Как обеспечить открытую точку доступа Wi-Fi


4

Я видел огромное количество руководств о том, как защитить себя при использовании общедоступного беспроводного подключения к Интернету, но ничего о том, как защитить ваш общедоступный пункт доступа от вредоносных пользователей.

Немного фона. Я купил эту малину Pi и до сих пор ничего полезного в этом не делал, и запасной USB-ключ Wi-Fi (с антенной). Поэтому я решил поделиться своим подключением к Интернету, когда я его не использую. Поэтому я установил hostapd, используйте dnsmasq для dhcp, прокси-сервер squid (прозрачный с портами перенаправления iptables с 80 по 3128). Обратите внимание, что я знаю, насколько короче срок службы моей SD-карты. Еще один момент, который вы не должны учитывать, - потребление пропускной способности, поскольку у меня есть настройка QoS на моем шлюзе и hve неограниченный интернет (стандарт здесь, во Франции)

Что я беспокоюсь, я не знаю, , какой вид Политика безопасности Я должен установить, чтобы предотвратить, скажем, кто-то, чтобы ввести злокачественную программу внутри малины pi, которая затем заразит не только каждого нового клиента в подсети Wireless, но и любого компьютера, подключенного к локальной сети.

Я также обеспокоен как защитить подключенный хост от другого вредоносного пользователя wifi. Имея такую ​​же озабоченность на работе, все, о чем я думал, было бы ARP, отравляющим каждый хост, говорящий, что любой MAC-адрес, отличный от их, является точкой доступа, но это кажется излишним и неэффективным.

Вот мои идеи:

  • Блок порт 443 на любой связи
  • Установка SquidGuard для обеспечения авторизованных/неавторизованных сайтов (я пробовал, слишком ресурсоемкие для RPI)
  • Ограничить взаимодействия на (кроме интернет-шлюза) на SSH с моего компьютера и HTTP для моих инструментов мониторинга

Что у меня уже есть в качестве меры безопасности:

  • нестандартных паролей для локальных пользователей
  • sshd не прослушивает беспроводной интерфейс
  • httpd не прослушивает беспроводной интерфейс
  • регулярные резервные копии моих squid журналов на других носителях в случае запрашивает какой-либо источник права для них ?

Итак, что еще мне нужно настроить, согласно вам?

  0

Semi, связанные с: http://security.stackexchange.com/questions/2214/security -Удаление использования-a-public-password-for-free-wifi 08 авг. 132013-08-08 19:58:01

+1

По теме: [Почему Ричард Столлман рекомендовал не использовать пароли для беспроводных сетей?] (http: //security.stackexchange.com/q/109823/32746), а также [Как открытые (без пароля) беспроводные сети имеют дело со злоупотреблением?] (http://security.stackexchange.com/q/39143/32746). 24 янв. 162016-01-24 14:36:01

5

Общественная точка доступа общественность. Это означает, что никто может подключиться к нему и использовать его. Таким образом, «защита точки доступа от вредоносных пользователей» не является четко определенной целью. Точка доступа не имеет секретных данных, чтобы сохранять конфиденциальность или ограниченную услугу, предлагаемую только авторизованным пользователям. Это публично.

То, что вы можете захотеть, чтобы защитить пользователей друг от друга: вы не хотите, один пользователь точки общественного доступа, чтобы иметь возможность перехватывать других пользователей или изменить свои данные, или даже просто разрушающие связи. Это проблема крупных сайтов, которые действительно хотят предоставить «бесплатный WiFi» для многих людей, но имеют повторяющуюся проблему с антиобщественными пользователями.

Получается, что вы не можете. Криптографические элементы протокола WiFi предназначены для:

  1. Принудительно аутентификации, держа людей из соединения, если точка доступа не общественности, но требует проверки подлинности.

  2. Запрет подслушивания на подключении должным образом подключенного пользователя от людей, которые не подключен.

Однако ничто в протоколе Wi-Fi не предназначалось для предотвращения двух шпионских подключений пользователей друг от друга. С помощью общедоступного Wi-Fi каждый может подключиться (по определению), чтобы каждый мог следить за каждым.

Преодоление вашей точки доступа, например. блокируя порт 443, не будет обеспечивать никакой безопасности, кроме как в следующем смысле: если точка доступа становится непригодной из-за слишком строгих ограничений, то люди не будут ее использовать, и, следовательно, проблема шпионажа исчезает: нет атакованных пользователь, если нет пользователя вообще. Но для остальных пользователей блокирующий порт 443 только делает свою ситуацию хуже: это не только не мешает другим пользователям отслеживать свой трафик, но также мешает им защищаться, используя HTTPS-браузер, когда это возможно.


