» »

Varnost uporabe javnega WiFi omrežja

Varnost uporabe javnega WiFi omrežja

neres ::

Grem v mesto in se s telefonom povežem na eno odprto WiFi omrežje in pregledujem email, sklepam bančne transakcije ipd.

Kako zagotoviti, da mi lastnik WiFi omrežja ali kdo drug ne bo mogel pregledovati prometa ali ukrasti gesla?

Sem s HTTPS dovolj varen?

Še kaj drugega?

DavidJ ::

Odvisno od tega, katere aplikacije uporabljas oz. kater komunikacijski protokol aplikacije uporabljajo. HTTPS bo dovolj za spletni promet. Enkripcija se vrši v brskalniku, dekripcija pa strežniku. Celoten vmesni kanal (tvoj telelefon - wifi točka - povezava do ispja - .... vse vmes .... - strežnik) pa vidi šifrirane pakete. Tako da -- ja, načeloma si varen. Je pa še množica drugih podatkov, ki jih tvoj laptop/telefon oddaja wifi točki, pa niso kriptirana.
"Do, or do not. There is no 'try'. "
- Yoda ('The Empire Strikes Back')

blackbfm ::

Nisi nujno varen pred "Man in the middle" napadi..ampak ok, jz rad pretiravam mal :P

KoMar- ::

Zato ne smeš ignorirat sporočil o neveljavnem certifikatu.

poweroff ::

Ta sporočila se da elegantno "ukiniti". Obstajajo namreč "trusted" "CA"ji, ki ti izdajo začasni (90-dnevni) certifikat brez preverjanja. Eden izmed njih je Comodo. Jaz sem si tako pred časom naredil take certifikate za Slo-Tech in nekatere slovenske banke.

Kar efektivno pomeni, da če boš ti brskal preko mojega Wi-fija, in ti bom jaz izvajal MITM napad, tvoj brskalnik ne bo "zajamral", da je certifikat neveljaven.

V takem primeru si sicer lahko pomagaš s PetNameTool za Firefox... še boljša varianta pa je uporaba VPN. Če si car, pa uporabiš VPN povezavo preko omrežja Tor. :D
sudo poweroff

DavidJ ::

Matthai, resno? Veljavni 90-dnevni certifikat za poljubno domeno, brez da bi preverili resničnost podatkov na certifikatu!? Težko verjamem. Če je to res, potem se je treba zelo glasno oglasit, da se Comodo odstrani iz vseh (99.3%) browserjev.

Če se še kratko vrnemo k primeru v prvem postu. Tudi če Matthai poskusi napad MITM, bo TLS, kjer se overita oba, strežnik in odjemalec, kot je npr. pri NLB Kliku, še vseeno zaznal, da Matthai ni tisti pravi NLB strežnik in bo TLS handshake spodletel. V primerih, ko se overi zgolj strežnik, denimo Gmail, pa bi napad lahko uspel.
"Do, or do not. There is no 'try'. "
- Yoda ('The Empire Strikes Back')

poweroff ::

sudo poweroff

Daedalus ::

Kako zagotoviti, da mi lastnik WiFi omrežja ali kdo drug ne bo mogel pregledovati prometa ali ukrasti gesla?


VPN.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

huelz ::

sklepam bančne transakcije
Nek hud japi a? :))

fosil ::

Zanimivo da ravno comodo ponuja tudi rešitev za take probleme
klik
Naključje?
Tako je!

Pyr0Beast ::

Naključja znotraj ene firme se težko dogajajo.

Sam imam odprt wifi in se niti ne bunim, kaj se gor dogaja. Občasno pogledam 'imena' kompov in to je to.
Za snifati promet sem pa preprosto prelen. :)

(Počne pa to ISP zelo veselo - Data retention)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Zgodovina sprememb…

axee ::

Pyr0Beast je izjavil:

Sam imam odprt wifi in se niti ne bunim, kaj se gor dogaja. Občasno pogledam 'imena' kompov in to je to.
Za snifati promet sem pa preprosto prelen. :)


Če sem prov razumel, potem bi bi bil z veseljem tvoj sosed. Ti res noben ne zabaše linije?

