10Jul
Mostanra a legtöbb ember tudja, hogy egy nyitott Wi-Fi hálózat lehetővé teszi az embereknek, hogy lehallgassák a forgalmukat. A szabványos WPA2-PSK titkosítás megakadályozza, hogy ez megtörténjen - de ez nem olyan biztos, mint gondolná.
Ez nem hatalmas hír az új biztonsági hibákról. Inkább a WPA2-PSK-t mindig alkalmazták. De ez valami, amit a legtöbb ember nem tud.
Nyissa meg a Wi-Fi hálózatokat és a titkosított Wi-Fi hálózatokat
Otthon ne nyissa meg a nyitott Wi-Fi hálózatot, de egy nyilvános helyen is találhat magának - például egy kávézóban, miközben egyrepülőtéren, vagy egy szállodában. A megnyitott Wi-Fi hálózatoknak nincs titkosításuk, ami azt jelenti, hogy minden, ami a levegőbe kerül, "egyértelműen". Az emberek figyelemmel kísérhetik a böngészési tevékenységüket, és minden olyan internetes tevékenység, amely nem titkosított titkosítva van, elakadhat. Igen, ez igaz is, ha be kell jelentkeznie egy felhasználónévvel és jelszóval a weboldalon, miután bejelentkeztél a nyitott Wi-Fi hálózathoz. Az
titkosítás - mint a WPA2-PSK titkosítás, amelyet otthon használunk - ez némileg javítja. A közelben tartózkodó személy nemcsak egyszerűen elkaphatja a forgalmát, és elviselheti magát. Kapnak egy csomó titkosított forgalmat. Ez azt jelenti, hogy egy titkosított Wi-Fi hálózat megvédi a privát forgalmat attól,
Ez igazán igaz - de itt van egy nagy gyengeség.
WPA2-PSK megosztott kulcsot használ
A WPA2-PSK-vel kapcsolatos probléma az, hogy "Pre-Shared Key" -ot használ. Ez a kulcs a jelszó vagy jelszó, amelyet meg kell adnia ahhoz, hogy csatlakozzon a Wi-Fi hálózathoz. Mindenki, aki csatlakozik, ugyanazt a jelszót használja.
Egyszerűen könnyű valaki megfigyelni ezt a titkosított forgalmat. Minden, amire szükségük van:
- Az jelmondat: Mindenkinek, akinek engedélye van a Wi-Fi hálózathoz való csatlakozáshoz, ez lesz.
- Az új ügyfelének társulási forgalma: Ha valaki befogja az útválasztó és az eszköz közötti összeköttetések között küldött csomagokat, mindennek megvan mindent, amire szüksége van a forgalom visszafejtéséhez( feltételezve, hogy természetesen tartalmazzák a jelszót is).Ugyancsak triviális, hogy ezt a forgalmat "deauth" támadásokkal kapja meg, amelyek erőszakosan leválasztják az eszközt egy Wi_Fi hálózatról, és kényszerítik újra csatlakozásra, ami ismételten megtörténik az egyesülési folyamat.
Igazából nem tudjuk hangsúlyozni, hogy ez milyen egyszerű.A Wireshark beépített opcióval rendelkezik a WPA2-PSK forgalmának automatikus dekódolására mindaddig, amíg van az előre megosztott kulcs, és rögzítette a társítási folyamat forgalmát.
Ez valójában az
-t jelenti. Ami ez valójában azt jelenti, hogy a WPA2-PSK nem sokkal biztonságosabb a lehallgatás ellen, ha nem bízik a hálózatban mindenkiben. Otthon biztonságban kell lennie, mert a Wi-Fi jelszava titokban áll.
Ha azonban egy kávézóba jár, és WPA2-PSK-t használ a nyitott Wi-FI hálózat helyett, sokkal biztonságosabbá válhat az adatvédelemben. De nem szabad, hogy bárki, aki a kávézó Wi-Fi jelszavával figyelte a böngészési forgalmat. Más emberek a hálózaton, vagy csak más személyekkel, akik a jelszóval rendelkeznek, elakadhatnak a forgalmukon, ha akarják.
Mindig vegye figyelembe ezt. A WPA2-PSK megakadályozza, hogy az emberek hozzáférjenek a hálózathoz. Azonban, ha már rendelkeznek a hálózat jelmondatával, minden fogadás ki van kapcsolva.
Miért nem próbálja ezt megállítani a WPA2-PSK?
A WPA2-PSK valójában megpróbálja megállítani ezt a "párhuzamos tranziens kulcs" használatával( PTK).Minden egyes vezeték nélküli ügyfélnek egyedülálló PTK-ja van. Azonban ez nem sokat segít, mert az egyedi ügyfél-kulcs mindig az előre megosztott kulcsból származik( a Wi-Fi-jelszó). Ezért csekély a kliens egyedi kulcsa rögzítése mindaddig, amíg a Wi-Fi jelszót, és rögzítheti a társítás folyamatán keresztül küldött forgalmat.
A WPA2-Enterprise megoldja ezt. .. Nagy hálózatok esetén
A nagy biztonságú Wi-Fi hálózatokat igénylő nagy szervezetek számára ez a biztonsági gyengeség elkerülhető az EAP-hitelesítés használatával egy RADIUS-kiszolgálóval - néha WPA2-Enterprise néven. Ezzel a rendszerrel minden Wi-Fi kliens igazán egyedi kulcsot kap. A Wi-Fi kliensnek nincs elegendő információja ahhoz, hogy csak egy másik ügyfélre ugorjon, így sokkal nagyobb biztonságot nyújt. Ezért nagyvállalati irodáknak vagy kormányzati ügynökségeknek a WPA2-Enteprise-t kell használniuk.
De ez túl bonyolult és összetett ahhoz, hogy az emberek túlnyomó többsége - vagy akár a legtöbb geeks - otthoni használatra legyen képes. A Wi-Fi jelszó helyett a csatlakoztatni kívánt eszközöket kell megadnia, ezért a hitelesítést és kulcskezelést kezelő RADIUS-kiszolgálót kell kezelnie. Ez sokkal bonyolultabb az otthoni felhasználók számára.
Valójában még csak nem is érdemes időt fizetni, ha bízol mindenkinek a Wi-Fi hálózaton, vagy mindenkinek, aki hozzáfér a Wi-Fi jelszavához. Ez csak akkor szükséges, ha egy nyilvános helyszínen - kávézóban, repülőtéren, szállodában vagy akár egy nagyobb irodában - egy WPA2-PSK titkosított Wi-Fi hálózathoz csatlakozik, ahol más emberek, akikben nem bízik, szintén rendelkeznek Wi-FI hálózat jelszavát.
Tehát az ég alá esik? Nem persze, hogy nem. De tartsd ezt szem előtt: Ha csatlakozik a WPA2-PSK hálózathoz, más emberek, akik hozzáférnek ehhez a hálózathoz, könnyen elakadhatnak a forgalmukon. Annak ellenére, hogy a legtöbb ember úgy gondolja, hogy ez a titkosítás nem nyújt védelmet más hálózathoz hozzáférő emberek ellen.
Ha nyilvános Wi-Fi hálózaton - különösen a HTTPS titkosítást nem használó webhelyeken - érdemes hozzáférni érzékeny webhelyekhez, fontolja meg ezt VPN vagy SSH alagút használatával. A WPA2-PSK titkosítás a nyilvános hálózatokon nem elégséges.
képminőség: Cory Doctorow a Flickr-en, Élelmiszercsoport a Flickr-en, Robert Couse-Baker a Flickr-en