10Jul
Inzwischen wissen die meisten Leute, dass ein offenes Wi-Fi-Netzwerk es Benutzern ermöglicht, Ihren Datenverkehr abzuhören. Die Standard-WPA2-PSK-Verschlüsselung soll das verhindern - aber so sicher wie Sie vielleicht denken.
Dies sind keine großen Neuigkeiten über eine neue Sicherheitslücke. So wurde WPA2-PSK immer implementiert. Aber es ist etwas, was die meisten Leute nicht wissen.
Offene Wi-Fi-Netzwerke im Vergleich zu verschlüsselten Wi-Fi-Netzwerken
Sie sollten zu Hause kein offenes Wi-Fi-Netzwerk hosten, aber Sie können eines in der Öffentlichkeit nutzen - zum Beispiel in einem Café, während Sie durch einFlughafen oder in einem Hotel. Offene Wi-Fi-Netzwerke haben keine Verschlüsselung, was bedeutet, dass alles, was über die Luft gesendet wird, "im Klartext" ist. Die Leute können Ihre Browseraktivitäten überwachen, und alle Webaktivitäten, die nicht durch Verschlüsselung geschützt sind, können angeschaut werden. Ja, das gilt auch dann, wenn Sie sich nach der Anmeldung im offenen Wi-Fi-Netzwerk mit einem Benutzernamen und einem Passwort auf einer Webseite "anmelden" müssen.
-Verschlüsselung - wie die WPA2-PSK-Verschlüsselung, die Sie zu Hause empfehlen - behebt dies etwas. Jemand in der Nähe kann nicht einfach Ihren Verkehr erfassen und auf Sie schnüffeln. Sie werden eine Menge verschlüsselten Datenverkehr erhalten. Dies bedeutet, dass ein verschlüsseltes Wi-Fi-Netzwerk Ihren privaten Verkehr davor schützt, geschnüffelt zu werden.
Das ist richtig - aber hier ist eine große Schwäche.
WPA2-PSK verwendet einen gemeinsamen Schlüssel
Das Problem mit WPA2-PSK ist, dass ein "Pre-Shared Key" verwendet wird. Dieser Schlüssel ist das Passwort oder die Passphrase, die Sie eingeben müssen, um eine Verbindung zum Wi-Fi-Netzwerk herzustellen. Jeder, der eine Verbindung herstellt, verwendet dieselbe Passphrase.
Es ist ziemlich einfach für jemanden, diesen verschlüsselten Verkehr zu überwachen. Alles, was sie brauchen, ist:
- Die Passphrase : Jeder mit der Erlaubnis, sich mit dem Wi-Fi-Netzwerk zu verbinden, wird dies haben.
- Der Verbindungsdatenverkehr für einen neuen Client : Wenn jemand die zwischen dem Router und einem Gerät beim Verbindungsaufbau gesendeten Pakete erfasst, haben sie alles, was sie zum Entschlüsseln des Datenverkehrs benötigen( vorausgesetzt, sie haben natürlich auch die Passphrase).Es ist auch trivial, diesen Datenverkehr über "deauth" -Angriffe zu erhalten, die ein Gerät gewaltsam von einem Wi-Fi-Netzwerk trennen und es zwingen, sich erneut zu verbinden, wodurch der Zuordnungsprozess erneut auftritt.
Wirklich, wir können nicht betonen, wie einfach das ist. Wireshark verfügt über eine integrierte Option zum automatischen Entschlüsseln von WPA2-PSK-Datenverkehr, sofern Sie über den Pre-Shared Key verfügen und den Datenverkehr für den Zuordnungsprozess erfasst haben.
Was das eigentlich bedeutet
Was das bedeutet, ist, dass WPA2-PSK nicht viel sicherer gegen Lauschangriffe ist, wenn Sie nicht jedem im Netzwerk vertrauen. Zu Hause sollten Sie sicher sein, da Ihre WLAN-Passphrase ein Geheimnis ist.
