Wie kann ich meinen Internetverkehr verschlüsseln, damit ich öffentliches WLAN sicher nutzen kann?

8

Ich bin in ein Hostel gezogen und sie bieten WiFi-Netzwerk. Ich möchte in diesem öffentlichen WiFi-Netzwerk sicher sein. Gibt es eine Möglichkeit, meine Datenübertragung zum und vom Router zu verschlüsseln? Der Hype um den Slogan „Wie unsicher öffentliches WLAN ist“ hat mich ein wenig verzehrt.

wireless security Dilip
quelle
1
Welche Art von Verkehr möchten Sie verschlüsseln? Authentifizierungsdaten? Sitzungscookies? Ihre Besuche auf kompromittierenden Websites? Der gesamte Webverkehr? Der gesamte Netzwerkverkehr? Vor wem möchten Sie es schützen? Andere Gäste und Passanten? Das IT-Personal des Hostels? Der ISP des Hostels? Eine Regierungsbehörde? Ist das drahtlose Netzwerk verschlüsselt und wenn ja, wie lautet die Verschlüsselungsmethode? Bietet das Hostel einen kabelgebundenen Internetzugang?
David Foerster
Ich bin mir nicht sicher, wie vertrauenswürdig der WLAN-Anbieter des Hostels ist. Oder ich kann nicht riskieren, andere Benutzer per PC hereinzulassen oder meine Daten zu beschnüffeln. Ich bin in Ordnung, wenn ISP oder Regierung. Agenturen werfen einen Blick darauf. Mein Anliegen ist die unmittelbare Privatsphäre. PS: Ich besuche keine illegalen Seiten.
Dilip
Welche Verschlüsselungsmethode verwendet das drahtlose Netzwerk?
David Foerster
1
Ich bin kein Netzwerkexperte, aber AFAIK, es würde keine Verwendung der Verschlüsselung von Paketen auf Ihrer Seite geben, ohne dass die andere Seite (z. B. der Server) davon weiß. Wenn Sie beispielsweise http-Pakete verschlüsseln würden (nach einer Methode frage ich mich, ob eines vorhanden ist), werden sie vom Server als beschädigt angesehen. Auf der anderen Seite könnten Sie Ihre Dateien sicherlich verschlüsseln, soweit die andere Seite weiß, wie sie zu entschlüsseln sind.
Registrierter Benutzer
2
Und bitte bearbeiten Sie Ihre Frage, um Ihre Erkenntnisse und Annahmen über den Angreifer aufzunehmen.
David Foerster

Antworten:

7

Fernzugriff

Die meisten öffentlichen drahtlosen Zugriffspunkte (verschlüsselt oder nicht) verwenden die Clientisolation, sodass kein anderer Netzwerkclient mit Ihrem Gerät kommunizieren kann. Wenn Kunden kommunizieren können, stellen Sie sicher , (vorübergehend) zu deaktivieren oder alle Netzwerkdienste sichern auf Sie Laufvorrichtung (wie httpd, ftpd, sshd, smbd), wie Sie wahrscheinlich nicht , dass sie während des Aufenthalts in der Herberge sowieso brauchen. Wenn Sie sich gemäß Ihrem Kommentar als „Laie“ betrachten, brauchen Sie sich keine Sorgen zu machen, da in Ubuntu standardmäßig keine Netzwerkdienste aktiviert sind. Natürlich hätte ein versierterer Freund sie auf Ihre Anfrage hin aktivieren können, aber ich vermute, Sie würden davon erfahren.

Drahtloses Paket-Sniffing

Da das Netzwerk mit WPA2 , einem Verschlüsselungsprotokoll ohne öffentlich bekannte Sicherheitslücken, verschlüsselt ist , sind Sie auch vor drahtlosen Paket-Sniffern sicher, da der drahtlose Zugriffspunkt jedem Client einen anderen Sitzungsschlüssel zuweist. Selbst wenn alle Clients dasselbe Kennwort verwenden, können sie den Netzwerkverkehr des anderen nicht mit angemessenem Aufwand entschlüsseln. Dieser Teil gilt nur für WPA2- EAP .

Ich habe seitdem erfahren, dass ein Angreifer mit Kenntnis des vorinstallierten Geheimnisses (wahrscheinlich für ein halböffentliches drahtloses Netzwerk) und einer Aufzeichnung des WPA2-PSK-Authentifizierungs-Handshakes (erneute Authentifizierung kann mit einem Deauthentifizierungsangriff provoziert werden, der nur Kenntnis des Geheimnisses erfordert PSK) kann den gesamten nachfolgenden Verkehr entschlüsseln.

Fazit: Verlassen Sie sich nicht auf die Privatsphäre öffentlicher drahtloser Netzwerke, die mit einem vorab freigegebenen Geheimnis verschlüsselt sind. In den folgenden Abschnitten finden Sie Lösungen.