Pyr0Beast ::

Ni nobenega problema. Ljudje se lepo obnašajo na 'tujem'. :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

axee ::

Kako hitro linijo pa imaš če smem prašat?

Pyr0Beast ::

10/4, več kot dovolj za vse neumnosti :)
(T-2 brezčasni)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Zgodovina sprememb…

gokky ::

Sam HTTPS ni dovolj za varnost v neznanem omrežju. Pomembnja je tudi moč zaščite tvojega računalnika. Primer1: V omrežju, kamor prideš, ima nekdo že črva, ki se širi preko shareov, ti pa jih imaš odprte. Primer2: Ko prideš na omrežje, te le-to najprej usmeri na eno spletno stran (ta pa je recimo okužena z nečem, kar zrajca tvoj vedno luknjavi Flash Player).

Ko je računalnik enkrat okužen, pa je stvar domišljije in HTTPS pomeni samo še res majhno oviro.

brodul ::

Če si na linux in imaš navoljo še eno linux kišto doma oz. nekje kjer zaupaš prometu ter veš približno kaj počne SSH, lahko uporabiš SSH Tunnel + SOCKS Proxy .

Stvar je zelo preprosta (dobro implementirana v ssh ). Mnogo bolj preprosta kot VPN.

http://embraceubuntu.com/2006/12/08/ssh...
Pretending to be a mature adult is so exhausting.

gokky ::

Še vedno ne rešiš problema, da so ti v omrežju, v katerem "gostuješ" lahko poklobrali delovno postajo, s katero gostuješ (ga pa lahko z neprimerno postavitvijo tunela ali VPN preneseš še v svoje omrežje).

poweroff ::

Če imaš vsaj malo pameti, opaziš MITM napad na SSH.
sudo poweroff

gokky ::

To je res. Samo izhajam iz predpostavke, da sem kot zlobni wi-fi lastnik uspešno namestil poljubno programje na tvoj računalnik, preden si uspel vzpostaviti povezavo.

Ali v tem primeru tvoja trditev (še) drži?

poweroff ::

Ne razumem.

Imam ssh server in na drugi strani sem jaz odjemalec. Oba sta za firewallana. Uporabljam avtentikacijo s ključem.

Kako točno ti uspeš namestiti KARKOLI na moj računalnik?
sudo poweroff

gokky ::

Vprašanje je bilo, če se s svojim računalnikom pripneš v katerikoli javni WiHi. IMHO samo varna komunikacija (HTTPS, SSH,...) ni dovolj, ampak mora biti računalnik tudi primerno zaščiten pred raznimi vdori. Če ni, ti tudi SSH ne pomaga.

Se mnotim?

poweroff ::

Seveda. Vendar pa a) remote root exploitov je danes razmeroma malo b) kdor uporablja ssh tunelling skoraj gotovo uporablja tudi firewall. :)
sudo poweroff

gokky ::

Kaj pa, če ti ob prijavi v moj WiHi zahtevam še obisk (okužene) spletne strani, kjer izkoristim luknjo v enem izmed programov?

Roadkill ::

Kot ti je napisal Matthai je takih lukenj trenutno malo.
Če pa ima tako ranljiv software nameščen je pa v nevarnosti, da.

Ampak to ni problem wireless routerjev ampak ranljivega softwara. Takemu uporabniku tudi lahko pošlješ link do strani ki izkorišča tako luknjo, pa bo imel podoben problem.
Res pa je, da mu na svoje routerju lahko vsiliš da obišče tako stran tudi, če v browser spiše www.google.com.
Ü

Pyr0Beast ::

Preko VPN-ja je to bolj težka.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

poweroff ::

gokky je izjavil:

Kaj pa, če ti ob prijavi v moj WiHi zahtevam še obisk (okužene) spletne strani, kjer izkoristim luknjo v enem izmed programov?

Preko VPN / ssh tunelling?

