10Jul
Do sada, većina ljudi zna da otvorena Wi-Fi mreža omogućuje ljudima prisluškivanje vašeg prometa.Šifriranje standardnog WPA2-PSK trebalo bi spriječiti da se to dogodi - ali nije tako besprijekoran kao što mislite.
Ovo nije velika vijest o novoj sigurnosnoj maniri. Umjesto toga, to je način na koji je WPA2-PSK uvijek bio implementiran. Ali to je nešto što većina ljudi ne zna.
Otvorene Wi-Fi mreže vs šifrirane Wi-Fi mreže
Ne biste trebali ugostiti otvorenu Wi-Fi mrežu kod kuće, ali možete se naći u javnoj uporabi - na primjer, u kafiću, dok prolazite krozzračne luke ili u hotelu. Otvorene Wi-Fi mreže nemaju šifriranje, što znači da je sve što se šalje preko zraka "jasno". Korisnici mogu nadzirati vašu aktivnost pregledavanja, a svaka aktivnost na mreži koja nije osigurana samim enkripcijom može se prekinuti. Da, to je istina čak i ako se morate prijaviti korisničkim imenom i zaporkom na web stranici nakon što se prijavite na otvorenu Wi-Fi mrežu.Šifriranje
- poput WPA2-PSK enkripcije koju preporučujemo da koristite kod kuće - donekle to popravlja. Netko u blizini ne može jednostavno uhvatiti vaš promet i njuškati se. Dobit će hrpu šifriranog prometa. To znači da šifrirana Wi-Fi mreža štiti od vašeg privatnog prometa.
To je nešto istina - ali ovdje postoji velika slabost.
WPA2-PSK koristi zajednički ključ
Problem s WPA2-PSK je taj da koristi "Pre-Shared Key". Ovaj ključ je lozinka ili zaporka, morate unijeti za povezivanje s Wi-Fi mrežom. Svatko tko povezuje koristi istu zaporku.
Netko je prilično jednostavan za praćenje ovog šifriranog prometa. Sve što im je potrebno je:
- Passphrase : svatko tko ima dopuštenje za povezivanje s Wi-Fi mrežom ima ovo.
- Promet udruge za novog klijenta : Ako netko hvata pakete poslane između usmjerivača i uređaja prilikom povezivanja, oni imaju sve što im je potrebno za dešifriranje prometa( pod pretpostavkom da imaju i zaporku, naravno).Također je trivijalan za taj promet putem "deauth" napada koji prisilno odspojite uređaj s Wi_Fi mreže i prisiliti ga da se ponovno poveže, uzrokujući ponovni postupak povezivanja.
Stvarno, ne možemo naglasiti koliko je to jednostavno. Wireshark ima ugrađenu opciju automatskog dešifriranja WPA2-PSK prometa sve dok imate pre-dijeljeni ključ i snimili ste promet za proces pridruživanja.
Što to zapravo znači
Što to zapravo znači jest da WPA2-PSK nije puno sigurniji od prisluškivanja ako ne vjerujete svima na mreži. Kod kuće trebate biti sigurni jer je vaša Wi-Fi zaporka tajna.
Međutim, ako izlazite u kafić i upotrebljavate WPA2-PSK umjesto otvorene Wi-FI mreže, možda ćete se osjećati mnogo sigurnije u vašoj privatnosti. Ali ne biste trebali - svatko tko ima Wi-Fi zaporku za kafiću može pratiti vaš promet pregledavanja. Drugi ljudi na mreži, ili samo drugi ljudi s lozinkom, mogli bi skočiti na vaš promet ako žele.
Obavezno uzmite u obzir. WPA2-PSK sprječava korisnike bez pristupa mreži od njuškanja. Međutim, nakon što imaju mrežnu zaporku, sve oklade su isključene.
Zašto WPA2-PSK ne pokušava zaustaviti ovo?
WPA2-PSK zapravo pokušava zaustaviti to upotrebom "parcijalnog prijelaznog ključa"( PTK).Svaki bežični klijent ima jedinstveni PTK.Međutim, to ne pomaže mnogo jer jedinstveni ključ po klijentu uvijek proizlazi iz unaprijed dijeljenog ključa( Wi-Fi zaporka). Zato je trivijalno zabilježiti jedinstveni ključ klijenta sve dok imate Wi-Fi passphrase i može uhvatiti promet koji se šalje putem postupka pridruživanja.
WPA2-Enterprise rješava ovaj. .. za velike mreže
Za velike organizacije koje zahtijevaju sigurnu Wi-Fi mrežu, ovu sigurnost slabost može se izbjeći pomoću EAP authantication s RADIUS poslužiteljem - ponekad se zove WPA2-Enterprise. S ovim sustavom svaki Wi-Fi klijent prima uistinu jedinstven ključ.Nijedan Wi-Fi klijent nema dovoljno informacija da bi se samo počelo njuškati na drugom klijentu, pa to pruža mnogo veću sigurnost. Veliki korporativni uredi ili vladine agencije trebaju koristiti WPA2-Enteprise iz tog razloga.
Ali to je prekomplicirano i složeno za veliku većinu ljudi - ili čak većinu geekova - da ih koriste kod kuće. Umjesto Wi-Fi zaporke morate unijeti na uređaje koje želite povezati, trebali biste upravljati RADIUS poslužiteljem koji obrađuje autentifikaciju i upravljanje ključem. To je puno komplicirano za kućne korisnike da se postave.
Zapravo, ne vrijedi ni vaše vrijeme ako vjerujete svima na vašoj Wi-Fi mreži ili svima koji imaju pristup vašoj Wi-Fi zaporci. To je neophodno samo ako ste povezani s WPA2-PSK šifriranom Wi-Fi mrežom na javnoj lokaciji - kafiću, zračnoj luci, hotelu ili čak većem uredu - gdje drugi korisnici kojima ne vjerujete imaju Wi-FI mrežna zaporka.
Dakle, padne nebo? Ne, naravno da ne. No, imajte to na umu: kada ste povezani s mrežom WPA2-PSK, ostali korisnici koji imaju pristup toj mreži mogli bi lakše skočiti na vaš promet. Unatoč onome što većina ljudi vjeruje, ta enkripcija ne pruža zaštitu od drugih ljudi koji imaju pristup mreži.
Ako morate pristupiti osjetljivim web stranicama na javnoj Wi-Fi mreži - osobito na web stranicama koje ne koriste HTTPS enkripciju - razmotrite to putem VPN-a ili čak SSH tunela.Šifriranje WPA2-PSK na javnim mrežama nije dovoljno dobro.
Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr