Szyfrowanie internetu radiowego

[tarest]

Hej,

Mój provider internetowy podłączył mnie do Internetu przez nieszyfrowane WiFi. Z tego co czytam, jest to często spotykane. Przykładowo oto co ktoś napisał w Wikipedii w maju 2009 roku (http://pl.wikipedia.org/wiki/Wi-Fi#Bezp ... _Internetu):

Zdecydowana większość punktów dostępowych oferuje dostęp do Internetu przez nieszyfrowane łącze 802.11b (11 Mb/s). Dostępne za darmo narzędzia (Wireshark (dawniej Ethereal), ettercap) umożliwiające podsłuchanie każdej wiadomości przesyłanej w takiej sieci. Część ISP próbuje zwalczyć ten problem umożliwiając wykupienie szyfrowanego kanału VPN, ale zwykle wiąże się to ze znaczącym kosztem. Sygnał pomiędzy stacjami bazowymi dosyłany jest poprzez mosty bezprzewodowe (pracujące najczęściej na częstotliwości 5GHz).

Z tego co rozumiem nieszyfrowane połączenia łatwo mogą paść ofiarą sniffingu. Temat był poruszony w wątku http://www.bez-kabli.pl/viewtopic.php?t=15276:

Znacznie groźniejsza jest możliwość podsłuchiwania sieci WiFi przez obcych (włamywacz, złodziej, szpieg przemysłowy itp.) dlatego każda sieć [tu ISP] powinna być szyfrowana minimum WPA (WEP jest zbyt łatwy do złamania). Nawet protokół pppoe nie zabezpiecza przed podsłuchem/włamaniem.

W Internecie często pojawiają się opinie, że szyfrowanie połączenia ISP przez WiFi obciąża system. Chociaż z drugiej strony o ile pamiętam twórca Firesheep'a powiedział że szyfrowanie obciąża system w znikomym stopniu.

Jak to wszystko wygląda w praktyce? Czy dostawcy internetu bezprzewodowego powinni go szyfrować?

[key]

W Internecie często pojawiają się opinie, że szyfrowanie połączenia ISP przez WiFi obciąża system

Srednio. Szyfrowanie moze przebiegac softwarowo, ale najczesciej jest czescia chipseta, wiec jest robiona w hardware, bez obciazania systemu.

Czy dostawcy internetu bezprzewodowego powinni go szyfrować?

Zalezy. W pewnych konfiguracjach, szyfrowanie nie jest wskazane (n.p. publiczne punkty dostepu jak hotele, lotniska, kafejki...). Zawsze mozesz dolozyc prywatne szyfrowanie transmisji, n.p. przez VPN.

[Patryk]

To, że w warstwie radiowej nie ma szyfrowania nie oznacza wcale, że sieć na pewno nie jest zabezpieczona.
W takiej sieci może (i z resztą często jest) wdrożony PPPoE, a nawet bywa, że wszystko opiera się o openvpn.

[tarest]

Jak mogę sprawdzić czy dostawca Internetu używa PPPoE lub VPN? Czy mogę to sprawdzić w konfuguracji Access Pointa (pracującym w trybie Client)? Czy też nie da się tego sprawdzić i muszę się dowiedzieć telefonicznie?

Czy mogę samodzielnie dodać VPN ale nie do dostępu do serwera firmowego, a na przykład w celu bezpieczniejszego logowania się na fora internetowe które nie używają https? Czy jednak w takim przypadku jedynie dostawca Internetu może założyć VPN?

W pewnych konfiguracjach, szyfrowanie nie jest wskazane (n.p. publiczne punkty dostepu jak hotele, lotniska, kafejki...).

Na marginesie naszej rozmowy, na stronie http://www.grc.com/sn/sn-272.htm piszą, że publiczne punkty dostepu jak hotele, lotniska, kafejki także powinny być szyfrowane używając WPA[2] z powszechnie znanym hasłem. Szyfrowanie nawet z powszechnie znanym hasłem izoluje użytkowników między sobą. W przypadku braku szyfrowania lub szyfrowania WEP możliwy jest sniffing gdy serwis nie używa https. A gdy go używa to, jak podaje twórca Firesheep, nadal możliwe jest przechwycenie sesji w takich serwisach jak Facebook, Flickr, Twitter itd. podsłuchując niezaszyfrowane ciasteczko (serwisy te szyfrują tylko proces logowania).