Upstream-Drahtabgriff

Wenn Sie befürchten, dass das Hotelpersonal den Zugriff auf das unverschlüsselte „Upstream“ -Netzwerk (dh zwischen dem WLAN-Zugangspunkt (AP) und seinem Internetdienstanbieter (ISP)) missbraucht, müssen Sie HTTPS / TLS ¹ oder ein VPN verwenden um Ihren Netzwerkverkehr in diesem Abschnitt je nach Bedarf zu verschlüsseln. In meinem ersten Kommentar finden Sie Informationen, die Sie berücksichtigen und Ihre Frage entsprechend aktualisieren müssen, damit ich auf die richtigen Details eingehen kann.

VPN

Um ein VPN einzurichten, müssen Sie einen VPN-Anbieter finden, der VPN-Protokolle mit Linux-Unterstützung anbietet - vorzugsweise mit Setup-Anweisungen, noch besser, wenn sie für Ubuntu sind. Eine Alternative wäre ein öffentliches Peer-to-Peer-basiertes VPN wie Tor oder I2P . Suchen oder stellen Sie eine andere Frage, wenn Sie Probleme mit einer dieser Fragen haben, da dies etwas zu weit von der ursprünglichen Frage entfernt wäre.

¹ Die meisten gängigen Websites verwenden standardmäßig oder optional HTTPS, um sich vor Sitzungsdiebstahl und Man-in-the-Middle-Angriffen zu schützen. Viele weitere tun dies zumindest während der Authentifizierung, um Ihr Passwort zu schützen.

David Foerster
quelle
Ist es dem WLAN-Anbieter möglich, die lokale IP-Adresse zu verwenden und an meinem System zu schnüffeln / darauf zuzugreifen? Ich habe mich nur gefragt, wie unsicher öffentliches WLAN ist ...
Dilip
Der Hype um unsicheres öffentliches WLAN betrifft hauptsächlich Angreifer, die nicht mit dem Betreiber des drahtlosen Zugangspunkts verbunden sind. Wenn Sie letzterem misstrauen, müssen Sie sich vor weiteren Szenarien schützen (siehe Abschnitt „Upstream-Paket-Sniffing“ in meiner Antwort).
David Foerster
Ich bin sicher, Sie sagen das Richtige, David. Es wäre hilfreicher, wenn Sie Ihre Laiensprache sein könnten, um dasselbe zu erklären. Ich bin kein Experte für Networking und konnte den Weg leider nicht gehen.
Dilip
Vielen Dank David. Hilft mir besser zu verstehen. Es wäre schön, wenn Sie einen kostenlosen HTTPS-Proxy oder ein VPN wie einen kostenlosen Tunneldienst vorschlagen könnten. Das nächstgelegene, das ich finden konnte, ist Comodo Trust Connect, aber es kostet das Zweifache der Internetgebühr im Hostel.
Dilip
Ich habe versucht, ein paar Dinge aus der Sicht eines Laien zu klären. Ich werde näher auf die TLS- und VPN-Inhalte eingehen, wenn Sie mir mitteilen, ob Sie sich Sorgen um die Mitarbeiter des Hostels machen. Betrachten Sie meine Fußnote 1 und dass VPNs mehr Konfigurationsaufwand und häufig die Bezahlung für einen schnellen und zuverlässigen Service erfordern.
David Foerster
1

Eine mögliche Idee, die möglicherweise keine "Lösung" für die von Ihnen gestellte Frage darstellt, besteht darin, einen anderen Ansatz für den Zugang zum Internet zu verwenden:

  1. Verwenden Sie einen VPN-Dienst, der die Anonymität bewahrt. Man kann nach Hotspot Shield oder Alternativen für Ubuntu suchen. Gibt es einen kostenlosen VPN-Dienst, der unter Ubuntu funktioniert?

  2. Installieren Sie VirtualBox mit Tails Linux , in dem Sie ein Betriebssystem ausführen, das sich auf Anonymität konzentriert, als Virtual Machine unter Ubuntu. Nach meiner Erfahrung funktioniert VirtualBox am 14.04 wie ein Zauber, obwohl ich Tails noch nicht ausprobiert habe.

Um "andere Benutzer einzulassen", müssen Sie die neuesten Sicherheitsupdates installieren und die ordnungsgemäße Einrichtung der Firewall sicherstellen. Dabei geht es jedoch mehr um die allgemeine Netzwerksicherheit und nicht speziell um "Ihre Aktivitäten".

Ich hoffe das hilft.

kambhampati srinivas
quelle
Ich habe (a) versucht, bevor ich diesen Kommentar gepostet habe. Die meisten Links sind jetzt tote oder bezahlte Lösungen.
Dilip
1

Da dies von niemand anderem als Antwort gegeben wurde, denke ich, dass es Zeit ist, Tor zu empfehlen. Was Tor bietet, ist eine ziemlich robuste Sicherheit, indem der ausgehende Datenverkehr über eine ganze Reihe von Computern geleitet wird. Tor ist jedoch nicht das A und O der Sicherheit. Damit wird Ihr ausgehender Datenverkehr zum Netzwerk selbst verschlüsselt.

