Incluso con una VPN, el Wi-Fi abierto expone a los usuarios
Esos momentos entre la conexión Wi-Fi y el lanzamiento de VPN pueden regalar mucho.
- ¿Están en riesgo mis contraseñas cuando uso wifi público?
- Cómo saber la contraseña wifi de otros
- ¿Cómo analizo los datos de los puntos de acceso WiFi?
- ¿Cómo funciona el wifi masterkey?
- ¿Cómo podemos bloquear nuestro wifi para que no sea pirateado?
En el café local, los piratas informáticos pueden obtener una taza de café y acceso deshonesto a la red. ¿Quién necesita una VPN? ¿qué puede salir mal?
Larry Seltzer es el ex director editorial de BYTE, Dark Reading y Network Computing en UBM Tech y ha pasado más de una década asesorando y escribiendo sobre temas de tecnología, principalmente en el área de seguridad. Larry comenzó su carrera como ingeniero de software en la ya desaparecida Desktop Software Corporation en Princeton, Nueva Jersey, en el equipo que escribió el lenguaje de consulta NPL 4GL.
En este momento, cualquier persona de TI inteligente conoce los peligros de la conexión Wi-Fi abierta. Esas conexiones gratuitas en cafés y hoteles no encriptan el tráfico de la red, por lo que otros en la red pueden leer su tráfico y posiblemente secuestrar sus sesiones. Pero una de las principales soluciones a este problema tiene un agujero que no es muy apreciado.
Grandes sitios como Twitter y Google han adoptado SSL ampliamente para proteger a los usuarios en dichas redes. Pero para una protección más amplia, muchas personas usan una red privada virtual (VPN). La mayoría de las personas, si usan una VPN, usan una corporativa. Pero también hay servicios públicos, como Freedome de F-Secure y HideMyAss de Privax. Su dispositivo se conecta con los servidores del servicio VPN y establece un túnel encriptado para todo el tráfico de Internet desde el dispositivo a sus servidores. Luego, el servicio representa todo su tráfico hacia y desde su destino.
Es una solución mejor que confiar en SSL de sitios web por varias razones: con una VPN, todo el tráfico de su dispositivo está encriptado, ya sea que el sitio que está visitando tenga SSL o no. Incluso si el punto de acceso Wi-Fi al que está conectado es malicioso, no puede ver el tráfico. Cualquier parte que esté en condiciones de controlar su tráfico ni siquiera puede ver las direcciones y las URL de los sitios con los que se está comunicando, algo que pueden hacer con SSL a través de Wi-Fi abierto.
Pero hay un agujero en esta protección, y ocurre en el momento de la conexión. La VPN no puede conectarse hasta que se conecte a Internet, pero la conexión VPN no es instantánea. En muchos, quizás en la mayoría de los sitios públicos de Wi-Fi, su hardware de Wi-Fi puede conectarse automáticamente a la red, pero debe abrir un navegador a un “portal cautivo”, que proviene del enrutador local, e intentar obtener acceso a la red. Internet más allá. Es posible que primero deba aceptar manualmente un acuerdo de TOS (Términos de servicio).
En este período antes de que su VPN se haga cargo, lo que podría estar expuesto depende del software que ejecute. ¿Utiliza un cliente de correo electrónico POP3 o IMAP? Si se verifican automáticamente, ese tráfico está libre para que todos lo vean, incluidas las credenciales de inicio de sesión. Otros programas, como el cliente de mensajería instantánea, pueden intentar iniciar sesión.
Probé este escenario en un Starbucks con Google Wi-Fi mientras ejecutaba Wireshark. Miles de paquetes iban y venían en la red abierta antes de que la VPN intentara conectarse. Un escaneo rápido de la lista no encontró nada que pareciera peligroso, y de hecho el software en mi sistema usó TLS 1.2 en casi todos los casos, lo cual fue un gran alivio. Pero su configuración puede ser diferente a la mía, e incluso si su software intenta usar HTTPS, podría ser vulnerable a ataques como SSLStrip, que de todos modos engaña al software para que use HTTP abierto.
Esta brecha en la cobertura puede ser solo cuestión de segundos, pero es suficiente para exponer información valiosa como las credenciales de inicio de sesión. Intente ejecutar una herramienta de monitoreo de red como TCPView de Microsoft para Windows o Little Snitch para Mac antes de establecer su conexión a Internet y ver qué sucede en esos primeros segundos. La información puede estar protegida por encriptación, pero puede contener detalles sobre la configuración de su sistema que podrían usarse para identificarla o proporcionar pistas para un atacante.
Ampliar / Solo una fracción del tráfico que salió a través de una red Wi-Fi en Starbuck’s en los momentos entre la conexión y el inicio de VPN. Afortunadamente, la mayor parte de esto estaba encriptada.
Larry Seltzer
Incluso más allá de este intervalo de tiempo, a veces las conexiones VPN se caen. Al menos en las configuraciones predeterminadas de la mayoría de los sistemas operativos, las aplicaciones en el sistema conmutarán por error a la conexión Wi-Fi abierta. No culpe solo a los proveedores de VPN públicos. El mismo problema es cierto para las VPN corporativas, a menos que tengan problemas para configurar el sistema en torno al problema.
