VPN byste také měli používat vždy, když jste připojeni na nějakou veřejnou Wi-Fi, protože nikdy nevíte, komu ta síť patří a jaké má úmysly.
Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)? Absolutně žádný. V obou případech je to síť, kterou nemá pod kontrolou a která je tedy a priori nedůvěryhodná, takže by pro jakýkoli citlivý provoz měl používat šifrování a autentizaci - což ale na druhou stranu neznamená hned nutně VPN.
Důvěřovat může nanejvýš tak lokálnímu ethernetu, který si sám natahal doma nebo v kanceláři (pokud tedy není paranoidní opravdu hodně), dělat rozdíl mezi "nějakou veřejnou Wi-Fi" a běžným domácím (nebo dokonce mobilním) připojením je z bezpečnostního hlediska hrubá chyba.
S DNS servery 8.8.8.8/8.8.4.4 počítejte také tak u poloviny místních menších ISP, kteří nejsou ochotni/schopni ani provozovat svůj DNS resolver. Tak sice Vám dají jejich IP adresy DNS serverů, ale v lepším případě z těch svých DNS IP adres jen udělají DSTNAT na 8.8.8.8/8.8.4.4 (v horším na to použijí DNS forwarder v Mikrotiku a jsou specialisti, co těch forwarderů ve své síti mezí zákazníka a DNS google včlení klidně i 5).
Poblém je v tom DNS forwarderu, co je v Mikrotikách, v jejich RouerOS. Je těžce zprasen a pomalý. Pokud běží na domácím orutereu pro 5 uživatleů, tak řekněme OK, Ale jak na něj nasměřuji větší provoz a nejlépe několika zřetězených, tak začne brzdit provoz a u řady lidí pak dochází i k timeoutům na DNS dotazy. Takže pokud místo toho Mikrotik forwarderu to pošle ISPík přes DSTNAT dál, tak i když si tím udělá větší provoz na uplinku, tak uživatle má dopovědi svožněji.
Obvkyle tak dojde u těch garážovek k nasazneí toho DNS, v prvotním hurá to pustí na nějakém Mikrotiku, když to po čase začne kravit, tak neví co s tím a v panice místo něj provedou DSTNAT na 8.8.8.8/8.8.4.4a najednou vše zase funguje, tak to tak nechají být. Těch co dospěje k vlasntímu plnotučnému rekurzivnímu resolveru je pár....
A to u toho Mikrotik firwarderu pomíjím občasné podivnosti při práci s UDP pakety nad 512 bajtů, měli nějak pomotané EDNS0, ale to snad už opravili, taktéž některé atypické DNS záznamy občas podivně snášel.
Špehovací DNS? To se povedlo. Ve volném čase si prostuduj, jak vůbec DNS funguje, není to zrovna relevantní zdroj informací na jakékoliv špehování.
Zrovna DNS serverům Googlu bych důvěřoval mnohem víc než kdejakému krámu na letišti nebo u garážového providera, který se nestará o bezpečnost nebo aktualizace a jeho infrastruktura může být klidně náchylná na DNS poisoning.
Ukradeni DNS zony, prip. z toho vyplyvajici nachylnosti na poisoning, je chybou samotneho DNS a jedine reseni je DNSSEC. S firmou provozovatele DNS serveru to ma minimalni souvislost.
Pokud ma nekdo pristup k obsahu (napr. reklamnimu) a zaroven DNS, tak muze delat velka kouzla. S panem P2010 souhlasim.
Mohl byste vysvetlit, jak si takove zneuziti predstavujete? Pokud vim, tak DNS je nizkourovnovy protokol. Kdy se posle pozadavek treba 'host lupa.cz' a jako odpoved se vam vrati 91.213.160.123. To by teoreticky mohl Google zjistit, ze se zajimate o server lupa. Jenze problem je, ze vetsina lidi nema verejnou IP adresu. Tzn. je schovana za NATem sveho providera spolecne s 0-n dalsima lidma. Takze podle me akorat zjistil, ze nekdo, kdo ma pripojeni od O2 nebo UPC, se chce podivat na server Lupa.cz. Presne tak, jak to zobrazuje Lupa v nadpisu vaseho prispevku.
