UPC
anuluj
Pokazywanie wyników dla 
Zamiast tego wyszukaj 
Czy miało to oznaczać: 

Dyskusja ogólna

ROZWIĄZANE
Nauczyciel
524 139 24

Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid

Nawiązując do tych tematów (i nie tylko):

https://forum.upc.eu/t5/dyskusja-ogolna/bezpieczenstwo-wi-free/m-p/17734

https://forum.upc.eu/t5/dyskusja-ogolna/wifi-free-a-bezpieczenstwo-danych/m-p/17803

 

Podaję przepis na podniesienie poziomu bezpieczeństwa usługi Wi-Free przy korzystaniu z urządzeń z systemem Android (Oreo i nowszych, na starszych nietestowane). Polega na zmianie typu połączenia przy użyciu tunelowania TTLS wraz z certyfikatem.

 

Należy pobrać plik i zainstalować certyfikat:
http://www.mediafire.com/file/2g31j6sr913evwd/liberty_global.pem/file

 

Oczywiście jest autentyczny

Spoiler
SHA1 Fingerprint=53:8F:A6:59:63:70:81:E9:4D:40:90:9A:58:1F:9B:55:90:A4:6D:EB

MD5 Fingerprint=E8:7F:34:BF:0F:C3:6F:C6:4B:3A:78:BC:09:2A:C3:CB


 

Po pobraniu pliku wystarczy go otworzyć i dalej jak na obrazku:

 

instalacja certyfikatu.jpg

 

 

Pozostaje skonfigurować połączenie:

 

konfiguracja polaczenia.jpg

 

To wszystko, można już korzystać z sieci Wi-Free.

 


PS. Pod systemami Windows, Linux, LEDE/OpenWrt również jest to możliwe tylko wymaga trochę więcej zachodu.

 

16 ODPOW. 16
Nauczyciel
524 139 24

Podniesienie bezpieczeństwa usługi Wi-Free - certyfikat

Innowator
28 8 1

Re: Podniesienie bezpieczeństwa usługi Wi-Free - certyfikat

A nie powinno to być z automatu ustawiane na fonie ?. I co na dostawca usługi, czyli upc 

Nauczyciel
524 139 24

Re: Podniesienie bezpieczeństwa usługi Wi-Free - certyfikat

Certyfikat pobrany ze strony www.upc.ie, opis zastosowania był swojego czasu na www.upc.cz, a serwer autoryzujący akceptuje taki typ połączenia bez względu na kraj, gdzie będziemy korzystać z odpowiednika Wi-Free.


Co na to polski oddział UPC? Nie wiem, ale dla ułatwienia dodam, że akurat eksponuję zaletę usługi Wi-Free, bo tym jest właśnie opisana funkcjonalność.

 

W wielkim skrócie - metoda uwierzytelnienia za pomocą certyfikatu oraz przesyłania danych logowania w szyfrowanym tunelu TLS w praktyce gwarantuje pełne bezpieczeństwo. Dla statystycznego klienta może nie ma różnicy, ale dla osób takich jak ja, łączących się z Wi-Free w różnych  miejscach ma dużo większe znaczenie wybór najbardziej bezpiecznej alternatywy z możliwych.

 

 

 

 

 

Nauczyciel
524 139 24

Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid (starsze wersje)

Również na starszych urządzeniach z Android (1.6 +) możliwy jest taki typ połączenia. Przed instalacją certyfikatu wymagane jest ustawienie blokady ekranu (symbol, pin, lub hasło).

 

W zależności od wersji systemu może być niezbędna zmiana rozszerzenia certyfikatu (z pem na crt, cer, cert) lub przekonwertowany na format der.

 

Pliki do pobrania:
http://www.mediafire.com/file/pu425qxegjydf92/liberty_global.zip/file

Link zapasowy: https://tiny.pl/t1wht

 

Następnie należy przekopiować certyfikat na kartę SD do katalogu głównego i zainstalować go przez opcję Instaluj z karty pamięci.

 

Old Android cert01.jpg

 

Jeśli zostało ustawione hasło Credential storage, należy je podać.
W przeciwnym wypadku zostaniemy poproszeni o jego utworzenie.

