Poradnik: Bezpieczne połączenie z publicznym Wi‑Fi

Choć bardzo przydatne w podróżach i miejscach użyteczności publicznej, darmowe punkty dostępy do internetu mogą także stanowić narzędzie ataku cyberprzestępców. To, że są dostępne dla wszystkich to z jednej strony wygodna, ale z drugiej - również zagrożenie. Radzimy, jak się przed nim zabezpieczyć i w spokoju korzystać z sieci publicznej.

Jeśli zdarza wam się często podróżować po świecie lub chociażby od czasu do czasu bywać w restauracjach, na dworcach czy w centrach handlowych, to na pewno nie raz spotkaliście się z publicznymi sieciami Wi-Fi. Mają one wiele zalet: umożliwiają przeglądanie stron internetowych podczas długiego oczekiwania na samolot, pozwalają szybko ściągnąć maile z załącznikami, gdy akurat jesteśmy na lunchu w restauracji – niezależnie od tego, czy korzystamy z notebooka, tabletu lub telefonu z Androidem, czy też iPhone’a bądź iPada. Niekiedy, aby móc się z nimi połączyć, musimy najpierw zdobyć hasło – wówczas komunikacja między naszym urządzeniem a ruterem może być szyfrowana, jednak nawet w takim przypadku rzadko stosuje się tzw. izolację klientów. Co za tym idzie, wszystkie podłączone terminale znajdują się w jednej sieci i mogą komunikować się między sobą, a to zwiększa niebezpieczeństwo ataku. Nierzadko hotspoty na lotniskach i w centrach handlowych nie wymagają podania żadnych danych dostępowych. Oznacza to, że
podłączyć się może do nich każdy, także przestępcy.

Korzystając z odpowiedniego sprzętu i oprogramowania, mogą oni następnie "podsłuchiwać" przesyłane w sieci pakiety danych, zbierając informacje wysyłane przez innych użytkowników – w tym loginy i hasła do poczty, serwisów internetowych czy różnych kont firmowych. Z taką wiedzą łatwiej im potem wyłudzić dostęp np. do kont bankowych, czego skutków łatwo już się domyślić. Ujmując rzecz w skrócie: łącząc się za pomocą smartfonu, tabletu czy komputera z publicznymi sieciami narażamy na kradzież nasze poufne dane. Jeśli będzie to login i hasło do forum internetowego, być może szkody nie będą wielkie – jeśli wyciekną poufne maile firmowe, wówczas konsekwencje mogą nas dużo kosztować.

Co zatem zrobić, jeśli musimy skorzystać z internetu, a nie mamy dostępu do bezpiecznego połączenia? Stwórzmy je sami. Duże firmy, aby zapewnić swoim pracownikom dostęp z zewnątrz do zasobów sieci wewnętrznej, stosują tunele VPN (Virtual Private Network). Dwa hosty łączą się przez sieć publiczną za pomocą szyfrowanego połączenia. O ile rozwiązania korporacyjne, włączając w to sprzętowe bramy VPN, są kosztowne, o tyle użytkownicy domowi i małe firmy posiadające serwer NAS mogą skorzystać z bezpłatnego oprogramowania OpenVPN. Jego zaletami są dostępność aplikacji klienckich na różne platformy (Windows, Linux, Mac OS X, iOS, Android) i dość prosta konfiguracja.

Na przykładzie serwera Synology pokażemy, jak zainstalować oprogramowanie serwera VPN, skonfigurować konta użytkowników i ich uprawnienia oraz ustawić zaporę sieciową.

Po zalogowaniu się jako administrator do serwera NAS z menu głównego przechodzimy do »Centrum pakietów«, w zakładce »Narzędzia« odnajdujemy »VPN Server« i wskazujemy »Zainstaluj«. W kolejnym oknie wybieramy wolumen, na którym chcemy zainstalować pakiet. W ostatnim zaznaczamy »Uruchom po instalacji« i potwierdzamy operację, wciskając »Zastosuj«.

