Questo è esattamente il tipo di ambiente in cui le VPN sono state progettate per funzionare: quando non ci si può fidare della rete locale.

Se impostato correttamente (ad esempio assicurandosi che tutto il traffico attraversi la VPN e utilizzi uno schema di autenticazione reciproca sicuro) proteggerà molto bene la tua connessione.

Questo, tuttavia, richiede che tutto sia progettato correttamente.

1. Ovviamente, la tua VPN deve essere configurata in modo che TUTTA la tua comunicazione vada attraverso il canale crittografato, non solo la parte destinata alla rete interna dietro di essa (che a volte è il caso dei firewall aziendali o se stai usando SSH).
2. Evitare l'uso di SSL VPN a meno che non si stia utilizzando un certificato aggiunto per il server: evitare di dover eseguire la convalida PKI del nome host del server poiché può essere piuttosto delicato.
3. Comprendi la limitazione: non sarai in grado di "mascherare" il fatto che stai usando una VPN, non maschererai il volume e il modello del tuo scambio (che può essere in qualche misura usato per identificare il tipo di servizio che stai usando) e la tua connessione sarà SOLTANTO sicura fino al punto di uscita della VPN: tutto tra quel punto e il server di destinazione non sarà protetto dalla VPN (sebbene possa anche essere crittografato da solo).
4. Non c'è alcuna garanzia nei confronti di un attore statale che sia disposto a spendere risorse dedicate per penetrare la tua sicurezza.

L'articolo è corretto e esiste una minaccia reale nel periodo iniziale prima della configurazione della VPN. È un problema di pollo e uova. In questo caso, la configurazione VPN non ha importanza, dal momento che per stabilire la connessione VPN in primo luogo, è necessario prima avere una connessione Internet. Molti / Più punti Internet aperti richiedono di registrarsi con loro inserendo un codice segreto, un indirizzo email, o semplicemente accettare i Termini di servizio. Ciò richiede una connessione non VPN.

Generalmente ciò significa avere un browser aperto che parla direttamente alla rete locale piuttosto che attraverso la VPN. Quando vengono avviati, i browser richiamano spesso l'ultima pagina a cui sono andati e inviano nuovamente i parametri. Pertanto, se aprissi il browser e aprissi una serie di pagine che hai visitato l'ultima volta, potresti perdere informazioni se tali siti fossero http e non https.

Generalmente, no, non sarà sicuro .

Potrebbe essere più sicuro se l'hotspot in questione non è captive portal ma veramente è possibile aprire il WiFi e il tuo firewall locale è configurato per eliminare il traffico ALL che non è il traffico VPN destinato al tuo server VPN (quindi nessun traffico può fluire tra il tuo computer e qualsiasi computer ma server VPN) e hai già collegato la tua VPN in un ambiente sicuro e hanno salvato e verificheranno la sua chiave (come ssh, per esempio) invece di dipendere da PKI (come fa HTTPS di predefinito). E, naturalmente, se non sei persona-di-interesse a livello statale poiché possono fare attacchi side-channel sia a te che al tuo server VPN (e probabilmente crack la VPN comunque o usare backdoor implementato in esso) e molte altre cose divertenti. Ma Joe Random probabilmente non sarà in grado di rubare il tuo conto in banca in questo caso se il tuo software non è bacato.

Tuttavia, (almeno qui intorno) la maggior parte di questi hotspot sono portali in cattività, il che significa che non consentirebbero l'uso prima di fare almeno clic sulla loro pagina Web e accettare termini d'uso e materiale; e questo è insicuro - non solo dovresti fare un'eccezione per passare il traffico web non crittografato (potenzialmente compromettendo qualsiasi finestra aperta nel tuo browser, sincronizzazione dei profili, ecc.), ma il tuo browser dovrebbe anche, per definizione, rendere qualsiasi cosa il captive portal ( o qualsiasi attaccante che lo spoofing) vi getta contro, rendendovi vulnerabili a qualsiasi bug di browser o plugin (di cui ci sono flussi infiniti). Questo è un rischio molto più alto, specialmente come aeroporti e tali sono obiettivi molto dolci per tali individui.

