web-dev-qa-db-fra.com

Un hotspot Wi-Fi ouvert peut-il être considéré comme "sécurisé" lors de l'utilisation d'une connexion VPN?

Il existe de nombreux hotspots Wi-Fi ouverts disséminés des cafés aux aéroports.

Je comprends qu'un Wi-Fi sans mot de passe laisse le trafic non crypté et donc accessible aux pirates. Je connais également une attaque de l'homme du milie où le hotspot Wi-Fi est malveillant.

J'utilise donc toujours une connexion VPN pour crypter mon trafic tout en utilisant des hotspots Wi-Fi ouverts pour éviter ces attaques.

Mais l'article Même avec un VPN, le Wi-Fi ouvert expose les utilisateurs déclare que même avec une connexion VPN, un Wi ouvert -Le hotspot Fi n'est toujours pas sécurisé. Il est dit:

Dans cette période avant que votre VPN ne prenne le relais, ce qui pourrait être exposé dépend du logiciel que vous exécutez. Utilisez-vous un client de messagerie POP3 ou IMAP? S'ils vérifient automatiquement, ce trafic est en clair pour tous, y compris potentiellement les informations de connexion. D'autres programmes, comme le client de messagerie instantanée, peuvent essayer de se connecter.

Mais en même temps, l'article ressemble à une annonce déguisée concluant avec (ce qui ressemble à) un argumentaire de vente pour quelque chose appelé Passpoint dont je n'ai jamais entendu parler:

La Wi-Fi Alliance a eu une solution à ce problème presque en place depuis des années, appelée Passpoint .

Un hotspot Wi-Fi ouvert peut-il être considéré comme sécurisé lors de l'utilisation d'une connexion VPN ou ne devez-vous JAMAIS utiliser des hotspots ouverts?

52
user1

C'est en fait exactement le type d'environnement que les VPN ont été conçus pour fonctionner: lorsque vous ne pouvez pas faire confiance au réseau local.

S'il est correctement configuré (c'est-à-dire en s'assurant que tout le trafic passe par le VPN et en utilisant un schéma d'authentification mutuelle sécurisé), il protégera assez bien votre connexion.

Cependant, cela nécessite que l'ensemble soit correctement conçu.

  1. Évidemment, votre VPN doit être configuré pour que TOUTE votre communication passe par le canal crypté, pas seulement la partie qui vise le réseau interne derrière lui (ce qui est parfois le cas avec les pare-feu d'entreprise ou si vous utilisez SSH).
  2. Évitez d'utiliser SSL VPN à moins que vous n'utilisiez un certificat épinglé pour le serveur: vous voudrez éviter d'avoir à effectuer la validation PKI du nom d'hôte du serveur car il peut être assez délicat.
  3. Comprenez la limitation: vous ne pourrez pas "masquer" le fait que vous utilisez un VPN, vous ne masquerez pas le volume et le modèle de votre échange (qui peut dans une certaine mesure être utilisé pour identifier le type de service que vous ' réutilisation) et votre connexion sera UNIQUEMENT sécurisée jusqu'au point de sortie VPN: tout entre ce point et le serveur de destination ne sera pas protégé par le VPN (bien qu'il puisse également être chiffré par lui-même).
  4. Il n'y a aucune garantie contre un acteur étatique qui serait disposé à dépenser des ressources dédiées pour pénétrer votre sécurité.
64
Stephane

L'article est correct et une menace réelle existe dans la période initiale avant la configuration du VPN. C'est un problème de poulet et d'oeufs. La configuration VPN n'a pas d'importance dans ce cas, car pour établir la connexion VPN en premier lieu, vous devez d'abord avoir une connexion Internet. Beaucoup/la plupart des points Internet ouverts nécessitent que vous vous inscriviez auprès d'eux en entrant un code secret ou une adresse e-mail, ou en acceptant simplement les conditions d'utilisation. Cela nécessite une connexion non VPN.

Généralement, cela signifie avoir un navigateur ouvert qui communique directement avec votre réseau local plutôt que via le VPN. Au démarrage, les navigateurs affichent souvent la dernière page à laquelle ils sont allés et soumettent à nouveau tous les paramètres. Donc, si vous deviez ouvrir votre navigateur et ouvrir une série de pages que vous avez visitées pour la dernière fois, vous pourriez divulguer des informations si ces sites étaient http et non https.

15
Steve Sether

Généralement, non, il ne sera pas sécurisé .

