Comment chiffrer mon trafic Internet pour pouvoir utiliser le wifi public en toute sécurité?

Accès à distance

La plupart des points d'accès sans fil publics (chiffrés ou non) utilisent l'isolation du client, il est donc impossible qu'un autre client du réseau puisse communiquer avec votre appareil. Si les clients peuvent communiquer, assurez-vous simplement de désactiver (temporairement) ou de sécuriser tous les services réseau s'exécutant sur votre appareil (tels que httpdname__, ftpdname__, sshdname__, smbdname__), car vous n'en aurez probablement pas besoin pendant votre séjour à l'auberge. Si vous vous considérez comme un "profane" selon votre commentaire, ne vous inquiétez pas, car Ubuntu ne dispose d'aucun service réseau activé par défaut. Bien entendu, un ami plus averti aurait pu les activer à votre demande, mais je suppose que vous en êtes au courant.

Reniflage de paquets sans fil

Étant donné que le réseau est chiffré avec WPA2 , un protocole de chiffrement sans vulnérabilité publique, vous êtes également à l'abri des renifleurs de paquets sans fil, car le point d'accès sans fil attribue une clé de session différente à chaque client. Même si tous les clients partagent le même mot de passe, ils ne pourront pas décrypter le trafic réseau des autres (avec des efforts raisonnables). Cette partie n’est valable que pour WPA2 - EAP .

Depuis, j'ai appris qu'un attaquant connaissant le secret pré-partagé (probablement pour un réseau sans fil semi-public) et un enregistrement de la négociation d'authentification WPA2-PSK (la réauthentification peut être provoquée par une attaque de deauthentication ne nécessitant que la connaissance du PSK) peut décrypter tout le trafic ultérieur.

Conclusion: Ne vous fiez pas à la confidentialité des réseaux sans fil publics cryptés avec un secret pré-partagé. Reportez-vous aux sections suivantes pour les solutions.

Écoute en amont

Si vous craignez que le personnel de l'hôtel abuse de son accès au réseau "en amont" non chiffré (c'est-à-dire entre le point d'accès sans fil et son fournisseur de services Internet), vous devez utiliser HTTPS / TLS ¹ ou un VPN pour crypter votre trafic réseau dans cette section en fonction de vos besoins. Voir mon premier commentaire pour les points à prendre en compte et mettez à jour votre question en conséquence, afin que je puisse entrer dans les détails corrects.

VPN

Pour configurer un VPN, vous devez trouver un fournisseur de VPN offrant des protocoles VPN avec prise en charge de Linux - de préférence avec des instructions de configuration, encore mieux s’ils sont conçus pour Ubuntu. Une alternative serait un VPN public peer-to-peer comme Tor ou I2P . Trouvez ou posez une autre question si vous rencontrez des problèmes avec l’un ou l’autre de ces problèmes, car cela nous éloignerait un peu trop de la question initiale.

¹ La plupart des sites Web populaires utilisent HTTPS par défaut ou en option pour se protéger contre le vol de session et les attaques de type "man-in-the-middle". Beaucoup d'autres le font au moins pendant l'authentification pour protéger votre mot de passe.

Tout ce dont vous avez besoin est un service VPN. Personnellement, je recommande IPvanish qui est un service VPN avec beaucoup de serveurs en Europe, en particulier en Allemagne. C'est très rapide et très fiable. Voici un lien à partir d'une revue du service: https://anonymweb.de/ipvanish-vpn-im-test/

Une idée possible, qui pourrait ne pas être une "solution" à la question que vous posez, consiste à utiliser une approche différente pour accéder à Internet:

1. Utilisez un service VPN qui maintient l'anonymat. On peut rechercher Hotspot Shield ou des alternatives pour Ubuntu. Existe-t-il un service VPN gratuit qui fonctionne sur Ubuntu?

