Come proteggere un punto di accesso wifi aperto

Naviga le tue risposte
5

Ho visto una quantità enorme di guide su come proteggersi quando si utilizza una connessione Internet wireless pubblica, ma nulla su come proteggere il proprio punto di accesso pubblico da parte di utenti malintenzionati.

Un po 'di background. Avevo comprato questo Raspberry Pi e ancora niente di utile da fare con esso, e un dongle USB WiFi di riserva (con un'antenna). Così ho deciso di condividere la mia connessione internet quando non la sto usando. Quindi ho installato hostapd, uso dnsmasq per dhcp, un server proxy squid (trasparente con iptables che reindirizza la porta da 80 a 3128). Nota qui che sono a conoscenza di quanto breve sarà la vita della mia scheda SD. Un altro punto che non dovresti considerare è il consumo di utilizzo della larghezza di banda, dal momento che ho configurato QoS sul mio gateway e ho accesso a Internet illimitato (standard qui, in Francia)

Ciò di cui sono preoccupato è che non ho idea di quale tipo di politica di sicurezza devo impostare per impedire, per esempio, a qualcuno di iniettare un programma dannoso all'interno del raspberry pi che quindi non infetterà solo ogni nuovo client nella subnet Wireless, ma qualsiasi computer che ho collegato alla LAN locale.

Inoltre mi preoccupo di come proteggere qualsiasi host connesso da un altro utente wifi dannoso. Avendo avuto la stessa preoccupazione una volta al lavoro, tutto ciò a cui pensavo sarebbe stato l'avvelenamento da ARP ogni host che diceva che ogni indirizzo MAC diverso dal loro è il punto di accesso, ma che sembra eccessivo e inefficiente.

Ecco le mie idee:

  • Blocca la porta 443 su qualsiasi connessione
  • Installa SquidGuard per forzare i siti Web autorizzati / non autorizzati (ho provato, troppo intensivo della CPU per un RPi)
  • Limita le interazioni sulla rete locale (eccetto il gateway Internet) a SSH dal mio computer e HTTP per i miei strumenti di monitoraggio

Quello che ho già come misura di sicurezza:

  • password non standard per utenti locali
  • sshd non in ascolto sull'interfaccia wireless
  • httpd non in ascolto sull'interfaccia wireless
  • I backup regolari di squid vengono registrati su un supporto offline nel caso in cui una fonte legale li richieda?

Quindi, che altro dovrei impostare, secondo te?

    
posta mveroone 08.08.2013 - 21:07
fonte

3 risposte

5

Un punto di accesso pubblico è pubblico . Ciò significa che chiunque può connettersi ad esso e usarlo. Pertanto, "proteggere il punto di accesso dagli utenti malintenzionati" non è un obiettivo ben definito. Il punto di accesso non ha dati segreti da mantenere riservati, o un servizio limitato da offrire solo agli utenti autorizzati. È pubblico.

Ciò che potresti desiderare è proteggere gli utenti gli uni dagli altri : non vuoi che un utente del punto di accesso pubblico sia in grado di intercettare altri utenti o modificare i loro dati, o persino semplicemente interrompendo le comunicazioni. Questa è una problematica dei grandi siti che vogliono veramente fornire "WiFi gratuito" per molte persone ma hanno un problema ricorrente di utenti antisociali.

Si scopre che non puoi . Gli elementi crittografici nel protocollo WiFi sono pensati per:

  1. Applicare l'autenticazione, tenendo le persone fuori dalla connessione se il punto di accesso è non pubblico, ma richiede l'autenticazione.

  2. Impedisci l'intercettazione sulla connessione di utenti debitamente connessi da persone che sono non connesse.

Tuttavia, nulla nel protocollo WiFi è stato progettato per impedire a due utenti connessi di spiare l'uno sull'altro. Con un WiFi pubblico, tutti possono connettersi (per definizione), in modo che tutti possano spiare tutti.

Cripta il tuo punto di accesso, ad es. bloccando la porta 443, non porterà alcun tipo di sicurezza, tranne nel seguente senso: se il punto di accesso è reso inutilizzabile a causa di restrizioni troppo rigide, la gente non lo userà, e quindi il problema dello spionaggio scomparirà: non vi è alcun attacco utente se non c'è nessun utente . Ma per gli utenti rimanenti, bloccare la porta 443 rende la loro situazione peggiore : non solo impedisce agli altri utenti di spiare il proprio traffico, ma impedisce anche a loro di difendersi usando la navigazione HTTPS quando possibile .