Wenn Sie jedoch in ein Café gehen und WPA2-PSK anstelle eines offenen Wi-Fi-Netzwerks verwenden, fühlen Sie sich viel sicherer in Ihrer Privatsphäre. Aber Sie sollten nicht - jeder mit der WiFi-Passphrase des Coffee Shops könnte Ihren Surfverkehr überwachen. Andere Personen im Netzwerk oder andere Personen mit der Passphrase können Ihren Datenverkehr ausspionieren, wenn sie möchten.
Achten Sie darauf, dies zu berücksichtigen. WPA2-PSK verhindert, dass Personen ohne Zugriff auf das Netzwerk schnüffeln. Sobald sie jedoch die Passphrase des Netzwerks haben, sind alle Wetten deaktiviert.
Warum versucht WPA2-PSK das nicht zu stoppen?
WPA2-PSK versucht tatsächlich, dies durch die Verwendung eines "paarweisen transienten Schlüssels"( PTK) zu stoppen. Jeder drahtlose Client hat eine eindeutige PTK.Dies hilft jedoch wenig, da der eindeutige pro-Client-Schlüssel immer vom Pre-Shared-Schlüssel( der Wi-Fi-Passphrase) abgeleitet wird. Daher ist es einfach, den eindeutigen Schlüssel eines Clients zu erfassen, solange Sie denFi-Passphrase und kann den über den Assoziationsprozess gesendeten Datenverkehr erfassen.
WPA2-Enterprise löst dies. .. Für große Netzwerke
Für große Unternehmen, die sichere Wi-Fi-Netzwerke benötigen, kann diese Sicherheitsschwäche durch die Verwendung der EAP-Authentifizierung mit einem RADIUS-Server - manchmal auch WPA2-Enterprise genannt - vermieden werden. Mit diesem System erhält jeder Wi-Fi-Client einen wirklich eindeutigen Schlüssel. Kein Wi-Fi-Client verfügt über genügend Informationen, um mit dem Snooping auf einem anderen Client zu beginnen. Dies bietet eine wesentlich höhere Sicherheit. Große Firmenbüros oder Behörden sollten aus diesem Grund WPA2-Enteprise verwenden.
Aber das ist zu kompliziert und komplex für die überwiegende Mehrheit der Menschen - oder sogar die meisten Geeks - zu Hause zu verwenden. Anstelle einer Wi-Fi-Passphrase müssen Sie die Geräte eingeben, die Sie verbinden möchten. Sie müssen einen RADIUS-Server verwalten, der die Authentifizierung und Schlüsselverwaltung übernimmt. Dies ist für Heimbenutzer viel komplizierter einzurichten.
Tatsächlich ist es nicht einmal Ihre Zeit wert, wenn Sie jedem in Ihrem Wi-Fi-Netzwerk oder jedem, der Zugriff auf Ihre WLAN-Passphrase hat, vertrauen. Dies ist nur notwendig, wenn Sie mit einem WPA2-PSK-verschlüsselten Wi-Fi-Netzwerk an einem öffentlichen Ort - Café, Flughafen, Hotel oder sogar einem größeren Büro - verbunden sind, in dem auch andere Personen, denen Sie nicht vertrauen, Passphrase des FI-Netzwerks.
Also, fällt der Himmel? Nein natürlich nicht. Beachten Sie jedoch Folgendes: Wenn Sie mit einem WPA2-PSK-Netzwerk verbunden sind, können andere Personen mit Zugriff auf dieses Netzwerk leicht auf Ihren Datenverkehr zugreifen. Ungeachtet dessen, was die meisten Leute glauben, bietet diese Verschlüsselung keinen Schutz gegen andere Personen mit Zugang zum Netzwerk.
Wenn Sie auf sensible Sites in einem öffentlichen Wi-Fi-Netzwerk zugreifen müssen - insbesondere auf Websites, die keine HTTPS-Verschlüsselung verwenden -, sollten Sie dies über einen VPN- oder sogar einen SSH-Tunnel tun. Die WPA2-PSK-Verschlüsselung in öffentlichen Netzwerken ist nicht gut genug.
Bildquelle: Cory Doctorow auf Flickr, Food Group auf Flickr, Robert Couse-Baker auf Flickr