10Jul
Până acum, majoritatea oamenilor știu că o rețea Wi-Fi deschisă permite oamenilor să asculte traficul. Se presupune că criptarea standard WPA2-PSK împiedică acest lucru să se întâmple - dar nu este la fel de sigur cum credeți.
Aceasta nu este o veste uriașă despre un nou defect de securitate. Mai degrabă, acesta este modul în care WPA2-PSK a fost întotdeauna implementat. Dar este ceva ce majoritatea oamenilor nu știu.
Rețele Wi-Fi deschise față de rețelele Wi-Fi criptate
Nu trebuie să găzduiți o rețea Wi-Fi deschisă acasă, dar vă puteți găsi pe cont propriu în public - de exemplu, la o cafenea, în timp ce treceți printr-o rețeaaeroport, sau într-un hotel. Rețelele Wi-Fi deschise nu au nicio criptare, ceea ce înseamnă că totul trimis peste aer este "clar". Oamenii pot monitoriza activitatea dvs. de navigare, iar orice activitate web care nu este protejată prin criptare poate fi snoată.Da, acest lucru este valabil și dacă trebuie să vă conectați cu un nume de utilizator și o parolă pe o pagină Web după conectarea la rețeaua Wi-Fi deschisă.Criptarea
- cum ar fi criptarea WPA2-PSK pe care o recomandăm să o utilizați acasă - remediază acest lucru oarecum. Cineva din apropiere nu poate pur și simplu să vă capteze traficul și să vă sune pe tine. Vor lua o grămadă de trafic criptat. Aceasta înseamnă că o rețea criptată Wi-Fi vă protejează traficul privat de a nu fi supus.
Acesta este un fel de adevărat - dar aici există o mare slăbiciune.
WPA2-PSK utilizează o cheie comună
Problema cu WPA2-PSK este că utilizează o cheie "Pre-Shared Key". Această cheie este parola sau fraza de acces, trebuie să introduceți pentru a vă conecta la rețeaua Wi-Fi. Toți cei care le conectează utilizează aceeași expresie de acces.
Este destul de ușor pentru cineva să monitorizeze traficul criptat. Tot ce au nevoie este:
- Fraza de acces : Toată lumea care are permisiunea de a se conecta la rețeaua Wi-Fi va avea aceasta.
- Traficul de asociere pentru un nou client : Dacă cineva captează pachetele trimise între router și un dispozitiv atunci când se conectează, au tot ce au nevoie pentru a decripta traficul( presupunând că au și fraza de acces, desigur).Este, de asemenea, banal să obțineți acest trafic prin intermediul atacurilor "deauth" care deconectează cu forța un dispozitiv dintr-o rețea Wi-Fi și îl forțează să se reconecteze, provocând din nou procesul de asociere.
Într-adevăr, nu putem sublinia cât de simplu este acest lucru. Wireshark are o opțiune încorporată pentru a decripta automat traficul WPA2-PSK atâta timp cât aveți cheia pre-distribuită și ați capturat traficul pentru procesul de asociere.
Ce înseamnă de fapt
Ce înseamnă de fapt acest lucru este faptul că WPA2-PSK nu este mult mai sigur împotriva interceptării, dacă nu aveți încredere în toată lumea în rețea. La domiciliu, ar trebui să fii sigur, deoarece fraza de acces Wi-Fi este un secret.
Cu toate acestea, dacă ieșiți la o cafenea și utilizați WPA2-PSK în locul unei rețele Wi-FI deschise, s-ar putea să vă simțiți mult mai sigură în intimitatea dvs. Dar nu ar trebui - cineva cu fraza de acces Wi-Fi de la magazinul de cafea ar putea monitoriza traficul dvs. de navigare. Alte persoane din rețea, sau doar alte persoane cu fraza de acces, ar putea să vă spună traficul, dacă doreau.
Asigurați-vă că luați în considerare acest lucru. WPA2-PSK împiedică persoanele care nu au acces la rețea de la snooping. Cu toate acestea, odată ce au fraza de acces a rețelei, toate pariurile sunt dezactivate.
De ce nu încercați WPA2-PSK să opriți acest lucru?
WPA2-PSK încearcă să oprească acest lucru prin utilizarea unei "chei tranzitorii pereche"( PTK).Fiecare client wireless are un PTK unic. Cu toate acestea, acest lucru nu ajută prea mult, deoarece cheia unică pentru fiecare client este întotdeauna derivată din cheia pre-distribuită( fraza de acces Wi-Fi). De aceea este banal să capturați cheia unică a clientului atâta timp cât aveți Wi-Fi și poate capta traficul trimis prin procesul de asociere.
WPA2-Enterprise rezolvă această problemă. .. Pentru rețelele mari
Pentru organizațiile mari care solicită rețele Wi-Fi securizate, această slăbiciune de securitate poate fi evitată prin utilizarea automatizării EAP cu un server RADIUS - numit uneori WPA2-Enterprise. Cu acest sistem, fiecare client Wi-Fi primește o cheie cu adevărat unică.Niciun client Wi-Fi nu are suficiente informații pentru a începe snooping pe un alt client, astfel încât acesta oferă o securitate mult mai mare.Întreprinderile mari sau agenții guvernamentale ar trebui să utilizeze WPA2-Enteprise din acest motiv.
Dar acest lucru este prea complicat și complex pentru marea majoritate a oamenilor - sau chiar cei mai mulți geeks - de a folosi acasă.În loc de o frază de acces Wi-FI trebuie să introduceți pe dispozitivele pe care doriți să le conectați, va trebui să gestionați un server RADIUS care gestionează autentificarea și gestionarea cheilor. Acest lucru este mult mai complicat pentru utilizatorii de acasă să înființeze.
De fapt, nici nu merită timpul dacă aveți încredere în toată lumea din rețeaua Wi-Fi sau oricine are acces la fraza de acces Wi-Fi. Acest lucru este necesar numai dacă sunteți conectat( ă) la o rețea Wi-Fi criptată WPA2-PSK într-o locație publică - cafenea, aeroport, hotel sau chiar un birou mai mare - în cazul în care alte persoane cărora nu aveți încredere aveți și Wi-Fișa de acces a rețelei FI.
Deci, cerul cade? Nu, desigur că nu. Dar, rețineți acest lucru: când sunteți conectat( ă) la o rețea WPA2-PSK, alte persoane care au acces la rețeaua respectivă ar putea să observe cu ușurință traficul dvs.În ciuda faptului că majoritatea oamenilor cred că această criptare nu oferă protecție împotriva altor persoane care au acces la rețea.
Dacă trebuie să accesați site-uri sensibile dintr-o rețea publică Wi-Fi - în special, site-uri care nu utilizează criptarea HTTPS - luați în considerare acest lucru printr-un VPN sau chiar un tunel SSH.Criptarea WPA2-PSK pe rețelele publice nu este suficient de bună.
Image Credit: Cory Doctorow pe Flickr, Food Group pe Flickr, Robert Couse-Baker pe Flickr