Sembra che tu sappia che "le fonti legali" possono richiedere i log. La situazione legale è in realtà peggiore (per te):

  • Eseguendo volontariamente un punto di accesso aperto, sei diventato un fornitore di servizi , quindi sei vincolato da tutte le norme allegate a tale stato. ARCEP potrebbe fornirti le informazioni pertinenti, ma tieni presente che ciò va ben oltre i semplici log di calamari.

  • Il tuo accesso a Internet ti è stato fornito in base a un contratto che proibisce esplicitamente la condivisione oltre "l'uso domestico". Se agisci come fornitore di servizi (è quello che stai cercando di fare), allora sei in palese violazione dei termini di quel contratto, e il tuo ISP potrebbe legittimamente chiudere l'accesso.

  • Se qualcuno utilizza il tuo punto di accesso per impegnarsi in "attività illegali" (ad esempio, attaccando altri siti), potresti essere considerato complice. Questo è il punto delle norme ARCEP: i fornitori di servizi registrati possono richiedere l'esenzione, nel modo in cui le compagnie telefoniche non entrano in difficoltà legali quando i criminali complottano il crimine telefonandoci a vicenda. Questa esenzione non viene concessa automaticamente a qualsiasi cittadino casuale che collega un punto di accesso WiFi.

Quindi, gestire il tuo punto di accesso pubblico, proprio così, è davvero una cattiva idea, per quanto generoso possa sembrare il principio di base a prima vista.

    
risposta data 08.08.2013 - 21:47
fonte
4

Se desideri un punto di accesso sicuro, non disporre di un punto di accesso pubblico.

Un punto di accesso pubblico è per definizione insicuro. Il blocco della porta 443 in realtà saboterà la sicurezza delle persone sul tuo punto di accesso pubblico. Non è possibile proteggere un punto di accesso pubblico. Tutto quello che puoi fare è impostare un servizio di creazione di account che sia ospitato, isolato sulla rete wireless pubblica e che generi utenti per consentire loro di connettersi a una rete WPA aziendale. Ciò consentirebbe di avere diverse chiavi wireless per ciascun utente e quindi di mantenerle sicure e isolate.

Gli host che usano il tuo AP potrebbero usare le connessioni VPN e SSL per tunnelizzare il loro traffico su una rete non sicura, ma come AP non c'è nulla che tu possa fare. Il traffico tra l'AP e il client deve essere non criptato poiché si sta eseguendo un AP aperto e quindi chiunque potrebbe raccogliere o iniettare informazioni nel traffico.

Inoltre, vuoi posizionare fisicamente l'AP pubblico fuori dalla tua rete. Impostare una rete pubblica al di fuori del router principale e quindi con il router interno, considerare tale rete pubblica come se si trattasse del traffico Internet. Potresti ottenere la stessa cosa con VLans se il tuo hardware lo supporta, ma semplicemente mettere l'AP pubblico fuori dalla rete è la scommessa più sicura.

    
risposta data 08.08.2013 - 21:17
fonte
2

Con l'arrivo della nuova tecnologia, aggiungerò un'altra risposta per proteggere un punto di accesso del pubblico.

  • Ora alcuni router ti consentono di rendere la tua WLAN più sicura tra ogni dispositivo. Come concordo con Tom Leek;

What you might want is to protect users from each other: you don't want one user of the public access point to be able to eavesdrop on other users, or alter their data, or even simply disrupting communications. This is a problematic of big sites which really want to provide "free WiFi" for a lot of people but have a recurrent problem of antisocial users.

La citazione di SonicWall per mostrare la funzione;

By default, SonicWALL blocks inter-client communication on the Wireless Zone as a security measure. Therefore, wireless devices cannot communicate with each other.

Puoi vedere un KB , per costringerti a modificare alcuni ACL per consentire la comunicazione inter-WLAN.

Il router di marca di altri importanti ha sicuramente anche questa caratteristica.

  • L'altro punto è che consiglio vivamente di creare una VLAN WLAN, per isolare completamente il traffico dalla tua LAN.

  • L'ultimo punto che suggerisco è di usare un altro IP pubblico per quella zona WLAN. Come nell'esempio se un utente viene infettato e invia un sacco di spam, il tuo IP pubblico non verrà inserito nella lista nera nella lista di RBL

risposta data 21.03.2017 - 16:43
fonte

Leggi altre domande sui tag

È possibile rilevare le modifiche alla chiave privata SSL? Perché permettiamo che i certificati SSL vengano sostituiti prima della loro data di scadenza, senza la revoca di altri?