Zneuziti samozrejme muze byt, pokud vas zacne presmerovavat nekam jinam, nez chcete. Ale to je zatim minimalne silne neeticke a ve vetsine statu asi i nelegalni (a google by si tim kopal vlastni hrob).
Popripade vas provider by toho mohl zneuzit, ale google podle me nema jak.
"Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)?"
V počtu lidí kteří se můžou chtít dostat do tvého pc/telefonu?
Když je pentrace 1 kvalitní hakr/pět debilních idiotů s jednotlačítkovým aircrackem/10000 lidí, a doma je v dosahu tvého wifi 20 lidí a na Florenci 2000, jaká je pravděpodobnost?
"Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)?"
Já tedy vidím obrovský rozdíl. V případě zabezpečené domácí WiFi mohou moji komunikaci dešifrovat jen lidé se znalostí klíče (a to jen v případě PSK autentizace).
Na veřejné WiFi to může udělat naprosto kdokoli.
Na veřejné WiFi je používat VPN, protože i ty zabezpečené protokoly na vás vykecají kam se připojujete (IP adresa, TLS/SNI...). A DNS dotazy jsou samozřejmě zcela nezabezpečené. Validace DNSSEC přímo na vašem počítači se nedělá (pokud nemáte nainstalovanou příslušnou aplikaci). Pro mail se v drtivé většině používá pouze oportunistické šifrování, které lze snadno vypnout a uživatel ani nic nemusí poznat.
No a pak tu máme protokoly, které měly už dávno skončit v propadlišti dějin - HTTP a FTP. A tady jsou sakra dobré důvody použít VPN, pokud jste na veřejné WiFi.
Nejde jen o to, že by někdo mohl odposlouchávat hesla, ale kdokoli může měnit obsah.
Pak se také může stát, že vám někdo do HTTP odpovědi přidá ne úplně neškodný kus kódu...
Neříkám, źe je úplně správné se spoléhat na bezpečnost domácí WiFi, ale určitě bych ji věřil víc než nějaké veřejné.
Jestli to nebude tim, jak moc jste naivni. Na vasi domaci wifi se muze pripojit naprosto kdokoli, kdo i jen treba tusi, jak na to. Nemusi ani vedet, jak to funguje.
Win 10 pak prinaseji nove vymozenosti ... sdileni s vasimi "prateli", takze zabezpeceni vsech (nejen) wifi siti je presne 0. Pokud si doma neprovozujete od internetu fyzicky oddelenou LAN, tak ani takovou sit nelze povazovat za bezpecnou.
P. uvádí, že používá na wifi EAP-TLS, tam žádné heslo není, ale klient se proti AP ověřuje certifikátem.
Myslím, že ani Win10 neodešle všem sociálním přátelům certifikát i s tajným klíčem ze svého systémového úložiště. Stejně jak by neměl odesílat nic ani při dalších EAP metodách.
U domácí sítě použití EAP místo prostého sdíleného PSK "hesla" je trochu exotické, ale ve firemním prostředí je to trochu častější.
Co pořád máte s těmi Windows 10???
Heslo od mé WiFi nikomu dát nemůžu, protože se všechna zařízení autentizují certifikátem.
WiFi nemám zabezpečenou kvůli tomu, že používám nezabezpečené protokoly, ale proto, že i ty zabezpečené vykecají zbytečně moc věcí.
To, že ty informace uvidí můj ISP a každý na trase mi zase tak žíly netrhá. Horší je představa, že tyto informace každý vidí, pokud jsem připojený na nějaké veřejné WiFi.
A to samé platí i o HTTP. Provider (alespoň tedy v ČR) mi nebude falšovat HTTP komunikacil. Zato někde v kavárně na free WiFi je dost možné, že to někdo bude dělat (a to zcela anonymně).
Nebojte, nespikli jsme se proti Win10, jen se ony spikly proti nám :)
"The updated terms also state that Microsoft will collect information “from you and your devices, including for example ‘app use data for apps that run on Windows’ and ‘data about the networks you connect to.'”"
