Pokud je použito šifrování WPA(2), tak každý klient komunikuje s přístupovým bodem s vlastním klíčem. Shared key je sice stejný (pokud není využita autentifikace EAP), ale na základě toho je generován šifrovací klíč pro každého wifi klienta zvlášť a v pravidelných intervalech se také šifrovací klíče mění. Jediné, co vidí ostatní uživatelé jsou broadcasty (typu windows netbios, arp).

Komunikaci je vždycky možné zachytit na každém routru, kterým komunikace prochází (od VPN koncentrátoru v internetu až po cílový bod). Vše je samozřejmě možné zabezpečit. Od mého routru dál tudíž k zabezpečení přistupuji tak, že po cestě ji může kdokoli vidět a s tímto předpokladem se tam také chovám. Jsou to zejména volby zabezpečených komunikačních prostředků (https, imaps, VPN pri připojení do mé domácí sítě) při přenosech obsahujících citlivé údaje (hesla, osobní údaje). Pro ostatní datové přenosy (hry, stahování souborů) na zabezpečení nekladu takový důraz, smířil jsem se s tím, že to může kdokoli vidět. Pro paranoiky existují metody END-to-END šifrování (například obsah emailu je i na serveru uložen šifrovaný a lze ho přečíst jen z ověřené stanice (s patřičnou druhou půlkou klíče, která ho je schopná rozšifrovat).

Nechci nějak nabourávat vaši myšlenku, počítačová (síťová) bezpečnost je součástí mojí práce a tudíž bych například neměl nejmenší problém vámi navržené řešení zrealizovat a používat, ale ani mě nepřijde nutné tohle dělat. Protože stejně od toho VPN koncentrátoru veškerá komunikace je vidítelná. Prochází sítěmi operátorů, NIXem.

A pokud opravdu trváte na paranoidním řešení, pak o VPN jako službě bych ani neuvažoval. Může komunikaci sledovat její provozovatel, a jako provozovatel může být terčem útoku, po jehož úspěchu by si útočníci mohli číst vaši komunikaci. Ceny u této možnosti neznám. Přijatelnější, i když né úplně ideální je virtuální server. Samozřejmě s dostatečným výkonem (online šifrování je dost výpočetně náročný výkon a se zvyšující se rychlostí připojení je to čím dál noročnější) a dostatečně tlustou linkou (jak do datového objemu, tak do rychlosti, protože veškerá komunikace do internetu tou linkou poteče fakticky dvakrát - jednou šifrovaně ve VPN, podruhé nešifrovaně ke koncovým serverům). Jak jsem uvedl, toto řešení není ideální, neboť provozovatel virtuálního prostředí může být schopen číst veškerou komunikaci přímo na portu toho serveru, kde jedna polovina je nešifrovaně a dovtípit se, že ta nešifrovaná část vlastně patří tomu druhému konci VPN tunelu, který tím samým portem také teče. Cena tohoto řešení bude asi tak od 500 do 2000 Korun měsíčně, podle spotřebovaného výkonu CPU a přenesených dat. Asi jediné dostupné a dostatečně bezpečné řešení je mít vlastní VPN koncentrátor hardwarový, může to být nějaký střední Mikrotik nebo EdgeRouter od UBNT (ten má výhodu, že má hw podporu šifrování, takže umí IPSec naprosto bez problémů přes 100Mbps) a dát ho někam do hostingu. Na switchích v hostingu je mnohem obtížnější udělat sniff na portu, to může udělat jen správce switche. Tady u tohoto řešení je nějaká vstupní cena (okolo 2000 za zařízení) a měsíční pronájem v hostingu, když budu schovívý, tak 1000 Korun měsíčně.

Doufám, že jsem problematiku rozebral dostatečně široce, abyste se byl schopen rozhodnout pro optimální řešení.