 

Old Android cert02.jpg

 

Pozostaje skonfigurować nowe połaczenie WiFi.

 

Old Android cert03.jpgOld Android cert04.jpg

 

To wszystko, można cieszyć się bezpieczniejszym połączniem na  starszych smatrfonach lub innych leciwych urządzeniach mobilnych

 

 

Jako ciekawostkę podaję link do opisu dla systemu iOS, na dole do pobrania konfiguracja zawierająca certyfikat:

https://www.upc.cz/pece-o-zakazniky/sluzby/internet/wifree/instalace/iphone/

 

Konto zbanowane
1247 359 57

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid (starsze wersje)

@zuzia, mogłabyś pokrótce wyjaśnić przewagę ttls nad peap? Certyfikat do uwierzytelniania zadziała w obu metodach.

Nauczyciel
524 139 24

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid (starsze wersje)

@zylx

Najważniejszy jest certyfikat, a oba protokoły są uważane za dość bezpieczne choć różnią się sposobem uwierzytelniania. PEAP zaprojektowany został do użytku w środowisku domeny Windows, Microsoft maczał palce w opracowaniu tego protokołu, a ja im za bardzo nie ufam i dlatego nie polecam ich rozwiązań

Większość korzystająca z Windows może sobie ustawić EAP-PEAP/MSCHAPv2+certyfikat tym bardziej, że TTLS jest wspierane dopiero od wersji Windows 8 i trzeba się naklikać, żeby to ustawić, a czasem nawet edytować rejestr.

 

 

Wracając do Androida. Instalację certyfikatu można też przeprowadzić z poziomu przeglądarki, udało mi się znaleźć działający link.

 

Do pobrania z serwera niemieckiego odpowiednika UPC:

https://www.unitymedia.de/content/dam/dcomm-unitymedia-de/Privatkunden/angebote/wifispot/LGI_Root_CA...

Link skrócony: https://tiny.pl/t1wq7


To ten sam plik co linkowany wcześniej, różni się tylko nazwą.

 

 

 

 

Konto zbanowane
1247 359 57

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid (starsze wersje)


@zuzianapisał(a):

@zylx

PEAP zaprojektowany został do użytku w środowisku domeny Windows, Microsoft maczał palce w opracowaniu tego protokołu, a ja im za bardzo nie ufam i dlatego nie polecam ich rozwiązań


W drugim kroku i tak jest wykorzystywany protokół MSCHAPv2 autorstwa MS. Ale sam certyfikat powinien pozwolić przynajmniej uniknąć ataków evilTwin man  in The middle. 

Tagi (1)
Nauczyciel
524 139 24

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Adnroid (starsze wersje)


@zylxnapisał(a):


W drugim kroku i tak jest wykorzystywany protokół MSCHAPv2 autorstwa MS.


Od dawna jest uważany za dziurawy

 

Ale nie ma to większego znaczenia jeśli używamy konfiguracji z certyfikatem, bo dopiero po uwierzytelnieniu serwera za pomocą certyfikatu między serwerem a użytkownikiem zestawiany jest bezpieczny tunel, w którym uwierzytelniany jest użytkownik Wi-Free. W tym kroku można obejść się nawet bez szyfrowania, ale serwer UPC domyślnie wybiera MSCHAPv2.

 

 


@zylxnapisał(a):

Ale sam certyfikat powinien pozwolić przynajmniej uniknąć ataków evilTwin man  in The middle. 

Bez certyfikatu obydwie metody EAP-PEAP/MSCHAPv2 oraz EAP-TTLS/MSCHAPv2 są podatne na atak typu Evil Twin.

