web-dev-qa-db-ja.com

VPN接続を使用する場合、オープンWi-Fiホットスポットを「安全」と見なすことができますか?

カフェから空港まで、多くのオープンWi-Fiホットスポットが点在しています。

パスワードなしのWi-Fiではトラフィックが暗号化されないため、ハッカーが読み取れることを理解しています。 Wi-Fiホットスポットが悪意のある man-in-the-middle攻撃 についても知っています。

したがって、私は常にVPN接続を使用してトラフィックを暗号化しながら、オープンWi-Fiホットスポットを使用してこれらの攻撃を回避しています。

しかし、記事VPNを使用しても、オープンWi-Fiはユーザーを公開するは、VPN接続を使用しても、オープンWi -Fiホットスポットはまだ安全ではありません。それは述べています:

VPNが引き継ぐ前のこの期間に、公開される可能性があるのは、実行しているソフトウェアによって異なります。 POP3またはIMAP電子メールクライアントを使用していますか?それらが自動的にチェックする場合、そのトラフィックは、ログイン資格情報を含む可能性があるすべての人が見ることができるように平文で送信されます。インスタントメッセージングクライアントなどの他のプログラムがログオンを試みる場合があります。

しかし、それと同時に記事は、私が聞いたこともないPasspointと呼ばれるもののセールスピッチ(と感じられるもの)で結ばれた偽装した広告のように感じられます。

Wi-Fi Allianceはこの問題の解決策をほぼ何年にもわたって提供しており、 Passpoint と呼ばれています。

VPN接続を使用する場合、オープンWi-Fiホットスポットは安全と見なすことができますか、それともオープンホットスポットを使用しないでください。

encryptionwifivpn
52
user1

これは実際には、VPNが動作するように設計された環境のタイプとまったく同じです。つまり、ローカルネットワークを信頼できない場合です。

適切に設定されている場合(つまり、すべてのトラフィックがVPNを通過することを確認し、安全な相互認証スキームを使用している場合)は、接続をかなり保護します。

ただし、これには全体を適切に設計する必要があります。

  1. 明らかに、VPNは、すべての通信が暗号化されたチャネルを経由するように設定する必要があります。その背後にある内部ネットワークを対象とする部分だけではありません(企業のファイアウォールやSSHを使用している場合など)。
  2. サーバーに固定された証明書を使用している場合を除き、SSL VPNの使用は避けてください。サーバーのホスト名のPKI検証を実行する必要がないようにする必要があります。
  3. 制限を理解する:VPNを使用しているという事実を「マスク」することはできません。交換のボリュームとパターンをマスクすることはありません(これは、サービスのタイプを識別するためにある程度使用することができます)使用している場合)、接続はVPN出口ポイントまでしか安全ではありません。そのポイントと宛先サーバーの間のすべてはVPNによって保護されません(それ自体で暗号化することもできます)。
  4. セキュリティを突破するために専用のリソースを費やすことをいとわない国家関係者に対する保証はありません。
64
Stephane

記事は正しく、実際の脅威はVPNが設定される前の初期の期間に存在します。鶏と卵の問題です。この場合、VPN構成は重要ではありません。最初にVPN接続を確立するには、まずインターネット接続が必要です。多くの/ほとんどのオープンインターネットポイントでは、シークレットコードまたは電子メールアドレスを入力するか、単に利用規約に同意することで、それらに登録する必要があります。これには非VPN接続が必要です。

一般的には、VPN経由ではなくローカルネットワークと直接通信するブラウザを開くことを意味します。ブラウザーは起動すると、最後にアクセスしたページを表示し、パラメーターを再送信することがよくあります。したがって、ブラウザを開いて、最後にアクセスした一連のページを開く場合、それらのサイトがhttpsではなくhttpであると、情報が漏洩する可能性があります。