Ma poi di nuovo, se navighi su siti casuali su Internet con javascript e flash abilitati, sei già impegnato in attività rischiose, quindi questo potrebbe non aumentare significativamente il tuo rischio (ma, ripeto, potrebbe).

Non esiste nulla di "sicuro", solo " probabilmente abbastanza sicuro per questo o quello scopo ".

Aggiunta alle risposte già eccellenti. Per proteggere la tua attività in un Hotspot Wi-Fi con una VPN attualmente ci sono due tecnologie consigliate, OpenVPN e IPsec. IPsec richiede più tempo per essere configurato correttamente, tuttavia è supportato in modo nativo da più dispositivi.

sicurezza ipsec: non smettere di usare IPsec eppure

Always use Perfect Forward Secrecy (“pfs=yes” wich is the default in libreswan IPsec) and avoid PreSharedKeys (authby=secret which is not the default in libreswan IPsec).

Va anche notato che, come menzionano anche gli altri commenti, tutto il traffico dovrebbe passare attraverso la VPN. Oppure, per utilizzare il termine tecnico, la VPN non deve essere configurata per consentire il tunneling diviso.

Suddivisione tunneling

Split tunneling is a computer networking concept which allows a mobile user to access dissimilar security domains like a public network (e.g., the Internet) and a local LAN or WAN at the same time, using the same or different network connections.

Allo stesso modo, è piuttosto importante che la VPN risponda anche alle richieste DNS. Per impedire ai client che dispongono di server DNS hardcoded, intenzionalmente o attraverso altri problemi (incluso il malware), la VPN deve intercettare le richieste DNS e indirizzarle alla VPN stessa (o a un server DNS considerato affidabile dalla VPN).

iptables -t nat -A PREROUTING -p udp --dport 53 -s VNP_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53
iptables -t nat -A PREROUTING -p tcp --dport 53 -s VPN_NETWORK/24 ! -d VPN_DNS -j DNAT --to-destination VPN_DNS:53

Lo stesso computer client deve essere abbastanza sicuro sia negli aggiornamenti aggiornati, sia usando un firewall per resistere agli attacchi diretti.

Per quanto riguarda i numerosi commenti sui pericoli di prima della VPN, OS / X e iOS hanno profili in cui è possibile definire VPN su richiesta, ad es. un pacchetto non esce dalla macchina senza che la VPN salga.

I rischi del wifi aperto

Le funzionalità che rendono l'intero punto dei punti di accesso wireless per i consumatori offrono agli hacker paralleli nuove opportunità, come il fatto che non è richiesta alcuna autenticazione per stabilire una connessione di rete. Tali situazioni offrono loro una grande opportunità di accesso gratuito a dispositivi non sicuri sulla stessa rete.

Sono anche in grado di ottenere tra te e il punto di connessione, una configurazione che rappresenta la più grande minaccia per la sicurezza wifi gratuita. Quindi, invece di comunicare direttamente con il punto di accesso, invia le tue informazioni agli hacker, che poi li inoltrano.

Nel frattempo, gli hacker possono accedere a ciascuna delle informazioni che si inviano su Internet: e-mail importanti, dati di carte di credito o credenziali per accedere alla rete aziendale. Una volta che gli hacker hanno le informazioni, possono, a loro scelta, accedere ai tuoi sistemi per tuo conto.

Gli hacker sono anche in grado di utilizzare una connessione wifi insicura per fornire malware. Se si consente la condivisione di file su una rete, l'utente malintenzionato può facilmente installare software infetto sul proprio computer. Alcuni ingegnosi hacker sono riusciti a hackerare il punto di connessione stesso, riuscendo così ad aprire una finestra popup durante il processo di connessione per offrire l'aggiornamento di un software popolare. Quando l'utente fa clic sulla finestra, il malware è installato.

