使用公共 WiFi 的网络安全问题

2020-12-08 14:32:49 +08:00
 he110comex

周末来公共图书馆,笔记本连接图书馆 WiFi时发现竟然是**「无加密」网络**(短信验证码登录 /图书证账号登录)。

如果要使用公共 WiFi,探讨一下几种方式的安全性如何:

1 、全程开 SS

因为是境外的 SS,所以大流量总会一卡一卡的,SS 采用 aes-256-gcm 加密,未加混淆。

2 、安卓手机开热点,选择加密网络

安卓手机先连入图书馆公共 WiFi,再分享热点给笔记本电脑。手机热点采用加密方式提供。

这里有一点不明白:

[笔记本-->手机热点] 是加密的;[手机-->图书馆 WiFi] 是无加密的;

这样自己的网络通讯 [笔记本-->图书馆 WiFi] 算是加密的么

3 、购买腾讯云或者阿里云 VPS,搭建 VPN 或者 SS 等加密服务

据说墙内使用 VPN 或者 SS 之类的,只要流量不穿墙就没有任何问题。

以上 2 个境内云可以搭建 VPN 之类的服务么?

所有流量由上面的 VPS 加密中转。

大佬讨论下上面几种方案的安全性如何

最后大家可能会说,直接连自己的手机数据热点,不走公共 WiFi 是最安全的,我上面是使用公共 WiFi 的一种探讨。

1339 次点击
所在节点    问与答
12 条回复
maemual
2020-12-08 14:35:35 +08:00
2 没有安全性,3 可以。
mitong3269
2020-12-08 14:37:34 +08:00
大部分学校的 wifi 都是没密码网页认证的吧
q197
2020-12-08 14:42:16 +08:00
@mitong3269 这样如果没有隔离也许会被嗅探吧 现在的 eduroam 之类的完美解决,每个人 WiFi 密码不同
vopsoft
2020-12-08 14:44:55 +08:00
只浏览网页 doh 就行吧
loading
2020-12-08 14:47:07 +08:00
只要 https 证书没问题就挺安全。
浏览记录什么的,就开 vpn 吧。
sujin190
2020-12-08 15:15:17 +08:00
@q197 #3 开放的意思应该只是没有连接认证密码,连接认证密码又不是传输数据时的加密密钥,电脑和 wifi 之间的传输的数据还是加密的啊,公共 WiFi 的问题在于你不知道这个 wifi 是不是冒用的,毕竟只是名字叫这个罢了,而且公共 wifi 很多为了盈利会搞啥大数据什么的,会在 ap 上部署捕获上传分析你的数据,被直接嗅探无线信号拿到你的数据的可能几乎没用吧
q197
2020-12-08 15:21:11 +08:00
@sujin190 我不太懂行。连接无需密码,打开后弹出网页登录才能上网的,安全性会不会更低?有密码的 WIFI,别人(不知道密码),能冒充吗? 802.1 登录的 WIFI,别人能用同名的冒充钓登录账号吗?
sujin190
2020-12-08 16:45:15 +08:00
@q197 #7 好吧,仔细看了下,在 802.11 协议定义中,无认证网络估计也是可以设置加密的,但是现在大多数路由器实现的开放式网络都是无加密的,其实也可以理解,没用认证过程也没有预共享密钥的情况下,自然无法协商加密密钥,否则只要捕获加密密钥协商过程就自然可以加密数据了,这个只是略微增加破解难道而已,但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分,在认证完成后会基于认证信息进行加密密钥协商,之后传输的数据就是加密的了,所以其实也不用担心有用嗅探无线信号的问题

关于冒用,有秘密的 wifi 你虽然可以把 ssid 设置成一样的,但是你不知道密码,没办法把密码也设置成一样的,就算你不怀好意冒用别人的名字,但是其他人也连不上啊
ysc3839
2020-12-08 17:02:49 +08:00
@sujin190
> 但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分

我对这段有异议,不知道你有没有了解过 wifidog,网页登录后只是路由器放行你的流量,并没有额外的 WiFi 认证过程。
sujin190
2020-12-08 18:20:34 +08:00
@ysc3839 #9 wifidog 只是单纯用 iptables 限制 ip mac 访问吧,标准 Portal 认证需要 RADIUS 认证服务器,AP 在连接断开之后要上报断开离线信息,那么估计也可以让 ap 发起密钥交换流程才是,那么看样子 Portal 认证几乎都是这样实现的了,坑死
ysc3839
2020-12-08 18:28:26 +08:00
@sujin190 那估计不是同一个情况了,市面上应该都是类似 wifidog 的实现。
iloveayu
2020-12-08 18:37:47 +08:00
看你要防谁,到什么程度:
1. 不走五五的应用,就侧漏了。
2. 没意义,手机到 AP 段依旧没有加密,属于掩耳盗铃。
3. 全局威屁恩可以,但你走威屁恩的行为,图书馆网络设备还是可以看到你去连境内的 VPS 了,比 1,2 要强。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/733324

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX