¿Se puede considerar que un punto de acceso Wi-Fi abierto es "seguro" cuando se utiliza una conexión VPN?

53

Hay muchos puntos de acceso Wi-Fi abiertos repartidos entre cafés y aeropuertos.

Entiendo que una conexión Wi-Fi sin contraseña deja el tráfico sin cifrar y, por lo tanto, está disponible para que lo lean los piratas informáticos. También conozco un ataque Man-in-the-middle donde se encuentra el punto de acceso Wi-Fi malicioso.

Por lo tanto, siempre uso una conexión VPN para cifrar mi tráfico mientras uso puntos de acceso Wi-Fi abiertos para evitar estos ataques.

Pero el artículo Incluso con una VPN, Wi-Fi abierto expone a los usuarios y afirma que, incluso con una conexión VPN, un punto de acceso Wi-Fi abierto sigue siendo inseguro. Establece:

  

En este período antes de que su VPN tome el control, ¿qué podría estar expuesto?   Depende del software que ejecutes. ¿Usas un correo electrónico POP3 o IMAP?   ¿cliente? Si se comprueban automáticamente, ese tráfico está fuera de lugar.   para que todos lo vean, incluyendo potencialmente las credenciales de inicio de sesión. Otro   Los programas, como el cliente de mensajería instantánea, pueden intentar iniciar sesión.

Pero al mismo tiempo, el artículo se siente como un anuncio disfrazado que concluye con (lo que se siente) como un argumento de venta para algo llamado Passpoint del cual nunca he oído hablar:

  

La Wi-Fi Alliance ha tenido una solución para este problema casi en su lugar   durante años, se llama Passpoint .

¿Se puede considerar que un punto de acceso Wi-Fi abierto es seguro cuando se utiliza una conexión VPN o NUNCA debes usar puntos de acceso abiertos?

    
pregunta user1 16.02.2016 - 10:35
fuente

8 respuestas

64

Este es en realidad exactamente el tipo de entorno en el que se diseñaron las VPN: cuando no puedes confiar en la red local.

Si se configura correctamente (es decir, asegúrese de que todo el tráfico pase por la VPN y use un esquema de autenticación mutua seguro) protegerá bastante bien su conexión.

Esto, sin embargo, requiere que todo esté diseñado correctamente.

  1. Obviamente, su VPN debe configurarse de modo que TODA su comunicación pase por el canal cifrado, no solo la parte que apunta a la red interna detrás de ella (lo que a veces ocurre con los firewalls corporativos o si está usando SSH).
  2. Evite usar SSL VPN a menos que esté usando un certificado anclado para el servidor: querrá evitar tener que realizar la validación de PKI del nombre de host del servidor, ya que puede ser bastante delicado.
  3. Comprenda la limitación: no podrá "enmascarar" el hecho de que está usando una VPN, no enmascarará el volumen y el patrón de su intercambio (que se puede usar hasta cierto punto para identificar el tipo de servicio que está utilizando) y su conexión SOLO estará segura hasta el punto de salida de la VPN: todo lo que se encuentre entre ese punto y el servidor de destino no estará protegido por la VPN (aunque también puede cifrarse por sí solo).
  4. No hay garantía contra un actor estatal que estaría dispuesto a gastar recursos dedicados para penetrar su seguridad.
respondido por el Stephane 16.02.2016 - 11:51
fuente
14

El artículo es correcto y existe una amenaza real en el período inicial antes de configurar la VPN. Es un problema de huevo y gallina. La configuración VPN no importa en este caso, ya que para establecer la conexión VPN en primer lugar, primero debe tener una conexión a Internet. Muchos / La mayoría de los puntos de Internet abiertos requieren que se registre con ellos ingresando un código secreto o una dirección de correo electrónico, o simplemente acepte los Términos de servicio. Esto requiere una conexión no VPN.

En general, eso significa tener un navegador abierto que se comunica directamente con su red local en lugar de a través de la VPN. Cuando se inician, los navegadores a menudo muestran la última página a la que fueron y reenvían cualquier parámetro. Por lo tanto, si abriera el navegador y abriera una serie de páginas que visitó por última vez, podría filtrar información si esos sitios fueran http y no https.

    
respondido por el Steve Sether 16.02.2016 - 19:44
fuente
8

En general, no, no será seguro .

