使用 VPN 连接时,开放的 Wi-Fi 热点能否被视为“安全”?

信息安全 加密 无线上网 虚拟专用网
2021-08-16 13:00:05

从咖啡馆到机场,散布着许多开放的 Wi-Fi 热点。

我了解非密码 Wi-Fi 会使流量未加密,因此可供黑客读取。我还知道Wi-Fi 热点是恶意的中间人攻击。

因此,我总是使用 VPN 连接来加密我的流量,同时使用开放的 Wi-Fi 热点来避免这些攻击。

但是文章即使使用 VPN,开放 Wi-Fi 也暴露了用户的状态,即使使用 VPN 连接,开放的 Wi-Fi 热点仍然不安全。它指出:

在您的 VPN 接管之前的这段时间里,可能暴露的内容取决于您运行的软件。您使用 POP3 或 IMAP 电子邮件客户端吗?如果他们自动检查,那么所有人都可以看到该流量,包括可能的登录凭据。其他程序,例如即时通讯客户端,可能会尝试登录。

但与此同时,这篇文章感觉就像是一个伪装的广告,结尾是(感觉像)一个我从未听说过的称为 Passpoint 的产品的推销:

多年来,Wi-Fi 联盟几乎已经为这个问题提供了一个解决方案,称为Passpoint

使用 VPN 连接时,开放式 Wi-Fi 热点是否可以被认为是安全的,或者您永远不应该使用开放式热点?

4个回答

这实际上正是 VPN 设计用于工作的环境类型:当您无法信任本地网络时。

如果设置正确(即确保所有流量都通过 VPN 并使用安全的相互身份验证方案),它将很好地保护您的连接。

但是,这需要正确设计整个事物。

  1. 显然,必须设置您的 VPN,以便您的所有通信都通过加密通道,而不仅仅是针对其背后的内部网络的部分(有时是公司防火墙或使用 SSH 的情况)。
  2. 除非您为服务器使用固定证书,否则请避免使用 SSL VPN:您将希望避免必须对服务器的主机名执行 PKI 验证,因为它可能相当微妙。
  3. 了解限制:您将无法“掩盖”您正在使用 VPN 的事实,您将无法掩盖您的交易量和模式(这在某种程度上可以用来识别您的服务类型)重新使用)并且您的连接仅在 VPN 出口点之前是安全的:该点和目标服务器之间的所有内容都不会受到 VPN 的保护(尽管它也可以自己加密)。
  4. 对于愿意花费专门资源来渗透您的安全的国家行为者,无法保证。

这篇文章是正确的,在建立 VPN 之前的初始阶段存在真正的威胁。这是一个先有鸡还是先有蛋的问题。在这种情况下,VPN 配置无关紧要,因为首先要建立 VPN 连接,您必须首先有互联网连接。许多/大多数开放的互联网点要求您通过输入密码或电子邮件地址向他们注册,或者仅接受服务条款。这需要非 VPN 连接。

通常,这意味着打开一个浏览器,直接与您的本地网络对话,而不是通过 VPN。启动时,浏览器通常会调出他们访问的最后一页,然后重新提交任何参数。因此,如果您打开浏览器并打开您上次访问的一系列页面,如果这些网站是 http 而不是 https,您可能会泄露信息。

一般来说,不,它不会是安全的。

如果有问题的热点不是强制门户而是真正开放的 WiFi,并且您的本地防火墙配置为丢弃不是发往您的 VPN 服务器的 VPN 流量的所有流量(因此任何流量都不能在您的计算机和任何计算机但 VPN 服务器),并且您之前已在安全环境中连接过您的 VPN,并且已保存并将验证其密钥(例如 ssh 所做的),而不是依赖于PKI(就像默认情况下的 HTTPS 一样)。当然,如果您不是州级的相关人员,因为他们可以对您和您的 VPN 服务器进行侧通道攻击(并且可能无论如何都破解 VPN 或使用其中实施的后门)和许多其他有趣的东西。但是,如果您的软件没有错误,Joe Random 在这种情况下可能无法窃取您的银行帐户。

但是,(至少在此处)大多数此类热点都是强制门户,这意味着在您至少单击其网页并接受使用条款和内容之前,它们将不允许使用;这是不安全的 - 您不仅必须破例以通过未加密的网络流量(可能会损害在您的网络浏览器中打开的任何窗口、配置文件同步等),而且您的浏览器也将根据定义需要呈现任何强制门户(或任何攻击者欺骗它)抛出它,使您容易受到任何浏览器或插件错误(其中有无休止的流)的攻击。这是更高的风险,特别是因为机场等对于这些人来说是非常甜蜜的目标。

但是话又说回来,如果您在启用 javascript 和 flash 的情况下浏览 Internet 上的随机站点,那么您已经在从事有风险的活动,因此这可能不会显着增加您的风险(但话又说回来,它可能会)。

没有“安全”之类的东西,只有“对于这个或那个目的可能足够安全”。

添加到已经很好的答案。为了保护您在使用 VPN 的 Wifi 热点中的活动,目前有两种建议的技术,OpenVPN 和 IPsec。IPsec 需要更多时间才能正确配置,但更多设备本机支持它。

ipsec 安全性:暂时不要停止使用 IPsec

始终使用完美前向保密(“pfs=yes”,这是 libreswan IPsec 中的默认设置)并避免使用 PreSharedKeys(authby=secret,这不是 libreswan IPsec 中的默认设置)。

还应该注意的是,正如其他评论也提到的那样,所有流量都应该通过 VPN。或者使用技术术语,不应将 VPN 配置为允许拆分隧道。

拆分隧道

拆分隧道是一种计算机网络概念,它允许移动用户使用相同或不同的网络连接同时访问不同的安全域,如公共网络(例如,互联网)和本地 LAN 或 WAN。

同样,VPN 也响应 DNS 请求非常重要。为了防止客户端有意或通过其他问题(包括恶意软件)硬编码 DNS 服务器,VPN 应拦截 DNS 请求并将它们定向到 VPN 本身(或 VPN 信任的 DNS 服务器)。

iptables -t nat -A PREROUTING -p udp --dport 53 -s VNP_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53
iptables -t nat -A PREROUTING -p tcp --dport 53 -s VPN_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53

客户端机器本身必须在最新更新中相当安全,并使用防火墙来抵御直接攻击。

至于关于VPN之前的危险的几条评论,OS/X 和 iOS 有配置文件,您可以在其中定义按需 VPN,例如,在 VPN 不启动的情况下,数据包不会离开机器。

其它你可能感兴趣的问题
上一篇如果我让别人通过微型 USB 数据线从我的 MacBook 为他们的 Android 手机充电,我是否有风险? 下一篇我怎么知道开发人员会合乎道德并且不会以明文形式记录我的密码