Вы, кажется, знаете, что «правовые источники» могут запрашивать журналы. Правовая ситуация на самом деле хуже (для вас):

  • К охотно работает открытая точка доступа, вы стать провайдеромуслуг, поэтому вы обязаны всеми правилами, прикрепленных к этому состоянию.ARCEP может предоставить вам соответствующую информацию, но следует предупредить, что это выходит далеко за рамки простых журналов кальмаров.

  • Ваш собственный доступ в Интернет был предоставлен вам на основании договора, который прямо запрещает совместное использование за пределами «домашнего использования». Если вы выступаете в качестве поставщика услуг (это то, что вы пытаетесь сделать), то вы явно нарушаете условия этого контракта, и ваш интернет-провайдер может законным образом закрыть ваш доступ.

  • Если кто-то использует вашу точку доступа, чтобы затем заниматься «незаконными действиями» (например, атаковать другие сайты), то вы можете считаться соучастником. В этом суть правил ARCEP: зарегистрированные поставщики услуг могут требовать освобождения, так как телефонные компании не попадают в юридические проблемы, когда преступники замышляют преступление, звонив друг другу. Это освобождение не предоставляется автоматически любому случайному гражданину, который подключает точку доступа WiFi.

Таким образом, при использовании вашей собственной точки доступа общего доступа, как раз и есть, действительно плохая идея, однако щедрый основной принцип может показаться на первый взгляд.

  0

Ну, как не то, что я надеялся, это вся информация, которая мне действительно нужна, спасибо. 08 авг. 132013-08-08 23:02:20

  0

Мои контракты действительно указывают, что мой доступ должен использоваться только мной и всеми, кто живет под моим корнем, но не передается никому другому. (в который также войдут друзья, посещающие ...). То же самое с ARCEP, я должен быть объявлен. 08 авг. 132013-08-08 23:13:11


4

Если вы хотите безопасную точку доступа, не имеете открытой точки доступа.

Общественная точка доступа по определению небезопасна. Блокирующий порт 443 фактически саботирует безопасность людей в вашей общедоступной точке доступа. Вы не можете защитить общедоступную точку доступа. Все, что вы можете сделать, это настроить службу создания учетной записи, которая размещена, изолирована в общедоступной беспроводной сети, и заставить ее создавать пользователей, чтобы они могли подключаться к сети WPA предприятия. Это позволит вам иметь разные беспроводные ключи для каждого пользователя и, таким образом, сохранять их в безопасности и изолировать.

Хосты, использующие вашу точку доступа, могут использовать VPN-соединения и SSL для туннелирования своего трафика по небезопасной сети, но поскольку AP не может ничего сделать. Трафик между AP и клиентом должен быть незашифрованным, поскольку вы используете открытую точку доступа, и, таким образом, каждый может забрать или ввести информацию в трафик.

Кроме того, вы хотите физически разместить публичную точку доступа вне вашей сети. Настройте общедоступную сеть за пределами основного маршрутизатора, а затем с помощью внутреннего маршрутизатора, рассматривайте эту общедоступную сеть так же, как вы рассматриваете интернет-трафик. Вы можете сделать то же самое с VLans, если ваше оборудование поддерживает его, но просто размещение публичной точки доступа вне сети - самая безопасная ставка.


2

По мере появления новых технологий я добавлю еще один ответ, чтобы защитить точку доступа публики.

  • Теперь некоторые маршрутизаторы позволяют вам сделать вашу WLAN более безопасной между каждым устройством. Поскольку я согласен с Томом Ликом;

То, что вы можете захотеть, чтобы защитить пользователей друг от друга: вы не хотите один пользователь точки общественного доступа, чтобы иметь возможность перехватывать других пользователей или изменить свои данные, или даже просто нарушая связь . Это проблема больших сайтов, которые действительно хотят для предоставления «бесплатного WiFi» для многих людей, но имеют повторяющуюся проблему с антиобщественными пользователями.

Цитата из SonicWall, чтобы показать эту функцию;

По умолчанию SonicWALL блокирует межклиентскую связь на беспроводной зоне в качестве меры безопасности. Следовательно, беспроводные устройства не могут связываться друг с другом.

Вы можете увидеть KB there, чтобы вы могли отредактировать некоторый ACL, чтобы разрешить взаимодействие между WLAN.

Маршрутизатор маркой другого бренда, безусловно, имеет такую ​​функцию.

  • Другой момент, я настоятельно рекомендую сделать VLAN WLAN, чтобы полностью изолировать трафик от вашей ЛВС.

  • Последнее, что я предлагаю, - использовать другой публичный IP-адрес для этой зоны WLAN. Как и в примере, если пользователь заражаются и отправить много спама, ваш публичный IP не будет занесен в черный список в списке RBL в