10Jul
De meeste mensen weten inmiddels dat een open Wi-Fi-netwerk mensen in staat stelt om je verkeer af te luisteren. Standaard-WPA2-PSK-codering zou dit moeten voorkomen, maar het is niet zo onfeilbaar als u misschien denkt.
Dit is geen enorm nieuws over een nieuwe beveiligingsfout. Integendeel, dit is de manier waarop WPA2-PSK altijd is geïmplementeerd. Maar het is iets dat de meeste mensen niet weten.
Open Wi-Fi-netwerken versus gecodeerde Wi-Fi-netwerken
Je zou thuis geen open Wi-Fi-netwerk moeten hosten, maar misschien gebruik je er een in het openbaar - bijvoorbeeld in een coffeeshop, terwijl je door eenluchthaven, of in een hotel. Open Wi-Fi-netwerken hebben geen codering, wat betekent dat alles dat via de ether wordt verzonden "in het niets" is. Mensen kunnen uw browse-activiteit controleren en elke webactiviteit die niet beveiligd is met codering zelf, kan worden bespied. Ja, dit is zelfs waar als u zich moet aanmelden met een gebruikersnaam en wachtwoord op een webpagina nadat u zich hebt aangemeld bij het open Wi-Fi-netwerk.
-codering - zoals de WPA2-PSK-codering die we u thuis aanbevelen - lost dit enigszins op. Iemand in de buurt kan niet zomaar uw verkeer vastleggen en op u snuffelen. Ze krijgen een hoop gecodeerd verkeer. Dit betekent dat een gecodeerd wifi-netwerk je privéverkeer beschermt tegen onoplettendheid.
Dit is een beetje waar - maar er is hier een grote zwakte.
WPA2-PSK Gebruikt een gedeelde sleutel
Het probleem met WPA2-PSK is dat het een "Pre-Shared Key" gebruikt. Deze sleutel is het wachtwoord of de wachtwoordzin die u moet invoeren om verbinding met het Wi-Fi-netwerk te maken. Iedereen die verbinding maakt, gebruikt dezelfde wachtwoordzin.
Het is vrij gemakkelijk voor iemand om dit gecodeerde verkeer te monitoren. Het enige dat ze nodig hebben is:
- Het wachtwoordzin : iedereen met toestemming om verbinding te maken met het wifi-netwerk heeft dit.
- Het koppelingsverkeer voor een nieuwe client : Als iemand de pakketten vastlegt die tussen de router en een apparaat worden verzonden wanneer het verbinding maakt, hebben ze alles wat ze nodig hebben om het verkeer te decoderen( ervan uitgaande dat ze natuurlijk ook de wachtwoordzin hebben).Het is ook triviaal om dit verkeer te krijgen via "deauth" -aanvallen die een apparaat met geweld van een Wi-Fi-netwerk ontkoppelen en het dwingen om opnieuw verbinding te maken, waardoor het associatieproces opnieuw plaatsvindt.
Echt, we kunnen niet benadrukken hoe eenvoudig dit is. Wireshark heeft een ingebouwde optie voor het automatisch decoderen van WPA2-PSK-verkeer zolang u de vooraf gedeelde sleutel hebt en het verkeer voor het associatieproces hebt vastgelegd.
Wat dit feitelijk betekent
Wat dit feitelijk betekent, is dat WPA2-PSK niet veel veiliger is tegen afluisteren als u iedereen in het netwerk niet vertrouwt. Thuis moet je veilig zijn omdat je wifi-wachtwoordzin geheim is.
Als u echter naar een coffeeshop gaat en WPA2-PSK gebruikt in plaats van een open Wi-Fi-netwerk, kunt u zich veiliger voelen in uw privacy. Maar dat zou u niet moeten doen - iedereen met het wifi-wachtwoord van de coffeeshop zou uw browseverkeer kunnen controleren. Andere mensen op het netwerk, of alleen andere mensen met de wachtwoordzin, kunnen op uw verkeer snuffelen als ze dat willen.
Houd hier rekening mee. WPA2-PSK voorkomt dat mensen zonder toegang tot het netwerk kunnen rondsnuffelen. Echter, zodra ze de wachtwoordzin van het netwerk hebben, zijn alle weddenschappen uitgeschakeld.
Waarom probeert WPA2-PSK dit niet te stoppen?
WPA2-PSK probeert dit zelfs te stoppen door een "paarsgewijze transiënte sleutel"( PTK) te gebruiken. Elke draadloze client heeft een unieke PTK.Dit helpt echter niet veel, omdat de unieke sleutel per klant altijd wordt afgeleid van de vooraf gedeelde sleutel( de wifi-wachtwoordzin). Daarom is het triviaal om de unieke sleutel van een klant vast te leggen zolang u de Wi-Fi-wachtwoordzin hebt. Fi-wachtwoordzin en kan het verkeer vastleggen dat via het koppelingsproces wordt verzonden.
WPA2-Enterprise lost dit op. .. voor grote netwerken
Voor grote organisaties die beveiligde Wi-Fi-netwerken vereisen, kan deze beveiligingszwakte worden voorkomen door het gebruik van EAP-autorisatie met een RADIUS-server - ook wel WPA2-Enterprise genoemd. Met dit systeem ontvangt elke Wi-Fi-client een echt unieke sleutel. Geen enkele Wi-Fi-client heeft voldoende informatie om gewoon te gaan snuffelen op een andere client, dus dit biedt veel meer beveiliging. Grote bedrijfskantoren of overheidsinstanties zouden om deze reden WPA2-Enteprise moeten gebruiken.
Maar dit is te gecompliceerd en complex voor de overgrote meerderheid van de mensen - of zelfs de meeste geeks - om thuis te gebruiken. In plaats van een wachtwoordzin voor Wi-Fi die u moet invoeren op apparaten die u wilt verbinden, moet u een RADIUS-server beheren die de verificatie en het sleutelbeheer afhandelt. Dit is veel ingewikkelder voor thuisgebruikers om in te stellen.
Het is zelfs de moeite niet waard als je iedereen op je wifi-netwerk vertrouwt, of iedereen met toegang tot je wifi-wachtwoordzin. Dit is alleen nodig als je bent verbonden met een WPA2-PSK gecodeerd wifi-netwerk op een openbare locatie - coffeeshop, luchthaven, hotel of zelfs een groter kantoor - waar andere mensen die je niet vertrouwt ook de Wi-Fi hebbenHet wachtwoord van het FI-netwerk.
Dus, valt de lucht? Nee natuurlijk niet. Houd hier echter rekening mee: wanneer u bent verbonden met een WPA2-PSK-netwerk, kunnen andere mensen met toegang tot dat netwerk gemakkelijk uw verkeer opzoeken. Ondanks wat de meeste mensen denken, biedt die codering geen bescherming tegen andere mensen die toegang hebben tot het netwerk.
Als u toegang moet hebben tot gevoelige sites op een openbaar Wi-Fi-netwerk - met name websites die geen HTTPS-codering gebruiken - overweeg dit te doen via een VPN of zelfs een SSH-tunnel. De WPA2-PSK-codering op openbare netwerken is niet goed genoeg.
Image Credit: Cory Doctorow op Flickr, Food Group op Flickr, Robert Couse-Baker op Flickr