- http://thenextweb.com/microsoft/2015/07/29/wind-nos/
V případě zabezpečené domácí WiFi mohou moji komunikaci dešifrovat jen lidé se znalostí klíče (a to jen v případě PSK autentizace).
A co se tím řeší? Nic. Ta vaše zabezpečená domácí Wi-Fi, i v případě, že opravdu bezpečná je, řeší přesně jen ten kousek k AP, maximálně k vašemu přístupovému routeru. Pokud ale nemáte pod kontrolou celou cestu mezi oběma koncovými body, pak je komunikace a priori nedůvěryhodná a je potřeba použít nějakou formu šifrování a autentizace (což ale nemusí být nutně hned VPN). To, jak moc nedůvěryhodná je last mile, je naprosto irelevantní; pokud nemůžu věřit celé cestě, je to spojení a priori nedůvěryhodné a musím se podle toho zařídit.
Takže když budu chtít spravovat svůj server, použiju SSH (s ověřeným klíčem), když budu chtít přistupovat do e-bankingu, použiju HTTPS (s ověřeným klíčem banky). Když budu potřebovat vzdáleně udělat něco v práci, pustím si na to VPN. Ale co je důležité, úplně stejně budu postupovat bez ohledu na to, jestli sedím doma, v práci nebo na nějaké té podezřelé veřejné Wi-Fi. (Na rozdíl od většiny lidí nic z toho ale zásadně nedělám z cizího počítače.) Věřit tomu, že domácí připojení je bezpečné a veřejná Wi-Fi ne, to je z bezpečnostního hlediska naprostý nesmysl. Stejně jako
No a pak tu máme protokoly, které měly už dávno skončit v propadlišti dějin - HTTP a FTP. A tady jsou sakra dobré důvody použít VPN, pokud jste na veřejné WiFi.
I tady platí, že pokud je problémem prozrazení citlivých dat nebo podvržení falešných, můžu nezabezpečené protokoly použít jen tam, kde můžu věřit celé cestě mezi mnou a serverem. A opět je úplně jedno, jestli sedím doma, v práci nebo někde v obchoďáku.
Podsouváte mi názor, který jsem nikdy nevyjádřil, v závěru si protiřečíte, no a pokud chcete používat cizí termíny jako "a priori", tak se ujistěte, že pasují do kontextu.
Připojení skrze veřejnou WiFi a domácí síť znamená z hlediska bezpečnosti podstatný rozdíl. V případě domácí sítě má možnost šmírovat provoz relativně úzký okruh lidí, které víceméně není problém identifikovat. Na veřejné WiFi se za den vystřídají desítky a někde možná i stovky zcela anonymních a obtížně identifikovatelných lidí (pokud vůbec).
Samozřejmě, že využívám pouze zabezpečené protokoly (s výjimkou HTTP, k tomu se ještě vrátím) a to kdekoli.
Váš názor, že nezabezpečené protokoly lze používat v sítích, kterým zcela důvěřuji je směšně naivní. O opaku by vás přesvědčily ty spousty firem, kterým se podobné úvahy hrubě nevyplatily.
Bohužel i ony zabezpečené protokoly toho na vás dost vykecají (IP adresy, kam se připojujete, jaký využíváte protokol, DNS vykecá doménové jméno a když ho nevykecá DNS, tak ho vykecá SNI u TLS).
No a pak tu máme HTTP. Ať chcete nebo ne, tomuto archaickému protokolu, který už měl být dávno pohřbený, se jen těžko vyhnete, pokud chcete chodit na všechny své oblíbené stránky.
Právě tady začíná ta pravá legrace. Do HTTP vám může kdokoli přidat cokoli a vy si ničeho nemusíte všimnout. V USA přidávají někteří provadeři reklamu, v Číně dokonce škodlivý kód... U nás si to naštěstí většina ISP nedovolí.
Proto zastávám názor, že na veřejných WiFi je nutné používat VPN a o tom také byla původní debata, než jste mi začal podsouvat názory, které jsem nikde nevyslovil.
Jeden o voze, druhý o koze... Vy pořád zarputile řešíte jen ten první hop, mne zajímá celá cesta. Pro mne nemá smysl řešit, jestli je první kousek cesty "bezpečný" nebo "nebezpečný", když celý zbytek stejně vede přes sítě, o kterých nevím nic a kterým důvěřovat nemůžu.