La connettività wireless mobile sta diventando sempre più comune, ci si deve aspettare un aumento dei problemi di sicurezza su Internet e dei rischi per le reti Wi-Fi pubbliche. Questo significa che dovresti evitare la connessione wifi gratuita e rimanere incollato alla tua scrivania. La grande maggioranza dei pirati preda semplicemente di obiettivi facili. Di solito è sufficiente prendere alcune precauzioni per proteggere le tue informazioni.

Utilizza una rete privata virtuale (VPN)

È necessaria una VPN (rete privata virtuale) quando si accede alla rete aziendale tramite una connessione non protetta, come un punto di accesso wireless. Anche se un hacker riesce a piazzare nel mezzo della tua connessione, i dati su di esso saranno strongmente criptati. Dal momento che la maggior parte dei pirati preferisce una facile preda, non mettono in imbarazzo le informazioni rubate che richiedono un noioso processo di decrittazione.

Usa connessioni SSL

Anche se è improbabile che tu abbia una connessione VPN mentre navighi su Internet in generale, nulla ti impedisce di aggiungere un livello di crittografia alle tue comunicazioni. Abilitare "Usa sempre HTTPS" sui siti Web visitati di frequente o che richiedono di immettere le credenziali. Ricorda che i pirati sanno bene che gli utenti usano lo stesso login e password per i forum, la loro banca o la rete aziendale. L'invio di queste credenziali senza crittografia e potrebbe aprire una breccia in cui un abile hacker sarà ansioso di precipitarsi. La maggior parte dei siti Web che richiedono l'apertura di un account o l'immissione di dati di identificazione offrono l'opzione "HTTPS" nelle loro impostazioni.

Disattiva condivisione

Quando ti connetti a Internet in un luogo pubblico, è improbabile che tu voglia condividere qualcosa. In questo caso, puoi disattivare l'opzione di condivisione in Preferenze di Sistema o Pannello di controllo, a seconda del tuo sistema operativo, o lasciare che sia Windows a disattivarlo selezionando l'opzione "Pubblico" la prima volta che ti connetti a una nuova rete non protetta. / p>

Lascia la funzione wireless disattivata quando non è necessario

Anche se non si è connessi attivamente a una rete, l'apparecchiatura wireless che equipaggia il computer continua a trasmettere dati attraverso la rete o le reti situate a una certa distanza. Le misure di sicurezza sono state messe in atto per questo al minimo modo di comunicazione non compromette la sicurezza dei dati. Tuttavia, tutti i router wireless sono lontani dall'identico e gli hacker a volte possono essere intraprendenti. Se si utilizza il computer solo per lavorare su un documento Word o Excel, lasciare la funzionalità wifi disabilitata. Inoltre, la durata della batteria sarà ancora più lunga.

Se vuoi essere sicuro al 100%, non utilizzare un wifi aperto. Io uso il wifi aperto solo in tempi disperati quando sono bloccato in terre straniere ma solo per un rapido google o whatsapp.

L'utilizzo di una VPN consente un tunnel sicuro che ovviamente è buono, ma sono i passi che fai per assicurarti di aver fatto quel tunnel senza che nessuno ti veda, a seconda di come è configurato il VPN puoi comunque ottenere un attacco MitM usando un VPN. Dipende solo dalla tua configurazione.

Una volta che il dispositivo si trova su una rete e utilizza una VPN, ci si trova ancora su quella rete. La tua presenza è ancora lì. Hai ancora il rischio di farlo. È difficile dirlo, anche se esegui IPTABLES e blocchi tutte le porte sul tuo dispositivo (diverso dal 100% richiesto), allora potresti aiutarti a proteggerti. Ci sono molti modi per tenersi al sicuro su una via aerea aperta. Anche se ci sono anche altri modi per commettere errori.

vedi: Le reti VPNS sono vulnerabili ad attività attacco man in the middle?