Oprogramowanie DSM po instalacji pakietu samo proponuje, które dwa porty należy otworzyć w zaporze, aby można było korzystać z określonych usług. Jeśli w przyszłości zechcemy to zmienić, z »Panelu sterowania« serwera wystarczy wybrać ikonę »Bezpieczeństwo«, a następnie zakładkę »Zapora sieciowa«. Na wyświetlonej liście wskazujemy pozycję z tekstem »VPN Server« w polu »Porty« i zaznaczamy »Edytuj«. Jeśli brak takiego wpisu, wybieramy polecenie »Utwórz« i »Wybierz z listy wbudowanych aplikacji«. Następnie klikamy »Wybierz« i zaznaczamy porty odpowiadające pakietowi VPN Server. Aby zabezpieczyć się przed próbami nieautoryzowanego dostępu, warto w zakładce »Automatyczne blokowanie« ustawić maksymalną liczbę prób logowania, np. na dwie w ciągu pięciu minut.

Z menu głównego wybieramy »VPN Server«. Jeśli nasz serwer ma więcej niż jeden interfejs sieciowy, na zakładce »Ustawienia ogólne« zaznaczamy ten podłączony do internetu. Możemy też usunąć zaznaczenie opcji przyznawania uprawnień nowym użytkownikom. Przechodzimy do karty »Uprawnienie«, gdzie przypisujemy użytkownikom prawa dostępu do poszczególnych protokołów VPN.

Z grupy »Ustawienia« wybieramy »OpenVPN« i zaznaczamy »Włącz serwer OpenVPN«. W polu »Dynamiczny adres IP« określamy trzy pierwsze oktety adresów, jakie będą przypisywane łączącym się z serwerem użytkownikom. Poniżej wybieramy maksymalną liczbę połączeń VPN. Aby oszczędzać transfer, zaznaczamy »Włącz kompresję łącza VPN«. Na koniec, klikając przycisk »Eksportuj konfigurację«, pobieramy ustawienia połączenia i certyfikat serwera. Będą one niezbędne do połączenia.

W pobranym archiwum znajdują się trzy pliki: pierwszy z nich to instrukcja, drugi to certyfikat serwera, nas zaś najbardziej interesuje plik konfiguracyjny »openvpn .ovpn«. Aby móc zestawić połączenie, musimy go edytować, np. w notatniku. Zamiast »YOURSERVERIP« wpisujemy publiczny adres IP lub domenowy naszego serwera. Usuwamy też znak »#« przed wpisem »redirect-gateway« i dodajemy nową linijkę zawierającą »ns-cert-type server«.

-- CZYTAJ DALEJ -- **Ruter i DNS

Jeśli dysponujemy publicznym adresem IP, będziemy mogli tak skonfigurować przekierowania portów, aby możliwe było połączenie z zewnątrz. W przypadku dynamicznych adresów wygodne będzie skorzystanie dodatkowo z usługi DDNS.

Większość ruterów umożliwia przekierowanie portów w celu udostępnienia usług działających w sieci lokalnej na zewnątrz. Aby można było zestawić tunel VPN, konieczne jest zatem przekierowanie odpowiednich portów usługi na adres IP serwera NAS w sieci LAN. W przypadku ruterów Fritz!Box marki AVM wybieramy z menu »Internet«, a następnie »Permit Access«. Po prawej stronie otwieramy kartę »Port Forwarding«. Za pomocą przycisku »New Port Forwarding« dodajemy kolejne zakresy portów. Do OpenVPN wystarczy przypisać port 1194, do PPTP – 1723. L2TP/IPSec korzysta z portów 1701, 4500 i 500. Należy też zwrócić uwagę na używany protokół (TCP lub UDP).

