V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
he110comex
V2EX  ›  问与答

使用公共 WiFi 的网络安全问题

  •  
  •   he110comex · 2020-12-08 14:32:49 +08:00 · 1292 次点击
    这是一个创建于 1432 天前的主题,其中的信息可能已经有所发展或是发生改变。

    周末来公共图书馆,笔记本连接图书馆 WiFi时发现竟然是**「无加密」网络**(短信验证码登录 /图书证账号登录)。

    如果要使用公共 WiFi,探讨一下几种方式的安全性如何:

    1 、全程开 SS

    因为是境外的 SS,所以大流量总会一卡一卡的,SS 采用 aes-256-gcm 加密,未加混淆。

    2 、安卓手机开热点,选择加密网络

    安卓手机先连入图书馆公共 WiFi,再分享热点给笔记本电脑。手机热点采用加密方式提供。

    这里有一点不明白:

    [笔记本-->手机热点] 是加密的;[手机-->图书馆 WiFi] 是无加密的;

    这样自己的网络通讯 [笔记本-->图书馆 WiFi] 算是加密的么

    3 、购买腾讯云或者阿里云 VPS,搭建 VPN 或者 SS 等加密服务

    据说墙内使用 VPN 或者 SS 之类的,只要流量不穿墙就没有任何问题。

    以上 2 个境内云可以搭建 VPN 之类的服务么?

    所有流量由上面的 VPS 加密中转。

    大佬讨论下上面几种方案的安全性如何

    最后大家可能会说,直接连自己的手机数据热点,不走公共 WiFi 是最安全的,我上面是使用公共 WiFi 的一种探讨。

    12 条回复    2020-12-08 18:37:47 +08:00
    maemual
        1
    maemual  
       2020-12-08 14:35:35 +08:00
    2 没有安全性,3 可以。
    mitong3269
        2
    mitong3269  
       2020-12-08 14:37:34 +08:00 via iPhone
    大部分学校的 wifi 都是没密码网页认证的吧
    q197
        3
    q197  
       2020-12-08 14:42:16 +08:00
    @mitong3269 这样如果没有隔离也许会被嗅探吧 现在的 eduroam 之类的完美解决,每个人 WiFi 密码不同
    vopsoft
        4
    vopsoft  
       2020-12-08 14:44:55 +08:00
    只浏览网页 doh 就行吧
    loading
        5
    loading  
       2020-12-08 14:47:07 +08:00 via Android
    只要 https 证书没问题就挺安全。
    浏览记录什么的,就开 vpn 吧。
    sujin190
        6
    sujin190  
       2020-12-08 15:15:17 +08:00
    @q197 #3 开放的意思应该只是没有连接认证密码,连接认证密码又不是传输数据时的加密密钥,电脑和 wifi 之间的传输的数据还是加密的啊,公共 WiFi 的问题在于你不知道这个 wifi 是不是冒用的,毕竟只是名字叫这个罢了,而且公共 wifi 很多为了盈利会搞啥大数据什么的,会在 ap 上部署捕获上传分析你的数据,被直接嗅探无线信号拿到你的数据的可能几乎没用吧
    q197
        7
    q197  
       2020-12-08 15:21:11 +08:00
    @sujin190 我不太懂行。连接无需密码,打开后弹出网页登录才能上网的,安全性会不会更低?有密码的 WIFI,别人(不知道密码),能冒充吗? 802.1 登录的 WIFI,别人能用同名的冒充钓登录账号吗?
    sujin190
        8
    sujin190  
       2020-12-08 16:45:15 +08:00
    @q197 #7 好吧,仔细看了下,在 802.11 协议定义中,无认证网络估计也是可以设置加密的,但是现在大多数路由器实现的开放式网络都是无加密的,其实也可以理解,没用认证过程也没有预共享密钥的情况下,自然无法协商加密密钥,否则只要捕获加密密钥协商过程就自然可以加密数据了,这个只是略微增加破解难道而已,但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分,在认证完成后会基于认证信息进行加密密钥协商,之后传输的数据就是加密的了,所以其实也不用担心有用嗅探无线信号的问题

    关于冒用,有秘密的 wifi 你虽然可以把 ssid 设置成一样的,但是你不知道密码,没办法把密码也设置成一样的,就算你不怀好意冒用别人的名字,但是其他人也连不上啊
    ysc3839
        9
    ysc3839  
       2020-12-08 17:02:49 +08:00 via Android
    @sujin190
    > 但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分

    我对这段有异议,不知道你有没有了解过 wifidog,网页登录后只是路由器放行你的流量,并没有额外的 WiFi 认证过程。
    sujin190
        10
    sujin190  
       2020-12-08 18:20:34 +08:00   ❤️ 1
    @ysc3839 #9 wifidog 只是单纯用 iptables 限制 ip mac 访问吧,标准 Portal 认证需要 RADIUS 认证服务器,AP 在连接断开之后要上报断开离线信息,那么估计也可以让 ap 发起密钥交换流程才是,那么看样子 Portal 认证几乎都是这样实现的了,坑死
    ysc3839
        11
    ysc3839  
       2020-12-08 18:28:26 +08:00
    @sujin190 那估计不是同一个情况了,市面上应该都是类似 wifidog 的实现。
    iloveayu
        12
    iloveayu  
       2020-12-08 18:37:47 +08:00 via Android
    看你要防谁,到什么程度:
    1. 不走五五的应用,就侧漏了。
    2. 没意义,手机到 AP 段依旧没有加密,属于掩耳盗铃。
    3. 全局威屁恩可以,但你走威屁恩的行为,图书馆网络设备还是可以看到你去连境内的 VPS 了,比 1,2 要强。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2547 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:52 · PVG 13:52 · LAX 21:52 · JFK 00:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.