Spíš na rozdíl od vás chápe, že
Ale začíná mi být jasné marnost mé snahy něco vysvětlovat lidem, kteří tyhle věci nechápou.
Nechápe a chápat nechce...
"Internet není je web"
Kde tvrdím opak?
"VPN není nástroj umožňující HTTP(S) requesty odtunelovat k nějaké proxy, aby se tvářily, že jsou z ní; to je jen jeden naprosto podružný způsob využití"
Co má proxy spolećného s VPN?
"bezpečnost síťové komunikace je mnohem širší a zajímavější problematika než pouhé pozérské šílení nad tím, kdo mne "šmíruje""?
Definujte pozérské šílení a nepozérské šílení. Hrozba buď je a nebo není.
Také nejde jen o to šmírování, ale třeba o modifikaci HTTP obsahu.
Jistě, může to dělat i ISP, ale ten si to nejspíš netroufne. Daleko větší riziko je na veřejné WiFi.
Také se asi nebudete procházet v noci po cikánském sídlišti, kde je riziko nějakého konfliktu daleko vyšší.
"Ale začíná mi být jasné marnost mé snahy něco vysvětlovat lidem, kteří tyhle věci nechápou."
Mé nic vysvětlovat nemusíte, já od vás ani žádné rady nepotřebuji. Myslím, že v oboru bezpečnosti počítačových sítí mám větší kvalifikaci než vy.
Prvni hop je velmi dulezity, dava vam v soucasnem svete potrebny takticky naskok. Pokud byste treba chtel odvazat metadata sveho pocinani tak, aby ani pokrocila behavioralni analyza systemu cizi mocnosti nedokazala provest prislusnou analyzu, potrebujete onen prvni hop. Strucne receno, vy tim ziskate, oni vyznamne ztrati. Mate-li vybudovanou sit tunelu a vite jak danou vec spravne vyuzit, muzete velmi dobre ridit jake informace o sobe represivnim slozkam poskytnete. Nebudu vam popisovat detaily, protoze bych se nechtel dostat do rozporu s par. 20 TZ. Samozrejme stale plati, ze tohle 99.9% populace vedet nemusi a ani nechce a ani nepotrebuje. S dirami v SS7 klidne spi a resi jen takove hype slabiny tu a onde, ale o tom uz jsem psal pred drahnou dobou jinde.
Rozdíl je zcela fatální, pokud to někdo nevidí, měl by dělat třeba grafiku. Obrana ma nejake naklady a vzdy se nastavuje v korelaci s riziky, ale hlavne s pomerem potencialnich ztrat.
Proto sef, kdyz tendroval subdodavky na prestavbu jednoho velkeho letiste zasadne jednal s dodavateli v upravene mistnosti a elektronickou formou se nekomunikovalo vubec, počítač s tiskárnou pro finální tisk nebyl nijak připojen k síti a povoleny byly 2 USB dongly a to se myslim ani nevyuzivaly. A kdyz on, nebo nekdo z jeho podrizenych lidi resi zakazku za 180 000 EUR, tak si vsichni posilaji kalkulacni listy na mail na Seznamu a sdili cokoli jakkoli, protoze potencialni hruby zisk v tomto oboru na teto velikosti zakazky je treba 35 000 EUR za predpokladu ze by tu zakazku ziskal a musel odpracovat (to je dulezite, protoze ukradnout 35kEUR uz smysl dava) je tak maly, ze se nevyplati do toho vlozit energii a brzdit cely proces nejakou bezpecnosti. Navic pokud nekdo takto hloupe zautoci kvuli marginalni sume, tak se vetsinou driv nebo pozdeji prozradi jenom tim, ze tu zakaznku vyhraje "podivne" a uz je omarkovan. Takto utocit je debilita.
