周末来公共图书馆,笔记本连接图书馆 WiFi时发现竟然是**「无加密」网络**(短信验证码登录 /图书证账号登录)。
如果要使用公共 WiFi,探讨一下几种方式的安全性如何:
1 、全程开 SS
因为是境外的 SS,所以大流量总会一卡一卡的,SS 采用 aes-256-gcm 加密,未加混淆。
2 、安卓手机开热点,选择加密网络
安卓手机先连入图书馆公共 WiFi,再分享热点给笔记本电脑。手机热点采用加密方式提供。
这里有一点不明白:
[笔记本-->手机热点] 是加密的;[手机-->图书馆 WiFi] 是无加密的;
这样自己的网络通讯 [笔记本-->图书馆 WiFi] 算是加密的么?
3 、购买腾讯云或者阿里云 VPS,搭建 VPN 或者 SS 等加密服务
据说墙内使用 VPN 或者 SS 之类的,只要流量不穿墙就没有任何问题。
以上 2 个境内云可以搭建 VPN 之类的服务么?
所有流量由上面的 VPS 加密中转。
大佬讨论下上面几种方案的安全性如何?
最后大家可能会说,直接连自己的手机数据热点,不走公共 WiFi 是最安全的,我上面是使用公共 WiFi 的一种探讨。
1
maemual 2020-12-08 14:35:35 +08:00
2 没有安全性,3 可以。
|
2
mitong3269 2020-12-08 14:37:34 +08:00 via iPhone
大部分学校的 wifi 都是没密码网页认证的吧
|
3
q197 2020-12-08 14:42:16 +08:00
@mitong3269 这样如果没有隔离也许会被嗅探吧 现在的 eduroam 之类的完美解决,每个人 WiFi 密码不同
|
4
vopsoft 2020-12-08 14:44:55 +08:00
只浏览网页 doh 就行吧
|
5
loading 2020-12-08 14:47:07 +08:00 via Android
只要 https 证书没问题就挺安全。
浏览记录什么的,就开 vpn 吧。 |
6
sujin190 2020-12-08 15:15:17 +08:00
@q197 #3 开放的意思应该只是没有连接认证密码,连接认证密码又不是传输数据时的加密密钥,电脑和 wifi 之间的传输的数据还是加密的啊,公共 WiFi 的问题在于你不知道这个 wifi 是不是冒用的,毕竟只是名字叫这个罢了,而且公共 wifi 很多为了盈利会搞啥大数据什么的,会在 ap 上部署捕获上传分析你的数据,被直接嗅探无线信号拿到你的数据的可能几乎没用吧
|
7
q197 2020-12-08 15:21:11 +08:00
@sujin190 我不太懂行。连接无需密码,打开后弹出网页登录才能上网的,安全性会不会更低?有密码的 WIFI,别人(不知道密码),能冒充吗? 802.1 登录的 WIFI,别人能用同名的冒充钓登录账号吗?
|
8
sujin190 2020-12-08 16:45:15 +08:00
@q197 #7 好吧,仔细看了下,在 802.11 协议定义中,无认证网络估计也是可以设置加密的,但是现在大多数路由器实现的开放式网络都是无加密的,其实也可以理解,没用认证过程也没有预共享密钥的情况下,自然无法协商加密密钥,否则只要捕获加密密钥协商过程就自然可以加密数据了,这个只是略微增加破解难道而已,但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分,在认证完成后会基于认证信息进行加密密钥协商,之后传输的数据就是加密的了,所以其实也不用担心有用嗅探无线信号的问题
关于冒用,有秘密的 wifi 你虽然可以把 ssid 设置成一样的,但是你不知道密码,没办法把密码也设置成一样的,就算你不怀好意冒用别人的名字,但是其他人也连不上啊 |
9
ysc3839 2020-12-08 17:02:49 +08:00 via Android
@sujin190
> 但是开放式网络连接成功后打开的网页登录过程其实是 802.11 协议连接身份认证的 Portal 认证方式,属于 wifi 连接认证的一部分 我对这段有异议,不知道你有没有了解过 wifidog,网页登录后只是路由器放行你的流量,并没有额外的 WiFi 认证过程。 |
10
sujin190 2020-12-08 18:20:34 +08:00 1
@ysc3839 #9 wifidog 只是单纯用 iptables 限制 ip mac 访问吧,标准 Portal 认证需要 RADIUS 认证服务器,AP 在连接断开之后要上报断开离线信息,那么估计也可以让 ap 发起密钥交换流程才是,那么看样子 Portal 认证几乎都是这样实现的了,坑死
|
12
iloveayu 2020-12-08 18:37:47 +08:00 via Android
看你要防谁,到什么程度:
1. 不走五五的应用,就侧漏了。 2. 没意义,手机到 AP 段依旧没有加密,属于掩耳盗铃。 3. 全局威屁恩可以,但你走威屁恩的行为,图书馆网络设备还是可以看到你去连境内的 VPS 了,比 1,2 要强。 |