WLAN och Hotspots - Hur säkra sin trafik

[chipman]

När man läser om hur man ska bete sig för att surfa säkert med WLAN från hotspots, flygplatser , hotell m.m. så får man (nästan) alltid tipset att koppla upp sig med VPN mot jobbet/kontoret.

 

Det är ju ett bra tips, men om man inte har VPN på sitt jobb då...

 

Finns det kanske 'VPN-hotell' nånstans där man kan hyra in sig på samma sätt som med web-hotell?

 

 

 

 

[Coleburn]

Om vi vänder på det...vilka tjänster vill du nå? Det blir enklare att förklara och/eller ge förslag med en mer specificerad beskrivning.

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[chipman]

Jag hade väl egentligen tänkt mig att köra allting genom tunneln. På det viset blir inga tjänster eller protokoll bortglömda om man ska göra inställningar speciellt för varje tjänst.

 

Fast till största delen blir det väl surfning, så en lösning som skyddar det vore en tillräckligt bra kompromiss till att börja med.

 

 

 

[Coleburn]

Ursäka dröjsmålet med detta svar!

 

Vanlig surfning behöver i princip inte skyddas, eftersom allt ju är publikt tillgängligt. Det man skall vara försiktig med är naturligtvis siter man måste logga in på, för att undvika att någon får tag i användarnamn/lösenord. SSL/ssh skyddade tjänster kan man däremot köra utan någon praktisk säkerhetsrisk.

 

Gäller det trafik mot ett företags interna servrar så kan det vara bra, och i vissa fall krävas, att man utifrån kör via en VPN-tunnel.

 

Ett praktiskt problem gällande VPN och publika accesspunkter är att många VPN-klienter krypterar _all_ trafik, inklusive dhcp. Publika accesspunkter, t.ex Telia Homerun, har väldigt korta lease-tider, och loggar automatiskt ut klienter som har ogiltiga lease. Detta innebär att kontakten bryts, tills man stänger av VPN-klienten, och loggar in på accesspunkten igen.

 

En enkel summering av mina förslag är helt enkelt att du skall köra VPN mot det måste, men inte annars!

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[chipman]

SSH är jag inte det minsta orolig för och dom flesta saker som kräver inloggning har SSL åtminstone i själva inloggningsfasen. Det som känns lite obehagligt är allt det där andra som flyger omkring som klartext. Även om det knappast är några direkta hemligheter, så har ingen annan i närheten med det att göra. Förr eller senare klantar man väl till det och börjar skicka nåt som inte borde sänts över radio och då sitter garanterat Murphy där och lyssnar :-/

 

Kanske låter det som lätt paranoia, men jag känner i alla fall till riskerna med radiotrafik :-) Troligen finns det fler än mig som skulle leta efter samma sak om dom bara kände till hur lätt det är att lyssna i luften.

 

Eftersom jobbet inte har VPN, så var jag mest intresserad av om det gick att hyra den tjänsten för privat bruk.

 

Problemet med DHCP borde rimligen gå att lösa med inställningar i min VPN-klient?

 

[Coleburn]

Att ha en lätt säkerhetsparanoia är för det mesta bra :-)

 

Som du säger så går all radiotrafik att avlyssna, vilket naturligtvis är en stor säkerhetsrisk. Däremot håller jag inte riktigt med dig om riskens storlek gällande privatpersoner och publika accesspunkter, annat än om man håller på med extremt olagliga saker, och det är Säpo/FBI/CIA man måste skydda sig mot! Jag har inga siffror, men taget ur luften skulle jag gissa att minst 90% av alla WIFI-relaterade 'skador' orsakas av öppna företagsnät, där vem som helst på gatan kan avlyssna all deras trafik. Denna hotbild finns ju inte på samma sätt i publika nät, speciellt inte när man som du är mycket väl medveten om riskerna.

 

Jag känner tyvärr inte till om det finns någon 'VPN-broker' men tekniskt sett borde det inte vara något större problem att sätta upp. Frågan är om man som slutkund vill betala för en sådan tjänst, eftersom trafiken i princip måste betalas dubbelt. (Accesspunkt <-> internet, dvs VPN-brokern och VPN-brokern <-> internet). Det logiska vore ju att den ISP/operatör/Organisation som tillhandahåller accesspunkten skulle ha denna tjänst som tillval, men personligen tror jag att efterfrågan är för liten för att motivera implementationen.

 

Vill man ha det så går det ju att lägga upp privat (förutsatt att man har en fast anslutning hemma, och en ISP som inte blockar alla protokoll/portar).

 

DHCP problemet bör/måste gå att lösa i alla VPN-klienter som har mage att kalla sig just VPN-klient.

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[inlägget ändrat 2005-07-01 13:25:01 av Coleburn]

[chipman]

Har tyvärr inte tillgång till fast lina hemma, men har ordnat så jag kan provköra lite på en bekants lina medan dom är bortresta. Där har jag ställt en Linux-burk med OpenVPN. Det fungerar bra tycker jag. Inga fördröjningar eller stopp p.g.a DHCP eller några andra konstigheter.

 

 

Googlade en del över helgen ( genom min nya VPN-koppling :-) ) och det verkar vara som du säger att efterfrågan inte är så hemskt stor för privatpersons-VPN. Det mesta verkade vara SSH-tunnlar eller krypterade HTTP-proxyservrar.

 

Lyckades ändå hitta ett par stycken som erbjöd något av intresse:

www.prq.se

www.witopia.net/aboutpersonal.html

(fyll gärna på med fler om ni har)

 

Tänker köra genom min testburk över sommaren så länge, så får det bli en av ovanstående framåt hösten.

 

 

 

[chipman]

Nu har jag testat färdigt över sommaren och det gick bra hela tiden, så nu har jag anslutit mig till witopia.

 

Det har jag hittills kört med i en månad utan några märkbara konstigheter. Svarstiderna blir ju lite längre eftersom det ska över till USA och vända, men det är inte så mycket så det stör.