Pravdepodobnost utoku na domaci wifi a na wifi v kavarne kampusu bude tak jina, ze vubec nechapu o cem je rec. Cela bezpecnost je postavena na pravdepodonosti a vysi skod. V roce 1998 jsem dokonce delal ve firme jako dispecer a sledoval jsem rekneme "kriminalni aktivity" a zasahovalo se az nad urcitou hranici, pamauji si, ze policie se volala pri incidentu nad 0,5 mil (respektive od teto sumy na to PCR pridelovala lidi z kriminalky), do teto sumy se to resilo interne a obcas se to formalne nahlasovalo, asi kvuli pojistovne. Tolerovaly se kradeze do jednotek tisicu, protoze reseni bylo drazsi nez to nechat byt. Proste to nekdo dobre spocital.
článek je plný nepřesností a polopravd, Michala ale respektuji a chápu, že se věnuje více webové bezpečnosti.
Úkolem VPN není tunelovat veškerý provoz, ale pouze získat přístup do nějaké sítě (ano, virtual private network je VPN) a je pouze na nastavení dané sítě a klienta, jak bude routovat provoz, jestli se do vpn bude posílat veškerý provoz nebo jen ten, pro danou síť.
Stejně jak na VPN klientovi a serveru záleží, jestli bude resolvovat DNS nebo se to nechá na nějakém public/private resolveru, google dns jsou i u openVPN velice běžné.
Zabránit leaknutí skutečné IP adresy z opery je podle mě nemožný úkol, webRTC je tak zběsilý (v FF a Chromu), že čte IP adresy z interfaců přítomných na stroji a zároveň si pingá svoje servery pro zjištění public ip, tuhle operaci provádí hned na začátku při spuštění. Problém to je jen pokud mám veřejnou ip adresu, jsem-li v nějaké svojí podsíti, nedokáže nic užitečného zjistit.
V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná. Ve výsledku, ale neposkytuje větší bezpečnost než šifrovaná proxy, pro něco to ale stačí. Pokud to s bezpečností myslím vážně, nesmí mi z počítače odejít žádný paket mimo vpn a to nelze snadno zabezpečit skoro u žádného systému, btw.
prakticky nic, ale triviální to není a člověk na to musí dát velký pozor.
Windows ve výchozím nastavení posílá DNS dotaz na všechny interfacy.
Mac se připojuje k síti poměrně dost brzo po spuštění. Systemd má vlastní network stack a nebojí se ho použít při bootu.
A u všech systémů dělají problém dynamické routy a přepisování tý defaultní kdekým.
Zajistit to spolehlivě znamená buď mít na routeru další terminaci VPN nebo si poladit a pohlídat systém.
Díky za doplnění, popis VPN jsem záměrně zjednodušil, do článku to nepatřilo, ale do komentářů klidně :-)
Jakou část a jaké privátní sítě zpřístupňuje "VPN" v Opeře?
Sama Opera Software tak nějak přiznává, že to není VPN, ale že tomu budou říkat "browser VPN", protože používají "secure proxies" a ty jsou lepší, než "proxies".
Viz konec článku https://www.helpnetsecurity.com/2016/04/22/opera-browser-vpn-proxy/ a http://www.opera.com/blogs/news/2016/04/opera-doubling-server-capacity-vpn/
subsíť nemusí být jen na L2, L3 atd., ale klidně až na vysokoúrovňovém aplikačním protokolu (myslím tím ty http enspointy) máš ale pravdu, že k VPN jak se v oboru chápe to má stejně daleko jako k proxy, říkejme tomu spíše TCP tunnel.
Ano, chápu, zjednodušení bylo třeba, ale možná by to šlo napsat presněji.
To jejich "VPN" má spíš blíž k proxy, než k VPN, dokonce extenze, ze který to asi vychází se jmenuje "SurfEasy Proxy" :-) Text "VPN" je tam jen dvakrát pro každou jazykovou mutaci (v souboru messages.json), implementace v samotné Opeře je také pomocí změny proxy serverů.
Podle mých testů ta jejich "VPN" opravdu nezpřístupňuje nic co by nebylo dostupné bez té "VPN". Adresy těch proxy serverů jako de0.opera-proxy.net nejdou mimo Operu sice přeložit na IP adresu, ale když už tu IP adresu mám, tak se na ně připojím, viz poslední screenshot v článku, nebo třeba moje reimplementace volání jejich API https://github.com/spaze/oprah-proxy.