So the question is: can an open wifi hotspot be considered secure when using a VPN or should you NEVER use open hotspots?

Analisi

La connessione a un hotspot aperto non è dissimile dal collegarsi direttamente a un hub locale in cui tutti gli utenti possono vedere tutto il traffico, che viene quindi connesso direttamente a Internet senza alcun firewall tra.

Pertanto, tutti gli hotspot aperti dovrebbero essere considerati ostili.

La soluzione ovvia: porta il tuo firewall e usa una VPN.

Opzione A: basata su hardware

• Utilizza un firewall hardware come una piccola pfSense (open source) box o un Ubiquiti Edgerouter Lite o un altro dispositivo simile

  • Avere un sito Web o una VPN lato client configurati su quel dispositivo che si connette automaticamente

  • Avere una porta "non attendibile" su quel dispositivo che è bloccata per consentire SOLTANTO le comunicazioni all'indirizzo IP del captive portal

    • Utilizza prima questa porta, per superare il captive portal, da un dispositivo o da una macchina virtuale senza altro scopo che quello di farlo (e probabilmente consentire il reindirizzamento DNS).

    • Modificare le regole per questa porta dal captive portal al captive portal; abilita solo il DNS quando non puoi accedere direttamente tramite IP.

  • Avere una porta attendibile su quel dispositivo che è bloccata per consentire SOLO le comunicazioni tramite la VPN e per accedere al dispositivo stesso.

    • Una volta bypassato il captive portal, utilizzare questa porta. Se la connessione VPN viene interrotta, questa porta perde semplicemente la connettività Internet.

Opzione B: macchina virtuale basata su hardware USB

• Come l'opzione A,

  • tranne che per l'hardware, vengono utilizzate macchine virtuali (VM)

  • Si accede a Hotspot con una scheda WiFi USB collegata direttamente al firewall pfSense o ad altre macchine virtuali firewall e VPN

  • Solo altre macchine virtuali ottengono la connettività di rete e quelle di altre macchine virtuali sono collegate da reti host-only.

  • Qualsiasi altra rete sull'hardware dell'host è disabilitata.

Opzione C: imbrogli rapidi e sporchi per ridurre l'esposizione

• NON buono come A o B; qui non stai usando il tuo vero firewall.

• Su una rete fidata, assicurati che la tua VPN particolare reindirizzi le comunicazioni anche quando si sta tentando (e fallendo) di connettersi, cioè che non permette alle applicazioni di parlare con l'Internet non elaborato mentre sta tentando di avviarsi, ma puo ' t perché non c'è ancora una rete

• Avere una scheda wifi USB; connettiti prima a un dispositivo o a una macchina virtuale utilizzata per nient'altro che oltrepassando il captive portal

  • E supera il captive portal

• Sulla tua macchina reale, disattiva tutte le altre reti come sopra.

• Sulla tua macchina reale, imposta il VPN per reindirizzare TUTTE le comunicazioni, incluso il DNS.

• Avvia la VPN sulla macchina reale

• Spostare la scheda USB Wifi sulla macchina reale; i portali in cattività tendono a funzionare per indirizzo MAC, quindi, in teoria, la VPN si connetterà correttamente

• Fai attenzione che la VPN non si spenga, consentendo alle tue comunicazioni di uscire su Internet.

Supponendo che il tuo computer sia configurato correttamente e sicuro, allora VPN tramite WiFi pubblico dovrebbe essere completamente soddisfacente. I dati sono crittografati, quindi dovrebbe essere impossibile per qualsiasi terza parte spiare.

Come altri hanno suggerito, il WiFi pubblico dovrebbe essere davvero l'ultima risorsa. Se possibile usa la tua connessione cellulare 4G. Il WiFi pubblico è di solito spazzatura comunque, e generalmente molto più lento di una buona connessione 4G.