Il peut être principalement sécurisé si le hotspot en question n'est pas portail captif mais WiFi vraiment ouvert, et votre pare-feu local est configuré pour supprimer [~ # ~] tout [~ # ~] trafic qui n'est pas du trafic VPN destiné à votre serveur VPN (donc aucun trafic ne peut circuler entre votre ordinateur et n'importe quel ordinateur sauf un serveur VPN), et vous avez déjà connecté votre VPN auparavant en mode sécurisé environnement et ont enregistré et vérifieront sa clé (comme le fait ssh par exemple) au lieu de dépendre de PKI (comme HTTPS le fait par défaut). Et bien sûr, si vous n'êtes pas une personne d'intérêt au niveau de l'État, car ils peuvent faire des attaques par canal latéral à la fois contre vous et votre serveur VPN (et probablement casser le VPN de toute façon ou utiliser une porte dérobée implémentée) et bien d'autres choses amusantes. Mais Joe Random ne sera probablement pas en mesure de voler votre compte bancaire dans ce cas si votre logiciel n'est pas buggé.

Cependant, (au moins ici), la plupart de ces points d'accès sont des portails captifs, ce qui signifie qu'ils ne permettraient pas leur utilisation avant au moins de cliquer sur leur page Web et d'accepter conditions d'utilisation et autres; et cela n'est pas sûr - non seulement vous devrez faire une exception pour laisser passer le trafic Web non chiffré (ce qui pourrait compromettre toutes les fenêtres ouvertes dans votre navigateur Web, la synchronisation des profils, etc.), mais votre navigateur devrait également, par définition, rendre tout ce que le portail captif ( ou n'importe quel attaquant usurpant), lancez-vous dessus, vous rendant vulnérable à tout navigateur ou bug de plugin (dont il n'y a jamais de flux). Ce risque est beaucoup plus élevé, d'autant plus que les aéroports et autres sont des cibles très intéressantes pour ces personnes.

Mais là encore, si vous surfez sur des sites aléatoires sur Internet avec javascript et flash activés, vous êtes déjà engagé dans une activité risquée, donc cela pourrait ne pas augmenter considérablement votre risque (mais là encore, cela pourrait).

Il n'y a rien de tel que "sécurisé", seulement " probablement suffisamment sécurisé pour tel ou tel but".

8
Matija Nalis

Ajout aux réponses déjà excellentes. Pour protéger votre activité dans un point d'accès Wifi avec un VPN, il existe actuellement deux technologies conseillées, OpenVPN et IPsec. IPsec prend plus de temps à être configuré correctement, mais il est pris en charge nativement par plus de périphériques.

sécurité ipsec: n'arrêtez pas d'utiliser IPsec pour l'instant

Utilisez toujours Perfect Forward Secrecy ("pfs = yes" qui est la valeur par défaut dans libreswan IPsec) et évitez PreSharedKeys (authby = secret qui n'est pas la valeur par défaut dans libreswan IPsec).

Il convient également de noter que, comme les autres commentaires le mentionnent également, tout le trafic doit passer par le VPN. Ou pour utiliser le terme technique, le VPN ne doit pas être configuré comme autorisant le tunneling fractionné.

Tunneling divisé

Le tunneling fractionné est un concept de réseau informatique qui permet à un utilisateur mobile d'accéder à des domaines de sécurité différents comme un réseau public (par exemple, Internet) et un LAN local ou WAN en même temps, en utilisant le même ou différentes connexions réseau.

Dans le même esprit, il est plutôt important que le VPN réponde également aux requêtes DNS. Pour empêcher les clients qui ont des serveurs DNS codés en dur, intentionnellement ou par d'autres problèmes (y compris les logiciels malveillants), le VPN doit intercepter les demandes DNS et les diriger vers le VPN lui-même (ou un serveur DNS approuvé par le VPN).

iptables -t nat -A PREROUTING -p udp --dport 53 -s VNP_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53
iptables -t nat -A PREROUTING -p tcp --dport 53 -s VPN_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53

La machine cliente elle-même doit être assez sécurisée à la fois dans les mises à jour et en utilisant un pare-feu pour résister aux attaques directes.

Quant aux nombreux commentaires sur les dangers de avant le VPN, OS/X et iOS ont des profils où vous pouvez définir un VPN à la demande, par ex. un paquet ne quitte pas la machine sans que le VPN ne monte.

7
Rui F Ribeiro

Si vous voulez être sûr à 100%, n'utilisez pas de wifi ouvert. J'utilise le wifi ouvert uniquement dans des moments désespérés lorsque je suis coincé dans des pays étrangers, mais uniquement pour un rapide google ou whatsapp.