Ne moreš. Razen če sem pri VPN zelo neumen in ne pushnem svojih DNS nastavitev čez.
sudo poweroff

Hexx ::

Ena malo offtopic, zakaj na nastavitvah od ruterja prikaže kateri dns serverji se uporabljajo, če usak uporabnik na svojem pcju lahko določi svoje? Ali se motim?
Prosim upoštevajte da nisem ravno na vašem nivoju:)

Hvala

Zgodovina sprememb…

  • spremenil: Hexx ()

OmegaBlue ::

Ker lahko uporabljaš domači routerček kot DNS server, ki tvoj query posreduje naprej na tiste serverje, imaš pa možnost določiti sam, če imaš tako potrebo ali željo.
Never attribute to malice that which can be adequately explained by stupidity.

gokky ::

@Matthai

Imaš prav. Če takoj po povezavi v WiFi poskrbiš, da narediš full GW VPN ali SSH za HTTP na svoje so možnosti za uspešen napad precej zmanjšane (ne trdim, da ni mogoče, ker ne vem). Paziti pa moraš, da s svojega klienta ne narediš niti enega nekodiranega HTTP preko brskalnika, katerega promet ne bi šel preko tvojega VPN.

Usmerjevalnik Draytek Vigor 2910n ima opcijo, da ti prvi HTTP request, ki pride s klienta na WiFi usmeri na stran, ki jo je predvidel Vigorjev admin. To naredi tako (hvala Wireshark), da - namesto vsebine, ki jo je vrnila stran, katero je klient zahteval - vrne 302 z lokacijo preusmeritve. Rekel bi, da DNS tu ne igra vloge, saj v vsakem primeru vrne URL nove strani, za katerega je vseeno, kateri DNS ga obdela (recimo, da ni nek OpenDNS, ki blokira znane zoprne strani).

Način je seveda občutljiv na druge aplikacije. Vigor ne more vedeti, ali je HTTP request prišel od nekega brskalnika z uporabniškim vmesnikom ali pa od enega programa, ki preko HTTP preverja za svoj update takoj pri startu in ga redirect v bistvu ne briga. Rešitev s prvo stranjo na HTTPS se mi preko Nokie (Opera Mobile; telefon nima drugih programov za http) ni obnesla, saj sem ob prvi HTTP strani še vedno dobil vsiljeno stran, pri povezavi na HTTPS pa napako.

Bi rabil še malo wiresharkanja, da bi dobil boljši vpogled. Vsekakor pa ne dam Windows računalnika brez vseh nadgradenj in NoScript v neznano omrežje, pa četudi potem takoj VPN.

@Hexx

Variante doma:

1. Usmerjevalnik je lahko sam tak DNS in računalniku ob pridobitvi IP samo pove, da on odgovarja na vsa vprašanja. Računalnik v tem primeru vprašanje vedno naslovi na usmerjevalnik, ta pa se potem trudi naprej.
2. Usmerjevalnik lahko računalniku ob pridobitvi IP naslova pove, koga naj vnaprej sprašuje za razrešitev imena (npr. DNS pri ponudniku) in računalnik potem vedno samostojno sprašuje tistega, za katerega je usmerjevalnik povedal, da je odgovoren za reševanje.
3. Računalnik ima lahko svoje podatke o DNS in se ne ozira na tiste, ki jih da usmerjevalnik. Spet sprašuje tiste, za katere ima podatke.

V vsakem primeru pa potem tisti DNS, ki jih računalnik vpraša, iščejo naprej. Posamezen DNS namreč nima vedno pri sebi vseh imen in naslovov v Internetu, zna pa vprašati.

brodul ::

Če uporabljaš SSH Tunnel + SOCKS Proxy moraš biti samo pazljiv, da se ni zamenjal "fingerprint" od ključa, ki ga nosi tvoj ssh server.

Če ti kdo flikne svoj DNS čez in se ti resolva "tvoj ssh server", na nek zloben ssh server. Ti začne najedat client, da nekaj ni vredu. Odvisno od nastavitev, ki jih imaš. Pri meni zgleda nekako takole:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
f2:92:1d:da:81:2a:d7:16:0a:48:f0:43:20:1c:f4:b5.
Please contact your system administrator.
Add correct host key in /Users/zshaw/.ssh/known_hosts to get rid of this message.
Offending key in /Users/zshaw/.ssh/known_hosts:5
Password authentication is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Permission denied (publickey,password,keyboard-interactive).
Pretending to be a mature adult is so exhausting.

poweroff ::

Plus - ponavadi je dobro, da se ssh-jaš na IP naslov, ne na DNS hostname.

