最近ホテルを訪問した後、OpenVPNサーバーへのアクセスがブロックされていることに驚きました。公衆無線を使用しているときに、インターネットトラフィックを保護する方法としてこれをよく使用します。 SSLベースのWebサイトのみを使用するか、SSHを介してトンネリングする以外に、パケットが空中にプレーンテキストでブロードキャストされている間、誰もパケットを傍受できないようにするにはどのようなオプションが必要ですか?
これを事前に調整できる場合(または誰かに代わってもらう場合)、SSLプロキシを(たとえばstunnelを介して)設定できます。これにより、実質的にSSL VPNが作成されます。
SSH経由のトンネリングとそれほど変わらないと思いますが、これは別のオプションです。
確かに、あなたは「SSL Webサイトだけを使用する以外に」と言っていました。それにもかかわらず、多くの人にとって、Firefoxに記載されている 数千のSSLサイト と、Chrome拡張機能 HTTPS Everywhere を使用してコンテンツを作成することは、それほど悪い選択肢ではありません。 VPNをサポートするアクセスポイントに戻るまで制限があります。制限には、盗聴者がアクセスしたサイトを確認できること、および拡張機能によって、保護されたページにWikimedia Commonsの写真などの保護されていないリソースを組み込むことが妨げられないことが含まれます。
ただいくつかの考え:
人々が忘れがちな1つの重要なこと:ホテルは悪ではなく、単に不注意です。
発信トラフィックをブロックすることは良いセキュリティ慣行ではありません、それはせいぜい隠蔽によるセキュリティです。これは非常に簡単に倒すことができます。したがって、ユーザーエクスペリエンスを低下させて偽のセキュリティを提供するのではなく、フィルタリングポリシーを変更するように伝えます。
拒否するか遅すぎる場合は、リダイレクトルールを追加して、ポート80のトラフィックをVPNポートにリダイレクトします。または、ポートを80に変更するだけです...
SSL VPNがブロックされているときにオープンWi-Fiでブラウジングしながら安全を保つ方法は?
実際、それは本当に達成したいこと、本当に保護したいことなどに本当に依存します。perspective/ httpsなどの基本的なfirefoxプラグインをどこでも使用すると、比較的安全なブラウジングエクスペリエンスが提供されます。
VPNが設定されているので、それを使用すると便利です。これはさらに一歩進んで、適切に設定されていれば、かなりのレベルの匿名性とセキュリティを提供できます。私の以前のポイントを参照してください。
「外部」のWebサイトを閲覧すると、パケットが暗号化されずに移動することを指摘しておきます。 VPN(またはSSHまたはSSLプロキシなど)は、それがすぐ近くで発生するのを防ぎます。それはあなたと同じホテルにいる攻撃者を倒します。しかし、それは一般的に攻撃者を倒しません。盗聴を心配する場合は、WiFi、ホテル、VPNに関係なく、HTTPSサイトのみにアクセスする必要があります。
他の回答に加えて、アカウントを持っているサーバーに対して [〜#〜] rdp [〜#〜] セッションを開くこともできます。サーバーをポート443に設定するように注意した場合、ほとんどのファイアウォールはそれを通過させます(RDPはSSL/TLS接続とは異なる特定のトランスポート層を使用しますが、注意してデータを検査するファイアウォールはほとんどありません)。 RDP 5.2はTLSセッションをカプセル化しているので、これは可能な限り安全です。エクスポートされたデスクトップセッションを介したWebブラウジングは苛立たしい経験になる可能性がありますが、たとえば、security.stackexchange.comなどのテキストベースのサイトでは許容できます(私は今それを行っています)。
OpenVPNを具体的に言及しました。この回答がまだ行われていないことに驚いています。
この状況は常に私に起こり、2つ目のOpenVPNサーバーをポート443(TCP)で実行することで修正しました。私は PiVPN を実行し、セットアップは簡単でした: https://github.com/pivpn/pivpn/issues/178#issuecomment-26988291
基本的に、PiVPNが作成するOpenVPN構成を2番目の構成にコピーします。ポート443でTCPを使用するように変更します。
-A POSTROUTING -s 10.9.0.0/24 -o eth0 -j MASQUERADE
を追加してiptablesを編集します(一意のサブネットを使用すると、そこにあるデフォルトになります)。
サービスservice openvpn restart
を再起動します。
デフォルトポートの場合と同様に、443でホームルーターからOpenVPNサーバーへの着信接続を許可します。
最後にクライアント構成をコピーして、TCPポート443に変更します。2つのインスタンスは同じキーを使用し、クライアントは、どちらを選択して接続するかに応じて2つの構成を持っています。
デフォルトのUDPの方がパフォーマンスは優れていますが、moronicパブリックWiFiによってブロックされることがよくあります。 TCP 443を超えると、パフォーマンスは少し低下しますが、それほど悪くはありません。また、moronicパブリックWiFiがVPNの使用を正常に妨害しようとしても機能します。
幸運を。