Dies bedeutet, dass Ihre ausgehenden Pakete (was Sie senden) von niemandem gelesen werden können, der den Datenverkehr an diesem Ende abfängt . Sie haben jedoch keine Möglichkeit, den Verkehr über einen Ausgangsknoten hinaus zu steuern.

Hier ist ein guter Überblick über den gesamten Prozess - beachten Sie die erste Antwort. Hier ist das Wesentliche, aber ich ermutige Sie, auf die Website zu gehen und die gesamte Frage und die verschiedenen Antworten darauf zu lesen. Es lohnt sich, diese Informationen zu kennen, da sie auf verschiedene Weise nützlich sein können. Bitte schön:

Ihre Verbindung zum Tor-Netzwerk selbst ist verschlüsselt, ebenso wie Verbindungen zwischen Tor-Knoten. Tatsächlich wird jeder Hop mit einem neuen Schlüssel verschlüsselt, um eine Rückverfolgung zu vermeiden. Was möglicherweise unverschlüsselt ist, ist die Verbindung von Ihrem Exit-Knoten zum Web, wenn Sie eine Verbindung über ein unverschlüsseltes Protokoll herstellen. Wenn Sie also eine Standard-HTTP-Webseite anzeigen, können der letzte Tor-Knoten in Ihrer Verbindung und sein ISP die unverschlüsselten Daten sehen, sie können sie jedoch nicht bis zu ihrem Ursprung zurückverfolgen (es sei denn, diese Daten enthalten etwas Persönliches Sie identifizieren).

Jetzt gibt es viele Möglichkeiten, Tor zum Laufen zu bringen, aber ehrlich gesagt ist der einfachste Weg, den ich mir vorstellen kann, einfach hierher zu gehen und die entsprechende Version für Ihren Computer herunterzuladen (32 oder 64 Bit).

Was Tor nicht ist - Tor ist nicht etwas, mit dem Sie große Dateien herunterladen, es ist auch nichts, mit dem Sie Torrents herunterladen. Tor soll hauptsächlich in den .onion-Netzwerken bleiben, kann aber wie ein Proxyserver zum Surfen im Internet verwendet werden. Dies ist nicht vollständig sicher für jemanden, der in der Lage ist, Traffic Packet Shaping / Modeling-Angriffe und Timing-Angriffe zu verwenden. Wenn sie die Form Ihres Pakets sehen können, das in das Netzwerk eintritt, und einen ausgehenden Knoten steuern, können sie bestimmen, wohin Sie gegangen sind. Dies trifft jedoch nicht wirklich auf Ihre Situation zu.

Wenn Sie eine zusätzliche Möglichkeit zur Installation und Aktualisierung von Tor wünschen, gehen Sie wie folgt für die neueste Version vor:

Sie müssen den folgenden Eintrag in /etc/apt/sources.list oder eine neue Datei in /etc/apt/sources.list.d/ hinzufügen:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Fügen Sie dann den zum Signieren der Pakete verwendeten gpg-Schlüssel hinzu, indem Sie die folgenden Befehle an Ihrer Eingabeaufforderung ausführen:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Sie können es mit den folgenden Befehlen installieren:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Wenn Sie weitere Informationen benötigen, besuchen Sie bitte diese Website. Die obigen Anweisungen sollten jedoch auf absehbare Zeit stabil und unverändert bleiben.

KGIII
quelle
1

Sie benötigen lediglich einen VPN-Dienst. Ich persönlich empfehle IPvanish, einen VPN-Dienst mit vielen Servern in Europa, insbesondere in Deutschland. Es ist sehr schnell und sehr zuverlässig. Hier ist ein Link aus einer Überprüfung des Dienstes: https://anonymweb.de/ipvanish-vpn-im-test/

Alba111
quelle
-1

Wenn Sie sich Sorgen um die Privatsphäre anderer im WLAN machen (was Sie auch sein sollten), können Sie ein VPN wie Cyberghost verwenden. Sie sollten auch eine starke Firewall wie zonealarm haben

Wenn Sie WPA2 verwenden oder nicht, wenn der Angreifer drahtlos ist, kann er weiterhin auf die Paketdaten zugreifen. Ich bin mir nicht sicher, warum dies nicht möglich ist. Darauf werde ich hier nicht eingehen.

Die beste Option ist die gleichzeitige Verwendung einer starken Firewall und eines VPN. Dadurch werden andere Personen von Ihrem Computer ferngehalten und Ihre Paketdaten mit einem anderen Softwareprogramm als dem des Routers selbst verschlüsselt.

user384781
quelle
1
Eine Firewall hilft nur, wenn auf dem Ubuntu-Desktop Server-Daemons ausgeführt werden. Standardmäßig gibt es keine. Wovor schützt die Firewall den Benutzer? Haben Sie Erfahrung mit Zonealarm in Ubuntu? Das wird ein Wunder sein, da es keinen Zonealarm für Linux / Ubuntu gibt. Wenn Sie cyberghost VPN auf einem Ubuntu-Computer eingerichtet haben, können Sie auch eine Anleitung dazu schreiben?
user68186