Podría ser mayormente seguro si el punto de acceso en cuestión no es portal cautivo sino que realmente abre WiFi, y tu firewall local es configurado para eliminar el tráfico TODO que no es el tráfico VPN destinado a su servidor VPN (por lo que no puede fluir tráfico alguno entre su computadora y cualquier computadora que no sea el servidor VPN), y ha conectado su VPN anteriormente en un entorno seguro y guardó y verificará su clave (como hace ssh, por ejemplo) en lugar de depender de PKI (como HTTPS lo hace por defecto). Y, por supuesto, si no es una persona de interés a nivel estatal, ya que pueden realizar ataques de canal lateral tanto a usted como a su servidor VPN (y probablemente romper la VPN de todos modos o usar backdoor implementado en ella) y muchas otras cosas divertidas. Pero Joe Random probablemente no podrá robar su cuenta bancaria en este caso si su software no tiene errores.

Sin embargo, (al menos por aquí) la mayoría de estos hotspots son portales cautivos, lo que significa que no permitirían el uso antes de que usted haga clic en su página web y acepte los términos y condiciones de uso; y eso es inseguro: no solo tendría que hacer una excepción para pasar el tráfico web sin cifrar (potencialmente comprometiendo cualquier ventana abierta en su navegador web, perfiles sincronizados, etc.), sino que su navegador también deberá, por definición, procesar cualquier portal cautivo ( o cualquier atacante que lo falsifique), haciéndolo vulnerable a cualquier error de navegador o plugin (de los cuales hay flujos interminables). Este es un riesgo mucho mayor, especialmente porque los aeropuertos y tales son blancos muy dulces para tales individuos.

Pero nuevamente, si navega por sitios aleatorios en Internet con javascript y flash habilitados, ya está involucrado en una actividad de riesgo, por lo que esto podría no aumentar su riesgo de manera significativa (pero, de nuevo, podría hacerlo).

No hay tal cosa como "seguro", solo " probablemente lo suficientemente seguro para este o aquel propósito ".

    
respondido por el Matija Nalis 17.02.2016 - 02:46
fuente
7

Añadiendo a las ya excelentes respuestas. Para proteger su actividad en un punto de acceso wifi con una VPN, actualmente existen dos tecnologías recomendadas, OpenVPN e IPsec. IPsec tarda más tiempo en configurarse correctamente, sin embargo, es compatible de forma nativa con más dispositivos.

seguridad de ipsec: no deje de usar IPsec solo todavia

  

Siempre use Perfect Forward Secrecy ("pfs = yes", que es el valor predeterminado en   libres IPsec) y evite las PreSharedKeys (authby = secret que no es   el predeterminado en libreswan IPsec).

También se debe tener en cuenta que, como se menciona en los otros comentarios, todo el tráfico debe pasar por la VPN. O para emplear el término técnico, la VPN no debe configurarse para permitir la división de túneles.

Dividir túneles

  

La tunelización dividida es un concepto de red informática que permite a un móvil   usuario para acceder a diferentes dominios de seguridad como una red pública   (por ejemplo, Internet) y una LAN o WAN local al mismo tiempo, usando   las mismas o diferentes conexiones de red.

En el mismo sentido, es bastante importante que la VPN también responda a las solicitudes de DNS. Para evitar a los clientes que tienen servidores DNS codificados, ya sea intencionalmente o por otros problemas (incluido el malware), la VPN debe interceptar las solicitudes de DNS y dirigirlas a la propia VPN (oa un servidor DNS en el que confíe la VPN).

iptables -t nat -A PREROUTING -p udp --dport 53 -s VNP_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53
iptables -t nat -A PREROUTING -p tcp --dport 53 -s VPN_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53

La propia máquina cliente debe ser bastante segura, tanto en las actualizaciones actualizadas como en el uso de un firewall para resistir ataques directos.

En cuanto a los diversos comentarios sobre los peligros de antes , la VPN, OS / X y iOS tienen perfiles donde puede definir una VPN bajo demanda, por ejemplo. un paquete no abandona la máquina sin que la VPN se active.

    
respondido por el Rui F Ribeiro 16.02.2016 - 13:46
fuente
4

Los riesgos de wifi abierto

Las características que hacen al punto de los puntos de acceso inalámbrico para los consumidores ofrecen nuevas oportunidades a los piratas informáticos paralelos, como el hecho de que no se requiere autenticación para establecer una conexión de red. Tales situaciones les brindan una gran oportunidad, de hecho, acceso gratuito a dispositivos inseguros en la misma red.