15
Steve Sether

通常、いいえ、安全ではありません

問題のホットスポットが キャプティブポータル ではなく、本当にWiFiを開いていて、ローカルファイアウォールがドロップするように構成されている場合[〜#〜]すべて[〜 #〜]VPNサーバー宛てのVPNトラフィックではないトラフィック(つまり、コンピューターとVPNサーバー以外のコンピューターとの間を流れるトラフィックはまったくない)、および安全にVPNに接続したことがある [〜#〜] pki [〜#〜] (デフォルトではHTTPSが行うように)に依存する代わりに、環境を保存してそのキーを検証します(たとえば、sshが行うように)。そしてもちろん、あなたとあなたのVPNサーバーの両方にサイドチャネル攻撃(そしてとにかくVPNをクラックするか、VPNに実装されているバックドアを使用する可能性がある)や他の多くの楽しいことをすることができるので、州レベルの利害関係者ではありません。しかし、ソフトウェアにバグがない場合、ジョーランダムはおそらくこの場合、銀行口座を盗むことはできません。

ただし、(少なくともここでは)ほとんどのそのようなホットスポットはキャプティブポータルです。つまり、少なくともWebページをクリックして同意するまで、それらは使用を許可しません。利用規約などそしてそれは安全ではありません-Webトラフィックを暗号化せずに渡すために例外を作らなければならないだけでなく(Webブラウザで開いているウィンドウを危険にさらす可能性、プロファイルの同期など)、ブラウザは当然、キャプティブポータル(またはそれを偽装している攻撃者)をスローして、ブラウザまたはプラグインのバグ(ストリームには終わりがない)に対して脆弱にします。特に空港などはそのような個人にとって非常に甘いターゲットであるため、これははるかに高いリスクです。

しかし、繰り返しになりますが、JavaScriptとFlashが有効になっているインターネット上のランダムなサイトをサーフィンすると、すでに危険な活動に従事しているため、リスクが大幅に増加することはありません(ただし、そうなる可能性があります)。

「安全」などはありません。「おそらくこれまたはその目的のために十分安全である」だけです。

8
Matija Nalis

すでに優れた答えに追加します。 VPNを使用したWifiホットスポットでのアクティビティを保護するために、OpenVPNとIPsecの2つの推奨テクノロジーがあります。 IPsecを適切に構成するには時間がかかりますが、より多くのデバイスでネイティブにサポートされています。

ipsecセキュリティ:まだIPsecの使用を停止しないでください

常にPerfect Forward Secrecyを使用し(「pfs = yes」はlibreswan IPsecのデフォルトです)、PreSharedKeys(authby = secretはlibreswan IPsecのデフォルトではありません)を避けます。

他のコメントにも記載されているように、すべてのトラフィックはVPNを経由する必要があることにも注意してください。または、専門用語を使用するには、VPNをスプリットトンネリングを許可するように構成しないでください。

スプリットトンネリング

スプリットトンネリングは、モバイルネットワークユーザーがパブリックネットワーク(インターネットなど)やローカルLANなどの異なるセキュリティドメインにアクセスできるようにするコンピューターネットワーキングの概念です。または、WANまたは別のネットワーク接続。

同様に、VPNがDNS要求にも応答することが重要です。意図的に、または他の問題(マルウェアを含む)によってDNSサーバーをハードコーディングしたクライアントを防ぐために、VPNはDNS要求を傍受し、それらをVPN自体(またはVPNが信頼するDNSサーバー)に転送する必要があります。

iptables -t nat -A PREROUTING -p udp --dport 53 -s VNP_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53
iptables -t nat -A PREROUTING -p tcp --dport 53 -s VPN_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53

クライアントマシン自体は、最新の更新とファイアウォールを使用した直接攻撃の両方でかなり安全でなければなりません。

VPNのbeforeの危険に関するいくつかのコメントについては、VPN、OS/X、iOSには、オンデマンドVPNを定義できるプロファイルがあります。パケットは、VPNが起動しないとマシンから送信されません。

7
Rui F Ribeiro

100%安全になりたい場合は、オープンWi-Fiを使用しないでください。私は外国で立ち往生している絶望的な時間にのみオープンwifiを使用しますが、迅速なgoogleまたはwhatsappにのみ使用します。