Added:
Moja sieć nie jest hotspotem/publicznym punktem dostępu.
Mam access point (używany w trybie Client) NanoStation loco M5 z systemem operacyjnym AirOS 5.2.1. Sprawdziłem konfigurację i o ile się nie mylę PPPoE nie jest skonfigurowane. PPPoE konfiguruje się chyba tak jak na zdjęciu zamieszczonym w dokumentacji AirOS: http://ubnt.com/w/images/4/44/Airos52_n ... router.png . U mnie jednak w polu "WLAN IP Address" zaznaczone jest "DHCP" a nie "PPPoE" i pola "PPPoE Username/Password" itd nie wyświetlają się.
Link do dokumentacji: http://ubnt.com/wiki/AirOS_5.2#LAN_Network_Settings > PPPoE ("WAN Network Settings" chyba są mylnie opisane w dokumentacji jako "LAN Network Settings").

[Jo_gurt]

Czy mogę samodzielnie dodać VPN ale nie do dostępu do serwera firmowego, a na przykład w celu bezpieczniejszego logowania się na fora internetowe które nie używają https?

Przez VPN musisz się łączyć gdzieś. Nie można tak po prostu zrobić sobie VPNa.

Szyfrowanie nawet z powszechnie znanym hasłem izoluje użytkowników między sobą.

To jest akurat nieprawdziwe stwierdzenie, chociaż chyba wiem o co chodzi autorowi. Chodzi o to, że łapiąc ramki zaszyfrowane AESem czy czymś podobnym, nie da się ich tak łatwo odszyfrować nawet po przechwyceniu odpowiedniej ilości. Natomiast jeśli hasło jest powszechnie znane to i tak średnio bezpieczne.

[key]

Jak mogę sprawdzić czy dostawca Internetu używa PPPoE lub VPN?

W konfiguracji twojego klienta. VPN czesto robiony jest przy pomocy dodatkowego softu.

Czy mogę samodzielnie dodać VPN

Jesli masz maszyne gdzies w sieci, to mozesz. Router u tescia albo serwer w firmie wystarczy.

Na marginesie naszej rozmowy, na stronie http://www.grc.com/sn/sn-272.htm piszą, że publiczne punkty dostepu jak hotele, lotniska, kafejki także powinny być szyfrowane używając WPA[2] z powszechnie znanym hasłem.

Bullshit. Nie panujesz nad klientami, tym samym nie mozesz wykluczyc maszyn nie kompatybilnych I uzytkownikow ktorzy nie sa w stanie skonfigurowac polaczenia. A pani Zosia na recepcji moze swietnie robic swoja robote, ale niekoniecznie musi byc specem od sieci bezprzewodowych.

Szyfrowanie nawet z powszechnie znanym hasłem izoluje użytkowników między sobą.

Szyfrujesz tylko I wylacznie kanal. Po podlaczeniu do sieci masz pelen dostep do tego co w niej przebiega. Przy izolacji klientow jest male utrudnienie, ale tez do obejscia.

[tarest]

W konfiguracji twojego klienta. VPN czesto robiony jest przy pomocy dodatkowego softu.

Nie mam zainstalowanego żadnego klienta VPN na komputerze, w access poincie też nie widziałem żadnych ustawień VPN.

W takim razie u mojego ISP nie ma szyfrowania WPA, PPPoE ani VPN.

Mam jeszcze jedno pytanie: żeby PPPoE był jakimś zabezpieczeniem przed sniffingiem to czy trzeba włączyć PPPoE Encryption? (checkbox na stronie
http://ubnt.com/w/images/4/44/Airos52_n ... router.png). Pytam się bo wiem że jeden z operatorów do którego mam zasięg ma PPPoE.

Added:
Znalazłem już odpowiedź: W PPPoE powinno być włączone szyfrowanie. W przeciwnym wypadku nic poza hasłem użytkownika nie będzie zaszyfrowane i o ile się nie mylę PPPoE nie będzie zabezpieczeniem przed sniffingiem.