L'utilisation d'un VPN permet un tunnel sécurisé, ce qui est évidemment bon, mais ce sont les étapes que vous prenez pour vous assurer que vous avez créé ce tunnel sans que personne ne vous voit, selon la façon dont le VPN est configuré, vous pouvez toujours obtenir une attaque MitM en utilisant un VPN. Cela dépend simplement de votre configuration.

Une fois que votre appareil est sur un réseau et utilise un VPN, vous êtes toujours sur ce réseau. Votre présence est toujours là. Vous avez toujours le risque de cela. Il est difficile de dire, cependant, si vous exécutez IPTABLES et verrouillez tous les ports de votre appareil (autres que les 100% requis), vous pouvez vous y protéger. Il existe de nombreuses façons de vous protéger sur une voie aérienne ouverte. Bien qu'il existe également plus de façons de faire des erreurs.

voir: Les VPNS sont-ils vulnérables à l'homme actif au milieu des attaques?

4
TheHidden

Les risques du wifi ouvert

Les fonctionnalités qui font tout l'intérêt des points d'accès sans fil pour les consommateurs offrent aux pirates parallèles de nouvelles opportunités, telles que le fait qu'aucune authentification n'est requise pour établir une connexion réseau. De telles situations leur offrent en effet une grande opportunité d'accès gratuit à des appareils non sécurisés sur le même réseau.

Ils sont également capables de s'interposer entre vous et le point de connexion, une configuration qui représente la plus grande menace pour la sécurité wifi gratuite. Ainsi, au lieu de communiquer directement avec le point d'accès, vous envoyez vos informations à des pirates, qui les relaient ensuite.

Pendant ce temps, les pirates peuvent accéder à chacune des informations que vous envoyez sur Internet: e-mails importants, données de carte de crédit ou informations d'identification pour accéder à votre réseau d'entreprise. Une fois que les pirates disposent des informations, ils peuvent, à leur gré, accéder à vos systèmes en votre nom.

Les pirates peuvent également utiliser une connexion wifi non sécurisée pour diffuser des logiciels malveillants. Si vous autorisez le partage de fichiers sur un réseau, l'attaquant peut facilement installer un logiciel infecté sur votre ordinateur. Certains pirates ingénieux ont même réussi à pirater le point de connexion lui-même, réussissant ainsi à ouvrir une fenêtre contextuelle pendant le processus de connexion pour offrir une mise à niveau d'un logiciel populaire. Lorsque l'utilisateur clique sur la fenêtre, un logiciel malveillant est installé.

La connectivité sans fil mobile devenant de plus en plus courante, il faut s'attendre à une augmentation des problèmes de sécurité sur Internet et des risques pour les réseaux wifi publics. Cela signifie que vous devez éviter le wifi gratuit et rester collé à votre bureau. La grande majorité des pirates s'attaquent simplement à des cibles faciles. Il suffit donc généralement de prendre quelques précautions pour protéger vos informations.

tiliser un réseau privé virtuel (VPN)

Un VPN (réseau privé virtuel) est requis lorsque vous accédez à votre réseau d'entreprise via une connexion non sécurisée, comme un point d'accès sans fil. Même si un pirate parvient à se placer au milieu de votre connexion, les données qu'il contient seront fortement cryptées. Étant donné que la plupart des pirates préfèrent les proies faciles, ils n'embarrassent pas les informations volées nécessitant un processus de décryptage fastidieux.

tiliser des connexions SSL

Bien qu'il soit peu probable que vous ayez une connexion VPN lors de la navigation sur Internet en général, rien ne vous empêche d'ajouter un niveau de cryptage à vos communications. Activez l'option "Toujours utiliser HTTPS" sur les sites Web que vous visitez fréquemment ou qui vous invitent à saisir vos informations d'identification. N'oubliez pas que les pirates sont bien conscients que les utilisateurs utilisent le même identifiant et mot de passe pour les forums, leur banque ou leur réseau d'entreprise. L'envoi de ces informations d'identification sans chiffrement et peut ouvrir une brèche dans laquelle un pirate intelligent sera impatient de se précipiter. La plupart des sites Web qui nécessitent l'ouverture d'un compte ou la saisie de données d'identification offrent l'option "HTTPS" dans leurs paramètres.