También pueden interponerse entre usted y el punto de conexión, una configuración que representa la mayor amenaza para la seguridad wifi gratuita. Entonces, en lugar de comunicarse directamente con el punto de acceso, envía su información a los piratas informáticos, quienes luego la transmiten.

Mientras tanto, los piratas informáticos pueden acceder a cada una de las informaciones que envía a través de Internet: correos electrónicos importantes, datos de tarjetas de crédito o credenciales para acceder a su red corporativa. Una vez que los piratas informáticos tienen la información, pueden, a su elección, acceder a sus sistemas en su nombre.

Los hackers también pueden usar una conexión wifi insegura para entregar malware. Si permite compartir archivos en una red, el atacante puede instalar fácilmente el software infectado en su computadora. Algunos piratas informáticos ingeniosos incluso lograron hackear el punto de conexión en sí mismo, logrando así abrir una ventana emergente durante el proceso de conexión para ofrecer una actualización de un software popular. Cuando el usuario hace clic en la ventana, se instala malware.

La conectividad inalámbrica móvil se está volviendo cada vez más común, uno debe esperar un aumento en los problemas de seguridad en Internet y los riesgos para las redes wifi públicas. Esto significa que debes evitar el wifi gratuito y mantenerte pegado a tu escritorio. La gran mayoría de los piratas simplemente se aprovecharán de objetivos fáciles. Por lo general, es suficiente tomar algunas precauciones para mantener su información segura.

Utilice una red privada virtual (VPN)

Se requiere una VPN (red privada virtual) cuando accede a su red corporativa a través de una conexión no segura, como un punto de acceso inalámbrico. Incluso si un pirata informático logra ubicarse en el medio de su conexión, los datos serán fuertemente encriptados. Dado que la mayoría de los piratas prefieren una presa fácil, no avergüenzan la información robada que requiere un proceso de descifrado tedioso.

Usar conexiones SSL

Si bien es poco probable que tenga una conexión VPN mientras navega por Internet en general, nada le impide agregar un nivel de cifrado a sus comunicaciones. Habilite la opción "Usar siempre HTTPS" en los sitios web que visita con frecuencia o que le piden que ingrese sus credenciales. Recuerde que los piratas son conscientes de que los usuarios utilizan el mismo nombre de usuario y contraseña para los foros, su banco o red corporativa. Enviar estas credenciales sin cifrado y puede abrir una brecha en la que un pirata informático inteligente estará ansioso por precipitarse. La mayoría de los sitios web que requieren la apertura de una cuenta o entrada de datos de identificación ofrecen la opción "HTTPS" en sus configuraciones.

Deshabilitar compartir

Cuando te conectas a Internet en un lugar público, es poco probable que quieras compartir algo. En este caso, puede deshabilitar la opción de uso compartido en Preferencias del sistema o Panel de control, dependiendo de su sistema operativo, o dejar que Windows lo desactive seleccionando la opción "Público" la primera vez que se conecte a una nueva red no segura.

Deje que la función inalámbrica se apague cuando no la necesite

Incluso si no está conectado activamente a una red, el equipo inalámbrico que equipa su computadora continúa transmitiendo datos a través de la red o redes ubicadas a cierta distancia. Se han implementado medidas de seguridad para que el modo de comunicación mínimo no comprometa la seguridad de sus datos. Sin embargo, todos los enrutadores inalámbricos están lejos de ser idénticos y los hackers a veces pueden ser ingeniosos. Si usa su computadora solo para trabajar en un documento de Word o Excel, deje que la funcionalidad wifi deshabilitada. Además, la duración de la batería será aún más larga.

    
respondido por el GAD3R 16.02.2016 - 12:35
fuente
4

Si quieres estar 100% seguro, entonces no uses un wifi abierto. Uso wifi abierto solo en tiempos desesperados cuando me quedo en tierras extranjeras pero solo para un google rápido o whatsapp.

El uso de una VPN permite un túnel seguro que, obviamente, es bueno, pero son los pasos a seguir para asegurarte de que creaste ese túnel sin que nadie te vea, dependiendo de cómo esté configurada la VPN, aún puedes obtener un ataque MitM usando un VPN. Solo depende de tu configuración.