VPNを使用すると、安全なトンネルが可能になりますが、VPNの設定方法によっては、VPNを使用してMitM攻撃を受ける可能性があります。それはあなたの設定に依存します。

デバイスがネットワーク上にあり、VPNを使用すると、そのネットワーク上にとどまります。あなたの存在はまだそこにあります。あなたにはまだそのリスクがあります。 IPTABLESを実行し、デバイスへのすべてのポートをロックアウトした場合(必要な100%を除く)、言うのは難しいですが、そこで安全を確保できます。気道を開いた状態で安全を保つ方法はたくさんあります。間違いを犯す方法は他にもありますが。

参照: VPNSはアクティブな中間者攻撃に対して脆弱ですか?

4
TheHidden

オープンwifiのリスク

ワイヤレスアクセスポイント全体をコンシューマーに提供する機能は、ネットワーク接続を確立するために認証が不要であるという事実など、並列ハッカーに新しい機会を提供します。このような状況は、同じネットワーク上の安全でないデバイスに実際に無料でアクセスする絶好の機会を与えます。

また、無料のwifiセキュリティにとって最大の脅威となる構成である接続ポイントとの間を行き来することもできます。したがって、アクセスポイントと直接通信する代わりに、ハッカーに情報を送信し、ハッカーがリレーします。

一方、ハッカーはインターネットを介して送信する各情報にアクセスできます。重要なメール、クレジットカードデータ、または企業ネットワークにアクセスするための資格情報です。ハッカーが情報を入手すると、ハッカーは任意で、あなたに代わってシステムにアクセスする可能性があります。

ハッカーは、Wi-Fiの安全でない接続を使用してマルウェアを配信することもできます。ネットワークでのファイル共有を許可すると、攻撃者は感染したソフトウェアをコンピュータに簡単にインストールできます。一部の独創的なハッカーは、接続ポイント自体をハッキングすることさえできたため、接続プロセス中にポップアップウィンドウを開いて人気のあるソフトウェアのアップグレードを提供することに成功しました。ユーザーがウィンドウをクリックすると、マルウェアがインストールされます。

モバイルワイヤレス接続がますます一般的になり、インターネットのセキュリティ問題の増加と公衆wifiネットワークへのリスクが予想されます。これは、無料のwifiを避け、机にくっついておく必要があることを意味します。海賊の大多数は、簡単な標的を狙うだけです。したがって、通常、情報を安全に保つための予防策を講じるだけで十分です。

仮想プライベートネットワーク(VPN)を使用

ワイヤレスアクセスポイントなどのセキュリティで保護されていない接続を介して企業ネットワークにアクセスする場合は、VPN(仮想プライベートネットワーク)が必要です。ハッカーが接続の真ん中に配置したとしても、ハッカーはそのデータを強力に暗号化します。ほとんどの海賊は簡単な獲物を好むので、退屈な復号化プロセスを必要とする盗まれた情報を恥ずかしくはしません。

SSL接続を使用

一般的にインターネットを閲覧しているときにVPN接続があることはほとんどありませんが、通信に暗号化のレベルを追加することを妨げるものは何もありません。頻繁にアクセスするWebサイト、または資格情報の入力を求めるWebサイトで「常にHTTPSを使用する」を有効にします。海賊は、ユーザーがフォーラム、銀行、または企業ネットワークに同じログインとパスワードを使用していることをよく知っていることを覚えておいてください。これらの資格情報を暗号化せずに送信すると、巧妙なハッカーがRushに熱心な侵害を引き起こす可能性があります。アカウントの開設や識別データの入力を必要とするほとんどのWebサイトは、設定に「HTTPS」オプションを提供しています。

共有を無効にする

公共の場所でインターネットに接続する場合、何も共有したくない場合があります。この場合、オペレーティングシステムに応じて、システム環境設定またはコントロールパネルで共有オプションを無効にするか、セキュリティで保護されていない新しいネットワークに初めて接続するときに[パブリック]オプションを選択して、Windowsで無効にすることができます。