Désactiver le partage

Lorsque vous vous connectez à Internet dans un lieu public, il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver l'option de partage dans les Préférences Système ou le Panneau de configuration, selon votre système d'exploitation, ou laisser Windows la désactiver pour vous en choisissant l'option "Public" la première fois que vous vous connectez à un nouveau réseau non sécurisé.

Laissez la fonction sans fil désactivée lorsque vous n'en avez pas besoin

Même si vous ne vous connectez pas activement à un réseau, l'équipement sans fil équipant votre ordinateur continue de transmettre des données sur le ou les réseaux situés à une certaine distance. Des mesures de sécurité ont été mises en place pour que ce mode de communication minimum ne compromette pas la sécurité de vos données. Cependant, tous les routeurs sans fil sont loin d'être identiques et les pirates peuvent parfois être ingénieux. Si vous utilisez votre ordinateur uniquement pour travailler sur un document Word ou Excel, laissez la fonctionnalité wifi désactivée. De plus, la durée de vie de la batterie sera encore plus longue.

4
GAD3R

La question est donc la suivante: un hotspot wifi ouvert peut-il être considéré comme sécurisé lors de l'utilisation d'un VPN ou ne devez-vous JAMAIS utiliser de hotspots ouverts?

Une analyse

Se connecter à un hotspot ouvert n'est pas différent de se connecter directement à un hub local où tout le monde peut voir tout le trafic, qui est ensuite connecté directement à Internet sans aucun pare-feu entre les deux.

Ainsi, tous les hotspots ouverts doivent être considérés comme hostiles.

La solution évidente: apportez votre propre pare-feu ET utilisez un VPN.


Option A: basée sur le matériel

  • Utilisez un pare-feu matériel tel qu'une petite boîte pfSense (open source) , ou biquiti Edgerouter Lite , ou un autre appareil similaire

    • Avoir un VPN de site à site ou côté client configuré sur cet appareil qui se connecte automatiquement

    • Avoir un port "non approuvé" sur cet appareil qui est verrouillé pour autoriser UNIQUEMENT les communications avec l'adresse IP du portail captif

      • Utilisez d'abord ce port, pour passer le portail captif, à partir d'un appareil ou d'une machine virtuelle sans autre but que de le faire (et éventuellement autoriser la redirection DNS).

      • Modifiez les règles de ce port de portail captif à portail captif; n'activez le DNS que lorsque vous ne pouvez pas utiliser l'IP directe.

    • Avoir un port de confiance sur cet appareil qui est verrouillé pour autoriser UNIQUEMENT les communications via le VPN et se connecter à l'appareil lui-même.

      • Une fois le portail captif contourné, utilisez ce port. Si la connexion VPN est interrompue, ce port perd simplement la connectivité Internet.

Option B: machine virtuelle basée sur du matériel USB

  • Identique à l'option A,

    • sauf qu'au lieu du matériel, des machines virtuelles (VM) sont utilisées

    • Hotspot est accessible avec une carte Wifi USB qui est connectée directement au pfSense ou à un autre pare-feu de machine virtuelle et à un périphérique VPN

    • Seules les autres machines virtuelles bénéficient d'une connectivité réseau, et ces autres machines virtuelles sont connectées par un réseau uniquement hôte.

    • Tout autre réseau sur le matériel hôte est désactivé.


Option C: tricherie rapide et sale pour réduire l'exposition

  • PAS aussi bon que A ou B; vous n'utilisez pas votre propre pare-feu ici.

  • Sur un réseau de confiance, assurez-vous que votre VPN particulier redirige les communications même lorsqu'il essaie (et échoue) de se connecter, c'est-à-dire qu'il ne permet pas aux applications de parler à Internet brut pendant qu'il tente de démarrer mais ne peut pas parce qu'il n'y a pas encore de réseau

  • Avoir une carte wifi USB; connectez-vous d'abord à un appareil ou à une machine virtuelle utilisé pour rien mais pour passer le portail captif

    • Et franchissez le portail captif
  • Sur votre vraie machine, désactivez tous les autres réseaux comme ci-dessus.

  • Sur votre vraie machine, le VPN est configuré pour rediriger TOUTES les communications - y compris DNS.

  • Démarrez le VPN sur la vraie machine

  • Déplacez la carte USB Wifi vers la vraie machine; les portails captifs ont tendance à fonctionner par adresse MAC, donc, en théorie, le VPN se connectera alors correctement

  • Attention, le VPN ne s'arrête pas, ce qui permet à vos communications de sortir sur Internet.

3
Anti-weakpasswords