¿Asique como haces eso? Shaun Murphy, fundador de PrivateGiant (sndr), que fabrica productos para proteger la seguridad y la privacidad de las comunicaciones en línea, sugiere que lo haga con un firewall de software, ya sea uno que viene con su sistema operativo o un tercero:
El enfoque básico es evitar todas las conexiones entrantes y salientes en sus redes públicas (o zonas) con la excepción de un navegador que utilice para conectarse a portales cautivos y demás. Ese navegador debe ser uno que solo use para este propósito y, tal vez, un poco de navegación ligera (ciertamente no correo electrónico, social o cualquier otro propósito de identificación personal). Usando ese mismo firewall, configure un perfil / zona para el tráfico VPN cuando sea entrante / el tráfico saliente está menos restringido (recomiendo bloquear las conexiones salientes de forma predeterminada y luego agregar programas según sea necesario, es sorprendente cuántos programas llaman a casa … todo el tiempo). Lo bueno de este enfoque es su cliente de correo electrónico, navegador web principal y otras aplicaciones que use serán inútiles a menos que esté conectado activamente a la VPN.
Sean Sullivan, asesor de seguridad de F-Secure, nos dio el mismo consejo con la útil adición de que “… querría iniciar el navegador [para el portal cautivo] en ‘modo seguro’ para que los complementos estén deshabilitados”. Si usted es un usuario de Firefox o Google Chrome, entonces Internet Explorer y Safari deberían cumplir con los requisitos. Los tienes en el sistema de todos modos.
Configurar el software de firewall en su PC para bloquear el tráfico no VPN no es tan fácil. Varía según los sistemas operativos y productos, y puede que ni siquiera sea posible en Windows 8.1. En Windows, aquí hay un resumen de lo que debe hacer:
- Conéctese a la VPN de su elección utilizando el procedimiento normal para ese producto.
- En el Centro de redes y recursos compartidos en el Panel de control, asegúrese de que la conexión VPN esté configurada como Red pública y que la red Wi-Fi pública o doméstica esté configurada como Hogar u Oficina (el hogar es mejor). (En Windows 8 y versiones posteriores esto puede ser problemático a menos que la conexión de red sea nueva, porque Windows 8.x no proporciona una interfaz de usuario para cambiar el tipo de ubicación, por lo que todo el ejercicio puede ser imposible, a menos que primero elimine y vuelva a crear sus conexiones de red)
- Finalmente, en el Firewall de Windows en el Panel de control, vaya a Configuración avanzada. Cree una regla para bloquear la conexión de todos los programas en las redes públicas. Luego, cree una regla para permitir que tanto el programa VPN como el navegador que desea usar para el portal cautivo puedan conectarse en redes públicas. Deberá establecer estas reglas para las conexiones entrantes y salientes.
BolehVPN de Hong Kong ha producido un conjunto más detallado de instrucciones para usar el Firewall de Windows en Windows 7. En una Mac, puede lograr los mismos resultados con el firewall de Little Snitch mencionado anteriormente. Y Douglas Crawford en Find the Best VPNs, Expert Reviews, Comparisons – BestVPN.com tiene instrucciones para el Comodo Firewall en Windows, pero dice que no pudo obtener el procedimiento para trabajar en el Firewall estándar de Windows en Windows 8.1.
Con todo, es una gran cantidad de problemas pasar, y es una configuración que solo desearías en Wi-Fi abierto. Si trabaja donde hay encriptación WPA2 segura en el Wi-Fi, entonces la VPN probablemente no valga la sobrecarga y el rendimiento reducido de la red.
La verdadera solución a este problema no es piratear con firewalls, sino proporcionar cifrado de forma predeterminada en Wi-Fi público. Esto no se hace mucho ahora porque eso significaría proporcionar contraseñas, y la sobrecarga de soporte sería demasiado grande para un café. El resultado es que tenemos una situación insegura con mala usabilidad, pero adecuada.
La Wi-Fi Alliance ha tenido una solución para este problema casi en su lugar durante años, llamada Passpoint. El protocolo Passpoint se creó para permitir el “roaming” de Wi-Fi al crear una forma para que los puntos de acceso otorguen acceso a través de una credencial de terceros, como su ID de Google o su cuenta de ISP. Cuando se conecta a un punto de acceso público a través de Passpoint, lo autentica y establece una conexión segura utilizando WPA2-Enterprise, el estándar de oro en seguridad de Wi-Fi, en lugar de dejar su tráfico sin cifrar o visible en la LAN inalámbrica compartida.
La razón por la que aún no ve Passpoint en todas partes es que requiere que el proveedor de Wi-Fi, como un ISP de consumo, Google o Boingo, confíe en ciertos proveedores de autenticación y anuncie una lista de ellos en los dispositivos conectados, cuanto más tiempo , el mejor. Y los usuarios tendrían que configurar Passpoint en su sistema para usar una o más de sus credenciales al conectarse a dicha red. Todavía no se ha adoptado ampliamente Passpoint; aunque se ha utilizado en ciertas ubicaciones de gran volumen, como en muchos aeropuertos, sigue siendo bastante poco común.
La Wi-Fi Alliance ahora dice que Passpoint está ganando terreno en la empresa como una forma de manejar BYOD. Eso es interesante si es cierto, pero no aborda el punto doloroso de la privacidad pública de Wi-Fi. Passpoint tiene el potencial de cerrar la ventana de fuga de datos VPN y hacer que los servicios públicos de Internet sean mucho más seguros. En su ausencia, no hay una buena solución.