不要な場合はワイヤレス機能をオフにしてください

ネットワークにアクティブに接続していない場合でも、コンピューターに装備されているワイヤレス機器は、一定の距離にあるネットワークを介してデータを送信し続けます。これを最小限の通信モードにするためのセキュリティ対策が講じられており、データのセキュリティが損なわれることはありません。ただし、すべてのワイヤレスルーターが同一であるとはほど遠く、ハッカーは時として機知に富むことがあります。コンピューターをWordまたはExcelドキュメントでの作業にのみ使用する場合は、無効にしたwifi機能を許可してください。さらに、バッテリー寿命はさらに長くなります。

4
GAD3R

したがって、問題は、VPNを使用するときにオープンwifiホットスポットを安全であると見なすことができるか、それともオープンホットスポットを使用してはならないのかということです。

分析

オープンホットスポットに接続することは、ローカルハブに直接接続することと同じです。ローカルハブでは、すべてのトラフィックを見ることができ、ファイアウォールを介さずにインターネットに直接接続されます。

したがって、開いているすべてのホットスポットは敵対的であると見なされます。

明白な解決策:独自のファイアウォールを導入し、VPNを使用します。

オプションA:ハードウェアベース

  • 小さな pfSense(オープンソース) ボックスなどのハードウェアファイアウォール、または biquiti Edgerouter Lite などのデバイスを使用する

    • 自動的に接続するサイト上にサイト間またはクライアント側のVPNが設定されている

    • キャプティブポータルIPアドレスへの通信のみを許可するようにロックされている、そのデバイスに「信頼できない」ポートがある

      • 最初にこのポートを使用して、デバイスまたは仮想マシンからキャプティブポータルを通過します。これを行う以外の目的はありません(そしてDNSリダイレクトを許可することもあります)。

      • このポートのルールをキャプティブポータルからキャプティブポータルに変更します。直接IPでアクセスできない場合にのみDNSを有効にします。

    • VPN経由の通信のみを許可し、デバイス自体にログインできるようにロックダウンされている、そのデバイスの信頼できるポートを用意します。

      • キャプティブポータルがバイパスされたら、このポートを使用します。 VPN接続が中断されると、このポートは単にインターネット接続を失います。

オプションB:USBハードウェアに基づく仮想マシン

  • オプションAと同じ

    • ハードウェアの代わりに、仮想マシン(VM)が使用されます

    • ホットスポットは、pfSenseまたは他の仮想マシンのファイアウォールとVPNデバイスに直接接続されているUSB Wifiカードでアクセスされます

    • 他のVMのみがネットワーク接続を取得し、それらの他のVMはホストオンリーネットワークによって接続されます。

    • ホストハードウェア上のその他のネットワークは無効になります。

オプションC:露出を減らすための素早く汚いチート

  • AまたはBほど良くない。ここでは実際のファイアウォールを使用していません。

  • 信頼できるネットワークでは、接続を試みている(失敗している)場合でも、特定のVPNが通信をリダイレクトすることを確認してください。つまり、起動しようとしている間、アプリケーションがrawインターネットと通信することはできませんが、まだネットワークがないためできません。

  • USB wifiカードが必要です。最初に、キャプティブポータルを通り過ぎる目的でのみ使用されるデバイスまたは仮想マシンに接続します

    • キャプティブポータルを通過する

  • 実際のマシンで、上記のように他のすべてのネットワークを無効にします。

  • 実際のマシンで、DNSを含むすべての通信をリダイレクトするようにVPNを設定します。

  • 実機でVPNを開始する

  • USB Wifiカードを実際のマシンに移動します。キャプティブポータルはMACアドレスで動作する傾向があるため、理論的には、VPNは正しく接続されます

  • VPNがシャットダウンせず、通信がインターネット経由で送信されるように注意してください。

3
Anti-weakpasswords