10Jul
Praegu tunneb enamik inimesi, et avatud WiFi-võrk võimaldab inimestel kuulata teie liiklust. Standardne WPA2-PSK-krüpteerimine peaks selle ära hoidma - aga see pole nii lollikindel kui võite arvata.
See ei ole tohutu uudis uue turvaprobleemi kohta. Selle asemel on WPA2-PSK alati rakendatud. Kuid see on midagi, mida enamik inimesi ei tea.
Avatud Wi-Fi võrgud vs. krüptitud Wi-Fi võrgud
Koduvõrku ei tohiks hoida avatud WiFi-võrku, kuid võib-olla leiad, et kasutate seda avalikult - näiteks kohvikus, läbideslennujaamas või hotellis. Avatud WiFi-võrgud ei krüpteerita, mis tähendab, et kõik, mis saadetakse õhus, on "selge". Inimesed saavad jälgida teie sirvimist ja veebitegevust, mis ei ole krüptimisega kaitstud, saab jälgida. Jah, see kehtib ka siis, kui peate pärast avatud veebibrauserisse sisselogimist veebi lehel oma kasutajanime ja parooli sisse logima.
krüptimine - nagu WPA2-PSK-krüpteerimine, mida soovitame teil kodus kasutada - parandab seda mõnevõrra. Keegi läheduses ei saa lihtsalt oma liiklust lüüa ja snoop teile. Nad saavad hulga krüptitud liiklust. See tähendab, et krüpteeritud WiFi-võrk kaitseb teie privaatset liiklust.
See on tõsi - aga seal on suur nõrkus.
WPA2-PSK Kasutab jagatud võtit
Probleem WPA2-PSK-iga on see, et see kasutab eeljagatud võtmenüüd. See võti on parool või paroolifraas, mida peate sisestama Wi-Fi võrguga ühenduse loomiseks. Igaüks, kes ühendab, kasutab sama paroolifraasi.
See on üsna lihtne, kui keegi jälgib seda krüptitud liiklust. Kõik, mida nad vajavad, on:
- Paroolifraas : igaüks, kellel on luba Wi-Fi-võrguga ühenduse loomiseks, on see.
- Uue kliendi seotuse liiklus: kui keegi võtab porti, mis on saadetud ruuteri ja seadme vahel, kui ta ühendab, on neil kõik, mis on vajalik liikluse dekrüpteerimiseks( eeldades, et neil on ka muidugi paroolifraas).Samuti on triviaalne, et saada see liiklus deauth-rünnakute kaudu, mis seovad jõuga seadme Wi_Fi võrgust välja ja sundida seda uuesti ühendama, põhjustades seotuse protsessi uuesti.
Tõepoolest, me ei saa rõhutada, kui lihtne see on. Wiresharkil on sisseehitatud võimalus WPA2-PSK-i liiklust automaatselt dekrüpteerida, kui teil on eelnevalt jagatud võti ja olete võtnud kokku ühinemisprotsessi liikluse.
Mida see tegelikult tähendab
Mida see tegelikult tähendab, et WPA2-PSK pole pealtkuulamise eest palju turvalisem, kui te ei usalda kõiki võrku. Kodus peaksite olema turvaline, kuna teie WiFi-parool on salajane.
Kuid kui te lähete kohvikusse ja nad kasutavad avatud Wi-Fi-võrgu asemel WPA2-PSK-d, võite privaatsuses end turvalisemaks tunda. Kuid te ei tohiks - igaüks, kel on kohviku WiFi-i paroolifraas, võiks jälgida teie sirvimist liiklust. Võrgus olevad inimesed või lihtsalt teised paroolifraasiga inimesed võivad oma liiklust jälgida, kui nad seda soovivad.
Kindlasti arvestage seda. WPA2-PSK takistab inimestel, kellel puudub juurdepääs võrgule, ebaõnnestuma. Siiski, kui neil on võrgu paroolifraas, on kõik ennustused välja lülitatud.
Miks WPA2-PSK ei püüa seda peatada?
WPA2-PSK üritab selle peatada, kasutades paarikaupa mööduvat võtit( PTK).Igal traadita kliendil on unikaalne PTK.Kuid see ei aita palju, sest ainulaadne kliendiklahv tuleneb alati eeljagatud võtmest( Wi-Fi paroolifraas). Seepärast on kliendi unikaalse võtme hõivamiseks nii tühine, kui teil on Wi-Fi-sisselogimisparooli ja võib sidumisprotsessi kaudu edastatud liiklust hõivata.
WPA2-Enterprise lahendab selle. .. suurte võrkude puhul
Suurematele organisatsioonidele, kes nõuavad turvalisi Wi-Fi-võrke, saab seda julgeoleku nõrkust vältida, kasutades EAP-i autohaldust RADIUS-serveriga, mida mõnikord nimetatakse WPA2-Enterpriseiks. Selle süsteemiga saab iga Wi-Fi klient tõeliselt unikaalse võtme.Ükski Wi-Fi-kliendil pole piisavalt teavet, et lihtsalt alustada teise kliendi snoopimist, seega pakub see palju suuremat turvalisust. Sel põhjusel peaks WPA2-Enteprise kasutama suurettevõtteid või valitsusasutusi.
Kuid see on liiga keeruline ja keeruline, et enamik inimesi - või isegi kõige rohkem geeks - saaksid kodus kasutada. Wi-FI-i parooli asemel peate sisestama seadmetesse, mida soovite ühendada, tuleb teil hallata RADIUS-serverit, mis käitleb autentimist ja võtmehaldust. See on palju keerukam kodu kasutajatele seadistamiseks.
Tegelikult ei pruugi isegi oma aja väärt olla, kui te usaldate kõiki oma Wi-Fi-võrku või kõiki, kellel on juurdepääs teie WiFi-sisselogimisparoolile. See on vajalik ainult siis, kui olete ühenduses WPA2-PSK krüpteeritud WiFi-võrguga üldkasutatavas kohas - kohvikus, lennujaamas, hotellis või isegi suuremas kontoris, kus ka teisi inimesi, keda te ei usalda, on ka Wi-FI võrgu paroolifraas.
Kas taevas langeb? Ei, muidugi mitte. Kuid pidage meeles järgmist. Kui olete ühendatud WPA2-PSK-võrguga, võivad teised, kellel on juurdepääs sellele võrgule, hõlpsalt teie liiklust jälgida. Hoolimata sellest, mida enamik inimesi usub, ei anna see krüpteerimine teiste võrkudega inimestele kaitset.
Kui peate juurdepääsu avalikele Wi-Fi-võrkudele tundlikele saitidele, eriti veebisaitidele, mis ei kasuta HTTPS-krüpteerimist, kaaluge seda VPN-i või isegi SSH-tunneli kaudu. Avalike võrkude WPA2-PSK-krüpteerimine pole piisavalt hea.
Image Credit: Frickr Cory Doctorow, Flickr Food Group, Robert Couse-Baker Fillr
