetes de tráfico y ataques de tiempo. Si pueden ver la forma de su paquete entrando en la red y controlar un nodo saliente, entonces pueden determinar a dónde fue. Sin embargo, esto no se aplica realmente a su situación.

Si desea una forma adicional de instalar Tor y mantenerlo actualizado, así es como lo hace para la última versión:

Debe agregar la siguiente entrada en /etc/apt/sources.list o un nuevo archivo en /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Luego, agregue la clave gpg utilizada para firmar los paquetes ejecutando los siguientes comandos en el símbolo del sistema:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Puede instalarlo con los siguientes comandos:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Si necesita más información, consulte este sitio, pero las instrucciones anteriores deben permanecer estables y sin cambios en el futuro previsible.

KGIII
fuente
1

Todo lo que necesitas es un servicio VPN. Yo personalmente recomiendo IPvanish, que es un servicio VPN con muchos servidores en Europa, especialmente en Alemania. Es muy rápido y muy confiable. Aquí hay un enlace de una revisión del servicio: https://anonymweb.de/ipvanish-vpn-im-test/

Alba111
fuente
-1

Si le preocupa la privacidad de otros en la conexión inalámbrica (lo que debería ser), puede estar usando una VPN como cyberghost. También debe tener un firewall fuerte como zonealarm

Si está utilizando WPA2 o no, si el atacante está conectado a la red inalámbrica, todavía puede acceder a los datos del paquete, no estoy seguro de por qué se dice que no puede hacerlo. No voy a entrar en eso aquí.

La mejor opción es usar un firewall fuerte y VPN al mismo tiempo. Eso mantendrá a otros fuera de su computadora y sus paquetes de datos encriptados con un programa de software diferente al del enrutador.

usuario384781
fuente
1
Un firewall solo ayuda si hay demonios de servidor ejecutándose en el escritorio de Ubuntu. Por defecto no hay ninguno. Entonces, ¿de qué protegerá el firewall al usuario? ¿Tienes alguna experiencia usando zonealarm en Ubuntu? Eso será un milagro, ya que no hay Zonealarm para Linux / Ubuntu. Si ha configurado la VPN de cyberghost en una máquina Ubuntu, ¿podría escribir un tutorial para eso también?
user68186