Jeśli korzystamy z łącza ze stałym adresem IP, wówczas w pliku konfiguracyjnym OpenVPN wystarczy podać ten adres. Gdy używamy np. połączeń ADSL, to publiczny adres IP zmienia się przynajmniej raz na kilkanaście godzin. Ręczna aktualizacja pliku konfiguracyjnego byłaby wtedy uciążliwa. Rozwiązaniem jest skorzystanie z dostępnych w Sieci serwisów DDNS. Wówczas zamiast podawać zmieniający się adres IP, posługujemy się bardziej przyjazną i stałą nazwą domenową, np. chiptest.chickenkiller.com. W tym celu zakładamy konto na stronie freedns.afraid.org i rejestrujemy własną subdomenę.

Okresową aktualizację adresu IP w usłudze DDNS może przeprowadzać nasz serwer NAS. Praktycznie wszystkie serwery mają taką funkcjonalność. Synology udostępnia ponadto własną usługę DDNS z przyjaznymi i łatwymi do zapamiętania domenami. Aby zarejestrować adres chiptest.myds.me, logujemy się do serwera i w »Panelu sterowania« wybieramy »Dostęp zewnętrzny«. Klikamy »Dodaj« i z listy wybieramy »Synology«. Kliknięcie przycisku »Zarejestruj teraz« przeniesie nas do formularza rejestracji, gdzie podajemy dane naszego konta MyDS (które wcześniej tworzymy na stronie synology.com). W tym samym miejscu możemy też dodać inne zarejestrowane wcześniej konta w innych usługach DDNS.

Alternatywnie można też zlecić aktualizację adresu ruterowi. W większości modeli mamy zdefiniowaną listę dostawców usług. W niektórych ruterach – np. Fritz!Boxach – możemy określić własnego usługodawcę. Z menu wybieramy »Internet« i »Permit Access«, a następnie zakładkę »Dynamic DNS«. Na rozwijalnej liście klikamy pozycję »User-defined«. Poniżej podajemy dane dostępowe i adres aktualizacji utworzonej w punkcie 2. subdomeny (odnośnik »Direct URL« z listy domen na stronie freedns.afraid.org).

-- CZYTAJ DALEJ -- Android i iOS

Posiadacze urządzeń wyposażonych w Androida lub iOS mogą ze sklepów pobrać aplikację OpenVPN Connect. Użytkownicy terminali BlackBerry mogą liczyć tylko na rozwiązania korporacyjne.

W sklepie z aplikacjami wyszukujemy i instalujemy »OpenVPN Connect« producenta OpenVPN. Na platformę Android dostępnych jest też wiele innych programów różnych dostawców, polecamy jednak tę stworzoną przez zespół programistów związanych z projektem OpenVPN.

Ściągnięty wcześniej i edytowany plik z konfiguracją połączenia oraz plik certyfikatu kopiujemy do pamięci telefonu. Możemy to zrobić, podłączając sprzęt do komputera lub kopiując pliki na kartę SD. Aby profil działał z aplikacją mobilną, musimy do niego dodać jeszcze jeden wpis. Odnajdujemy linijkę »ca ca.crt« i poniżej dodajemy »setenv CLIENT_CERT 0«. Umożliwi to połączenie bez użycia certyfikatu użytkownika.

Otwieramy aplikację »OpenVPN Connect« i z menu wybieramy polecenie »Import«. Następnie wskazujemy »Import from SD card« i wyszukujemy plik »openvpn.ovpn«. Import potwierdzamy przyciskiem »Select«. Na kolejnym ekranie zostaniemy poproszeni o podanie nazwy użytkownika i hasła. Zaznaczając pole opisane jako »Save«, zapamiętamy hasło i program nie będzie więcej o nie pytał.

Aby zapisać ustawienia i zestawić połączenie z serwerem VPN, wciskamy przycisk »Connect«. Po krótkiej chwili powinniśmy otrzymać komunikat o udanym połączeniu. Dodatkowo w Obszarze powiadomień w Androidzie znajdziemy dwie nowe ikony informujące o aktywnym połączeniu.