Ima pa Ubuntu eno pomanjkljivost - če mi vmes pade VPN povezava, me ne odklopi od interneta, ampak naredi "safe" fallback na nezaščiteno povezavo (no, vsaj v starejših verzijah je bilo tako, v 10.04 še nisem preizkušal).
sudo poweroff

gokky ::

Windows v osnovi tudi :-( Sploh ne vem, kako bi mu rekel, naj v tem primeru dropne tudi bazično povezavo.

Eto ideja: Če ti želim preprečiti uporabo VPN/SSH samo vsake toliko dropnem povezavo. Toliko, da se ti zdi sitno vsakič posebej vzpostavljati.

Zgodovina sprememb…

  • spremenil: gokky ()

poweroff ::

Jaja, ampak jaz konkretno uporabljam OpenVPN... ki je v osnovi SSL/TLS in laufa na portu 443 (https). In za to blokirat se je treba malo bolj poglobiti. :D
sudo poweroff

Pyr0Beast ::

Blokiraš port 443 :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

gokky ::

S tem blokiraš tudi svoje verjetno želene seje. Ne pozabi, da smo se pogovarjali o ODPRTEM omrežju, kjer je malone trivialno ugotoviti, kateri IPji visijo v zraku (namreč, pomislil sem, da bi samo določenim zaprl pot ven, svojim pa pustil).

Seveda pa je varianta, da je nastavljen Honeypot, kjer svojih računalnikov nimaš in dovoliš samo HTTP ven. Ta pametni bodo šli takoj proč, ostale pa (u)loviš. HTTPS iz prvega vprašanja (ali ni preveč nevarno hoditi na banko) seveda odpade.

poweroff ::

Ja, ampak potem blokiraš ves https promet... tega pa načeloma nočeš... oziroma, če si daš že toliko opravka - zakaj ne daš WPA enkripcije gor?

In kaj če prestavim svoj VPN na port 80? :)
sudo poweroff

Hexx ::

gokky je izjavil:


1. Usmerjevalnik je lahko sam tak DNS in računalniku ob pridobitvi IP samo pove, da on odgovarja na vsa vprašanja. Računalnik v tem primeru vprašanje vedno naslovi na usmerjevalnik, ta pa se potem trudi naprej.

hmm.. če sem prav razumel, lahko potem ima nekdo na svojem ruterju dns server, določi da google.com ne bo ta pravi googlov ip ampak neka okužena stran? Je to tako?

poweroff ::

Da.
sudo poweroff

Hexx ::

Pa se to dejansko dogaja ali je to samo teorija?

poweroff ::

Se dogaja. In ni tolk težko naredit. Par vrstic v Linuxu.
sudo poweroff

gokky ::

poweroff je izjavil:

Ja, ampak potem blokiraš ves https promet... tega pa načeloma nočeš... oziroma, če si daš že toliko opravka - zakaj ne daš WPA enkripcije gor?

In kaj če prestavim svoj VPN na port 80? :)


Osnovno vprašanje je bilo: "Ali je varno brskati po odprtih WiFi omrežjih?".

Poskusil sem se postaviti v kožo zlobneža, ki naredi javno WiFi omrežje, da bi s tem naredil neko škodo (nisem si definiral kakšno) ali prišel do informacij,.... Verjetno bi del "publike" izpustil, ker je pretrd oreh.

In če se vprašam, zakaj se kdo tega bolj resno ne loti, mi je prvi odgovor, ker WiFi ne prinese dovolj potencialnih strank, saj je lokacijsko omejen, pa še skriti se ne morem.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN (strani: 1 2 )

Oddelek: Omrežja in internet
5616264 (6938) rkobarov
»

Ranljivost v WPA2 (KRACK)

Oddelek: Informacijska varnost
183936 (2920) jukoz
»

LTE internet in wifi ip kamera NASTAVITEV

Oddelek: Omrežja in internet
152225 (1899) okna
»

Tomato (Shibby) router firmware - vprašanja

Oddelek: Omrežja in internet
132374 (1702) AC_DC
»

HTTP tunnel - ve kdo kaj o tem?

Oddelek: Omrežja in internet
394222 (2756) ABX

Več podobnih tem