10Jul
Większość osób wie, że otwarta sieć Wi-Fi pozwala podsłuchiwać ruch. Standardowe szyfrowanie WPA2-PSK ma zapobiegać temu zjawisku - ale nie jest tak niezawodne, jak mogłoby się wydawać.
To nie jest ogromna wiadomość o nowej luce bezpieczeństwa. Jest to raczej sposób, w jaki WPA2-PSK zawsze był wdrażany. Ale jest to coś, czego większość ludzi nie wie.
Otwarte sieci Wi-Fi a szyfrowane sieci Wi-Fi
Nie należy hostować otwartej sieci Wi-Fi w domu, ale może się zdarzyć, że będzie ona używana publicznie - na przykład w kawiarni, podczas przechodzenia przezlotnisko lub hotel. Otwarte sieci Wi-Fi nie mają szyfrowania, co oznacza, że wszystkie wiadomości przesyłane bezprzewodowo są "niewidoczne". Użytkownicy mogą monitorować Twoją aktywność związaną z przeglądaniem, a wszelkie działania w Internecie, które nie są zabezpieczone szyfrowaniem, mogą być podsłuchiwane. Tak, jest to prawdą, jeśli musisz logować się przy użyciu nazwy użytkownika i hasła na stronie internetowej po zalogowaniu się w otwartej sieci Wi-Fi. Szyfrowanie
- podobnie jak szyfrowanie WPA2-PSK, którego zalecamy używać w domu - naprawia to w pewien sposób. Ktoś w pobliżu nie może po prostu przechwycić twojego ruchu i snoop na ciebie. Otrzymają masę zaszyfrowanego ruchu. Oznacza to, że zaszyfrowana sieć Wi-Fi chroni Twój prywatny ruch przed podsłuchem.
To prawda, ale tutaj jest duża słabość.
WPA2-PSK używa klucza wspólnego
Problem z WPA2-PSK polega na tym, że używa on "klucza wstępnie udostępnionego". Ten klucz jest hasłem lub hasłem, które należy wprowadzić, aby połączyć się z siecią Wi-Fi. Każdy, kto łączy się, używa tego samego hasła.
Dosyć łatwo jest komuś monitorować ten zaszyfrowany ruch. Wszystko, czego potrzebują, to:
- Hasło: : Wszyscy mają uprawnienia do łączenia się z siecią Wi-Fi.
- Ruch stowarzyszenia dla nowego klienta : Jeśli ktoś przechwytuje pakiety wysłane między routerem a urządzeniem, gdy się łączy, ma wszystko, czego potrzebuje do odszyfrowania ruchu( zakładając, że mają również hasło).Jest także banalnie proste, aby uzyskać ten ruch poprzez ataki "deauth", które wymuszają odłączenie urządzenia od sieci Wi-Fi i zmuszają go do ponownego połączenia, co powoduje, że proces asocjacji ma się powtórzyć.
Naprawdę nie możemy podkreślić, jakie to proste. Wireshark ma wbudowaną opcję automatycznego odszyfrowywania ruchu WPA2-PSK, o ile masz wstępnie udostępniony klucz i przechwyciłeś ruch związany z procesem asocjacji.
Co to właściwie oznacza
W rzeczywistości oznacza to, że WPA2-PSK nie jest dużo bezpieczniejszy od podsłuchiwania, jeśli nie ufasz wszystkim w sieci. W domu powinieneś być bezpieczny, ponieważ hasło do Wi-Fi jest sekretem.
Jeśli jednak pójdziesz do kawiarni i użyjesz WPA2-PSK zamiast otwartej sieci Wi-Fi, możesz czuć się o wiele bezpieczniej w swojej prywatności. Ale nie powinieneś - każda osoba z hasłem Wi-Fi kawiarni może monitorować Twój ruch do przeglądania. Inne osoby w sieci lub po prostu inne osoby z hasłem mogą przeglądać Twój ruch, jeśli zechcą.
Pamiętaj, aby wziąć to pod uwagę.WPA2-PSK uniemożliwia osobom nieupoważnionym dostęp do sieci. Jeśli jednak mają hasło sieci, wszystkie zakłady są wyłączone.
Dlaczego WPA2-PSK nie próbuje tego zatrzymać?
WPA2-PSK faktycznie próbuje to powstrzymać poprzez użycie "parowego klucza przejściowego"( PTK).Każdy klient bezprzewodowy ma unikalny PTK.Jednak to niewiele pomaga, ponieważ unikatowy klucz na klienta zawsze pochodzi z klucza współdzielonego( hasło Wi-Fi). Dlatego tak proste jest przechwytywanie unikalnego klucza klienta, o ile masz dostęp do Wi-Fi. Fraza Fi i może przechwytywać ruch przesyłany przez proces powiązania.
WPA2-Enterprise rozwiązuje to. .. W przypadku dużych sieci
W przypadku dużych organizacji, które wymagają bezpiecznych sieci Wi-Fi, można uniknąć tej słabości zabezpieczeń dzięki wykorzystaniu uwierzytelniania EAP z serwerem RADIUS - czasami nazywane WPA2-Enterprise. W tym systemie każdy klient Wi-Fi otrzymuje naprawdę unikalny klucz.Żaden klient Wi-Fi nie ma wystarczającej ilości informacji, aby rozpocząć śledzenie innego klienta, co zapewnia znacznie większe bezpieczeństwo. Duże korporacje lub agencje rządowe powinny używać WPA2-Enteprise z tego powodu.
Jest to jednak zbyt skomplikowane i skomplikowane, aby zdecydowana większość ludzi - lub nawet większość maniaków - używała w domu. Zamiast hasła Wi-Fi, które musisz wprowadzić na urządzeniach, które chcesz połączyć, musisz zarządzać serwerem RADIUS, który obsługuje uwierzytelnianie i zarządzanie kluczami. Jest to o wiele bardziej skomplikowane dla domowych użytkowników.
W rzeczywistości nie warto poświęcać czasu, jeśli ufasz wszystkim w sieci Wi-Fi lub wszystkim, którzy mają dostęp do hasła Wi-Fi. Jest to konieczne tylko wtedy, gdy jesteś podłączony do szyfrowanej sieci Wi-Fi WPA2-PSK w publicznej lokalizacji - kawiarni, na lotnisku, w hotelu lub nawet w większym biurze - gdzie inne osoby, którym nie ufasz, mają również Wi-FiFraza sieci FI.
Czy niebo spada? Nie, oczywiście nie. Ale pamiętaj o tym: kiedy masz połączenie z siecią WPA2-PSK, inne osoby mające dostęp do tej sieci mogą łatwo wykryć Twój ruch. Pomimo tego, w co większość ludzi może uwierzyć, szyfrowanie to nie zapewnia ochrony przed dostępem innych osób do sieci.
Jeśli masz dostęp do newralgicznych witryn w publicznej sieci Wi-Fi - szczególnie w witrynach nie korzystających z szyfrowania HTTPS - rozważ to przez VPN lub nawet przez tunel SSH.Szyfrowanie WPA2-PSK w sieciach publicznych nie jest wystarczająco dobre.
Image Credit: Cory Doctorow w serwisie Flickr, Food Group w serwisie Flickr, Robert Couse-Baker w serwisie Flickr