Od tej chwili wszystkie aplikacje na smartfonie będą przesyłać dane przez bezpieczny tunel VPN, ale tylko wówczas, gdy będzie on aktywny. Jeśli go rozłączymy, dane popłyną przez publiczną sieć. Aby temu zapobiec, wejdźmy w ustawienia aplikacji, wybierając z menu »Preferences«. Tam zaznaczamy »Seamless Tunnel« – spowoduje to zablokowanie wszelkiej komunikacji z internetem, jeżeli tunel VPN nie będzie aktywny. Jeśli chcemy, aby VPN był ciągle aktywny, zaznaczmy też opcję »Reconnect on reboot« oraz w pozycji »Connection Timeout« wybierzmy »Continuosly retry«.

Aby upewnić się, czy tunel działa, wystarczy w przeglądarce otworzyć jedną ze stron pokazujących nasze IP. Po lewej widzimy rzeczywisty adres naszego urządzenia, a po prawej tę samą stronę otwartą z użyciem tunelu VPN do NAS-a. Efekt – nasze dane są bezpieczne.

-- CZYTAJ DALEJ -- Notebook: VPN dla każdego

Do komputerów z systemem zarówno Windows, jak i Linux oferowane jest oprogramowanie klienckie OpenVPN. Użytkownicy Mac OS X mogą do połączenia wykorzystać aplikację Tunnelblick. Jej konfiguracja jest podobna jak OpenVPN w Windows.

Ze strony goo.gl/zftSy9 pobrać można klienta do 32- i 64-bitowego systemu Windows, a także paczki do Linuxa. Użytkownicy Mac OS X pobiorą odpowiednią dla swojej edycji systemu wersję oprogramowania Tunnelblich spod adresu goo.gl/qTqeq8.

Aby prawidłowo zainstalować wszystkie elementy oprogramowania klienckiego, należy uruchomić program instalacyjny z uprawnieniami administratora. Jeśli z komputera chcemy tylko łączyć się z serwerem, wystarczy potwierdzić standardowy wybór komponentów. Do uruchomienia na komputerze serwera będziemy dodatkowo potrzebować komponentu OpenSSL używanego do generowania kluczy serwera i klientów. Podczas instalacji kreator zapyta, czy chcemy także zainstalować sterowniki wirtualnego interfejsu sieciowego. Tylko jeśli potwierdzimy operację możliwe będzie zestawienie połączenia. Aby korzystać z wielu połączeń VPN jednocześnie będziemy musieli dodać kolejne interfejsy.

Podobnie jak w przypadku platformy mobilnej, w Windows jako ustawień profilu użyjemy plików wyeksportowanych wcześniej z serwera NAS. Jeśli dokonaliśmy opisanych wcześniej wymaganych zmian w pliku »openvpn.ovpn«, w tym kroku możemy po prostu skopiować konfigurację do katalogu programu. Otwieramy ścieżkę »C:\Program Files\OpenVPN\config« i kopiujemy pliki „.ovpn” i „.cert”. Możemy zmienić nazwę pliku „.ovpn” na bardziej przyjazną, np. „chiptest.myDS.me.ovpn”.

Wraz z klientem OpenVPN instalowany jest OpenVPN GUI – graficzny interfejs programu. Ułatwia on zarządzanie zainstalowanymi profilami. Mając uprawnienia administratora, uruchamiamy plik »openvpn-gui.exe« z folderu »bin«. Prawym przyciskiem myszy klikamy ikonę w Obszarze powiadomień. Z wyświetlonej listy wybieramy interesujące nas połączenie i klikamy »Połącz«.

W tym kroku zostaniemy poproszeni o podanie nazwy użytkownika i hasła. Następnie na ekranie pojawi się sekwencja komunikatów informujących o zestawieniu połączenia, uwierzytelnianiu i przypisaniu wirtualnemu interfejsowi adresu IP. Po zakończeniu procedury okno statusu zniknie z ekranu, a w Obszarze powiadomień ikona OpenVPN zmieni kolor na zielony.