 

Za granicą polecany jest bezpieczny sposób połączenia:

https://support-en.upc.ch/app/faq/a_id/9949/certificate-for-wi-free

 

 

PS. Dorzucam parę przydatnych linków z zagranicznych stron:
https://www.upc.hu/ugyfelszolgalat/hibaelharitas/internet/wi-free-beallitas/ (kliknąć w ostatni punkt)
https://www.upc.cz/internet/doplnky/wifree/#co (na dole strony)

 

Instrukcje, dość obrazkowe:
https://www.upc.sk/_docs/navody/int/wifree-instrukcie-android.pdf
https://www.upc.sk/_docs/navody/int/wifree-instrukcie-win7.pdf

Nauczyciel
524 139 24

Podniesienie bezpieczeństwa usługi Wi-Free - Linux LEDE OpenWrt Gargoyle

Pod Linuksem sprawa jest łatwiejsza niż pod Windows i pozostałymi systemami, wystarczy ustawić połączenie w Network-Manager:

 

wi-free-linux.jpg

 

Podaję również konfigurację dla tych, którzy nie korzystają z trybu graficznego.

 

 

LINUX

 

/etc/wpa_supplicant/wpa_supplicant.conf

Spoiler

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
update_config=1
country=EU
fast_reauth=0
eapol_version=2
dot11RSNAConfigSATimeout=120
#filter_ssids=1

network={
scan_ssid=0
# ssid="UPC Wi-Free #sprawdzUPCMobile!"
bssid=11:22:33:44:55:66 #Adres MAC routera nadajacego Wi-Free
key_mgmt=WPA-EAP
pairwise=CCMP
proto=WPA2
eap=TTLS
phase1="peaplabel=1"
phase2="auth=MSCHAPV2"
ca_cert="/etc/ssl/certs/LGI_Root_CA.cer"
domain_suffix_match="wifi-auth.upc.biz"
identity="login"
password="hasło"
disabled=0
}

Nawiązanie połączenia:

Spoiler
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf

dhclient wlan0

Wi-Free uruchamiane ze startem systemu:

/etc/network/interfaces

Spoiler
allow-hotplug wlan0
iface wlan0 inet manual
wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf
###zamiast sterownika wext można użyć wired lub nl80211
post-up iwlist wlan0 scan
post-up dhclient wlan0
post-down killall -q wpa_supplicant

 

 

LEDE, OpenWrt oraz Gargoyle

 

Wymaga pakietu wpad lub wpa-supplicant.

/etc/config/wireless

Spoiler
config wifi-iface
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2+ccmp'
option eap_type 'ttls'
option phase1 'peaplabel=1'
option phase2 'auth=MSCHAPV2'
option identity 'Twój login'
option password 'Twoje hasło'
option device 'radio0'
option mode 'sta'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer' #ścieżka do pliku z certyfikatem
option domain_suffix_match 'wifi-auth.upc.biz'
option wps_pushbutton '0'


/etc/config/network

Spoiler
config interface 'upcwifree'
    option proto 'dhcp'

/etc/config/firewall - przypisać do sekcji WAN:

Spoiler
config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan wan6 upcwifree'

 

Konto zbanowane
441 160 27

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Linux LEDE OpenWrt Gargoyle

Szkoda, że normalnej, domowej sieic wifi tak zabezpieczyć nie można 

W domu to tylko WPA2 personal :(

Chętnie by się takiego enterprise poużywało, albo jeszcze lepiej WPA3.

 

No ale tak na prawdę większość niebezpieczeństw i tak polega na tym, że w coś kliekniemy, coś pobierzemy, coś uruchomimy, a nie że ktoś podłączy się do sieci.

 

Na connectbox brakuje mi też izolacji klientów po wifi - stary thomson to miał :|

Niestety jak coś "bardziej zaawansowanego" to tylko swój sprzęt pozostaje kupić.

Konto zbanowane
2383 537 108

Re: Podniesienie bezpieczeństwa usługi Wi-Free - Linux LEDE OpenWrt Gargoyle

Ale CB ma chyba sieć gościnną co nie? To tam jest ta izolacja klientów po wifi przecież. No i jest jeszcze Wi-Free

https://zanimnapiszesz.info
Nauczyciel
524 139 24

Re: Podniesienie bezpieczeństwa usługi Wi-Free


@Informatygnapisał(a):

No ale tak na prawdę większość niebezpieczeństw i tak polega na tym, że w coś kliekniemy, coś pobierzemy, coś uruchomimy, a nie że ktoś podłączy się do sieci.