Una vez que su dispositivo esté en una red y esté usando una VPN, todavía estará en esa red. Tu presencia sigue ahí. Todavía tienes el riesgo de eso. Es difícil decirlo, aunque si ejecuta IPTABLES y bloquea todos los puertos de su dispositivo (aparte del 100% requerido), entonces puede ayudar a asegurarse allí. Hay muchas maneras de mantenerse seguro en una vía aérea abierta. Aunque también hay más formas de cometer errores.

vea: Son VPNS vulnerables a activas ¿El hombre en el medio ataca?

    
respondido por el TheHidden 16.02.2016 - 10:59
fuente
3
  

Entonces, la pregunta es: ¿se puede considerar un punto de acceso wifi abierto cuando se usa una VPN o NUNCA se deben usar puntos de acceso abiertos?

Análisis

La conexión a un punto de acceso abierto no es diferente a la conexión directa a un hub local donde todos los que están en ella pueden ver todo el tráfico, que luego se conecta directamente a Internet sin ningún firewall entre ellos.

Por lo tanto, todos los hotspots abiertos deben considerarse hostiles.

La solución obvia: trae tu propio firewall, Y usa una VPN.

Opción A: basada en hardware

  • Utilice un servidor de seguridad de hardware como un pequeño pfSense (código abierto) , o un Ubiquiti Edgerouter Lite , u otro dispositivo similar

    • Tenga una VPN de sitio a sitio o del lado del cliente configurada en ese dispositivo que se conecte automáticamente

    • Tener un puerto "no confiable" en ese dispositivo que está bloqueado para SOLO permitir las comunicaciones a la dirección IP del portal cautivo

      • Use este puerto primero, para pasar el portal cautivo, desde un dispositivo o máquina virtual sin otro propósito que no sea este (y posiblemente permitir la redirección de DNS).

      • Cambie las reglas para este puerto del portal cautivo al portal cautivo; solo habilite DNS cuando no pueda usar IP directa.

    • Tenga un puerto de confianza en ese dispositivo que esté bloqueado para SOLO permitir las comunicaciones a través de la VPN y para iniciar sesión en el propio dispositivo.

      • Una vez que se omita el portal cautivo, use este puerto. Si se interrumpe la conexión VPN, este puerto simplemente pierde la conectividad a Internet.

Opción B: máquina virtual basada en hardware USB

  • Igual que la Opción A,

    • excepto en lugar de hardware, se utilizan máquinas virtuales (VM)

    • Se accede a Hotspot con una tarjeta USB Wifi que está conectada directamente a pfSense u otro servidor de seguridad de máquina virtual y dispositivo VPN

    • Solo otras máquinas virtuales obtienen conectividad de red, y esas otras máquinas virtuales están conectadas mediante redes solo de host.

    • Cualquier otra red en el hardware del host está deshabilitada.

Opción C: trampas rápidas y sucias para reducir la exposición

  • NO tan bueno como A o B; No estás usando tu propio cortafuegos aquí.

  • En una red de confianza, asegúrese de que su VPN particular redirecciona las comunicaciones incluso cuando intenta conectarse (y falla), es decir, no permite que las aplicaciones hablen con Internet sin procesar mientras intenta iniciarse, pero puede " t porque todavía no hay una red

  • Tener una tarjeta wifi USB; conéctese primero a un dispositivo o máquina virtual que se usa solo para pasar el portal cautivo

    • Y pasa el portal cautivo
  • En su máquina real, deshabilite todas las demás redes como anteriormente.

  • En su máquina real, configure la VPN para redirigir TODAS las comunicaciones, incluido el DNS.

  • Inicia la VPN en la máquina real

  • Mueva la tarjeta USB Wifi a la máquina real; los portales cautivos tienden a operar con la dirección MAC, por lo que, en teoría, la VPN se conectará correctamente

  • Tenga cuidado de que la VPN no se apague, permitiendo que sus comunicaciones salgan a través de Internet.

respondido por el Anti-weakpasswords 17.02.2016 - 06:45
fuente
-1

Suponiendo que su computadora esté correctamente configurada y sea segura, entonces la VPN a través de WiFi pública debería estar totalmente bien. Los datos están encriptados, por lo que debería ser imposible que un tercero los escuche.

Sin embargo, como otros han sugerido, WiFi pública debería ser un último recurso. Si es posible, use su propia conexión celular 4G. El WiFi público suele ser basura, y en general es mucho más lento que una buena conexión 4G.

    
respondido por el user1751825 17.02.2016 - 01:23
fuente

Lea otras preguntas en las etiquetas