2. Installez VirtualBox avec Tails Linux , où vous exécutez un système d'exploitation axé sur l'anonymat, en tant que machine virtuelle sur Ubuntu. D'après mon expérience, VirtualBox fonctionne à merveille le 14.04, bien que je n'aie pas essayé Tails.

Pour ce qui est de "laisser entrer d'autres utilisateurs", vous devez installer les dernières mises à jour de sécurité et vous assurer que le pare-feu est correctement configuré ... mais il s'agit davantage de la sécurité réseau générale que de "vos activités".

J'espère que ça aide.

Considérant que personne d'autre n'a fourni cette réponse, je pense qu'il est temps de recommander Tor. Tor offre une sécurité relativement robuste en acheminant votre trafic sortant vers de nombreux ordinateurs. Tor n'est cependant pas le but ultime de la sécurité. Ce qu'il va faire, c'est chiffrer votre trafic sortant sur le réseau lui-même.

Cela signifie que vos paquets sortants (ce que vous envoyez) ne pourront pas être lus par quiconque interceptant le trafic à cette fin . Ils n'ont cependant aucun moyen de contrôler le trafic au-delà d'un nœud de sortie.

Ici est un bon aperçu de l'ensemble du processus - notez la première réponse. En voici l'essentiel, mais je vous encourage à consulter le site et à lire la question au complet et ses diverses réponses. Il vaut la peine de connaître cette information, car elle peut être utile de différentes manières. Voici:

Votre connexion au réseau Tor lui-même est cryptée, de même que les connexions entre les nœuds Tor. En fait, chaque saut est chiffré avec une nouvelle clé pour éviter le suivi. Ce qui pourrait être non chiffré est la connexion de votre Exit Node sur le Web, si vous vous connectez via un protocole non chiffré. Cela signifie que si vous affichez une page Web HTTP standard, le dernier nœud Tor de votre circuit et son fournisseur de services Internet peuvent voir les données non chiffrées, mais ils ne pourront pas les retrouver jusqu'à son origine (à moins que ces données ne contiennent quoi que ce soit personnellement. vous identifiant).

Maintenant, il y a beaucoup de façons de faire fonctionner Tor, mais franchement, le moyen le plus simple auquel je puisse penser est tout simplement de commencer ici et de télécharger la version appropriée pour votre ordinateur (32 ou 64 bits).

Ce que Tor n’est pas - Tor n’est pas quelque chose que vous utilisez pour télécharger des fichiers volumineux, vous ne téléchargez pas non plus des torrents. Tor est principalement destiné à rester sur les réseaux .onion mais peut être utilisé comme un serveur proxy pour naviguer sur le Web. Cela n’est pas totalement sécurisé de la part de quelqu'un qui est capable d’utiliser des attaques de mise en forme/modélisation de paquets de trafic et des attaques de minutage. S'ils peuvent voir la forme de votre paquet entrer dans le réseau et contrôler un nœud sortant, ils peuvent alors déterminer où vous vous êtes rendu. Cela ne s'applique pas vraiment à votre situation, cependant.

Si vous voulez un moyen supplémentaire d'installer Tor et de le maintenir à jour, procédez comme suit pour la dernière version:

Vous devez ajouter l'entrée suivante dans /etc/apt/sources.list ou un nouveau fichier dans /etc/apt/sources.list.d/:

deb http://deb.torproject.org/torproject.org utopic main deb-src http://deb.torproject.org/torproject.org utopic main

Ajoutez ensuite la clé gpg utilisée pour signer les packages en exécutant les commandes suivantes à l'invite de commande:

gpg --keyserver keys.gnupg.net --recv 886DDD89 gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | Sudo apt-key add -

Vous pouvez l'installer avec les commandes suivantes:

$ apt-get update $ apt-get install tor deb.torproject.org-keyring

Si vous avez besoin de plus d'informations, veuillez consulter ce site , mais les instructions ci-dessus devraient rester stables et inchangées dans un avenir prévisible.