 


To swoją drogą

 

Cała zabawa w połączenie Wi-Free z certyfikatem jest głównie po to, żeby ktoś nam nie ukradł danych logowania i nie zrobił z nich złego użytku na nasze konto. Jest podobno wiele milionów hotspotów Wi-Free w Europie, niektórzy łączą się w nieznanych, przypadkowych miejscach więc warto pomyśleć o bezpieczeństwie.

 

 

 

 

Konto zbanowane
441 160 27

Re: Podniesienie bezpieczeństwa usługi Wi-Free

@MrPepka  nie ma izolacji kl na connectbox, w sieci gościnnej urządzenia mogą się komunikować z innymi urządzeniami z sieci gościnnej, a ja bym chętnie zablokował aby nawet w sieci domowej nic się ze sobą nie komunikowało, bo nie korzystam z tego typu funkcjonalności, a tylko czy to wirusa czy coś idzie złapać + niepotrzebnie cały czas zapora na komputerze blokuje komunikacje z różnymi urządzeniami, ba nawet horizon próbuje się ciągle komunikować z kompem nwm po co tak na prawdę (a działa tylko jako access point).

 

Jak miałem starego thomsona to sprzęty po wifi nie komunikowały się z siecią lokalną i było fajnie.

Tak samo brakuje możliwości zablokowania dostępu do panelu konfiguracyjnego przez wifi czy to w connectbox czy co gorsza w horizonie gdzie domyślnie jest admin/admin, a hasło do wifi, nawet jak zmienimy to wyświetla nam się na TV, więc każdy gość może poznać hasło

 

Co do danych logowania do wififree to ja po prostu je wyłączyłem, lepszej opcji nie ma, ale jak ktoś używa to opcja z certyfikatem jak najbardziej spoko, dziwne tylko, że oficjalnie UPC Polska nie udostępnia tego certyfikatu wraz z instrukcją jak tego używać.

Podejrzewam, że jest to spowodowane tym, że i tak dla zdecydowanej większości samo połączenie się z wifi free graniczy z cudem, bo jest dla nich zbyt skomplikowane, a jeszcze gdyby jakieś certyfikaty dodali, to już w ogóle byłoby to dla niektórych nie do przejścia.

Tak czy inaczej powinni to oficjalnie udostępnić na swojej stronie, gdzieś w bazie wiedzy np. Zawsze znaleźli by się chętnie co by z tego skorzystali, zwłaszcza, że chyba nic za to zapłacić by nie musieli, ot zwykła edycja swojej strony, w końcu cały czas coś w bazie wiedzy zmieniają.

(Chociaż o komórkach dalej jakoś info się nie pojawiło)

Nauczyciel
524 139 24

Re: Podniesienie bezpieczeństwa usługi Wi-Free


@Informatygnapisał(a):

dziwne tylko, że oficjalnie UPC Polska nie udostępnia tego certyfikatu wraz z instrukcją jak tego używać.

Podejrzewam, że jest to spowodowane tym, że i tak dla zdecydowanej większości samo połączenie się z wifi free graniczy z cudem, bo jest dla nich zbyt skomplikowane, a jeszcze gdyby jakieś certyfikaty dodali, to już w ogóle byłoby to dla niektórych nie do przejścia.

Tak czy inaczej powinni to oficjalnie udostępnić na swojej stronie, gdzieś w bazie wiedzy np. Zawsze znaleźli by się chętnie co by z tego skorzystali, zwłaszcza, że chyba nic za to zapłacić by nie musieli, ot zwykła edycja swojej strony, w końcu cały czas coś w bazie wiedzy zmieniają.


Zgadzam się, że powinni uzupełnić bazę wiedzy, zwłaszcza, że takie instrukcje są dostępne na zagranicznych stronach odpowiedników UPC.

 

A do tego czasu zachęcam użytkowników Wi-Free do udziału w temacie i dopisywanie działajacych konfiguracji dla innych urządzeń/systemów. Lepiej, żeby było na forum niż wcale