Mimo Operu lze resolvnout de.opera-proxy.net, tedy bez toho čísla, rozsah části adres je stejný jako co vrátí API, a já se domnívám, že to číslo tam dodává nějaká magie přímo v browseru, ale zatím to nemám potvrzené a je možné, že to je úplně jinak :-)
Copak je prosím pěkně "substíť" na L2? A co je "subsíť" na "vysokoúrovňovém aplikačním protokolu"?
Subnet může být pouze a jedině na L3.
Také mi není jasné, co je ten "vysokoúrovňový aplikační protokol". Nemyslím si, že se aplikační protokoly dělí na nízkoúrovňové a vysokoúrovňové.
Domnívám se, že máte mylnou představu o tom, co je VPN. Podle toho, co říkáte bych přistupoval přes VPN i na https://mail.google.com/mail/u/0/#inbox protože po mě stránka vyžaduje přihlášení, abych se dostal do Inboxu. A také bych zřejmě šel přes VPN na www.google.com, protože ve skutečnosti můj požadavek nevyřídil server s IP 74.125.224.70 (což je load balancer), ale pouze ho předal aplikačnímu serveru v neveřejném subnetu (čímž jsem se dle vaší logiky dostal do normálně nepřístupného subnetu).
To zní dost uhozeně, nemyslíte?
Berou zpět, máte oba pravdu, Opeří VPN má s vpn pramálo společného,nedostatečně jsem si to prostudoval a omlouvám se za desinformaci, příklad s gmailem je orpavdu nesmyslný.
subsítí na L2 jsem měl na mysli bgp/ldp based VPN (l2 mpls). U toho aplikačního se nemusí jednat o dělení, ale upřesnění, l7 je prostě pro mě už hodně vysoko a pro některé je i webdav síť.
V pohodě, nic se neděje. Ono je celkem jednoduchý se v tom ztratit, vždyť ani sama Opera Software neví, co to vlastně v tom browseru má ;-) Já už do toho koukám několik dní, od čtvrtka jsem si instaloval Operu asi víckrát, než za celou tu dobu předtím a kromě jednoho hashe a způsobu, jak Opera převádí proxy hostname na IP adresu o tom vím snad víc, než jsem kdy chtěl.
Pokud někdo opravdu potřebuje být utajený, tak tomuhle se nedá věřit.
IMO kvalitní VPN a virtuální počítač je minimum.
Já mám v poslední době problém s VPN, protože při brouzdání na webu už vidím víc captch než stránek, většina serverů které používají VPN už je provařená. Na torrenty to stačí, ale v browseru je to opruz, takže možá právě tady bych radši použil Operu s vpn.
Nejsem terorista, jenom nevím proč by Franta od mého lokálního ISP měl vědět, jaké porno mám rád.
Captchu kterou mám mysli provozuje Cloudflare, mají asi evidované adresy ze kterých chodí spam a podobně a servery které jim platí jsou "chráněné" captchou. Celkem mi to ale nepřijde jako dobré řešení, i normální člověk, který neprovozuje nic špatného potřebuje VPN. Asi to budou muset řešit provozovatelé VPN, jinak budou mít problémy získat zákazníky (zase se to bije s tím, že většina VPN z principu neloguje provoz).
Opeře určitě držím palce, minimálně je její krok výbornou nálepkou na ústa všem těm rádoby "expertům na všechno okolo počítačů", co tvrdí, že VPN je něco, co používají jen lumpové a kdo nědělá nic špatného, nemá se čeho bát, ani proč se chránit. Vím o čem mluvím, také provozujeme VPN a HTTP2/SPDY proxy servery a z některých lidí padají opravdu neskutečná moudra. Jen doufám, že to nezabalí dříve, než pořádně začnou, na základě osobních zkušeností bych už do poskytování VPN zdarma nešel.
Já jsem osobně zastáncem VPN třetích stran už jen proto, že nemusíte nutně používat prohlížeč, který vám třeba úplně nevyhovuje. K výběru jsem použil tento portál se srovnáním VPN https://www.5nej.cz/srovnani-vpn/
Jarda