10Jul
V súčasnosti vie väčšina ľudí, že otvorená sieť Wi-Fi umožňuje ľuďom odhaliť vašu návštevnosť.Štandardné šifrovanie WPA2-PSK má zabrániť tomu, aby sa to stalo - ale nie je to tak bezpečné, ako si myslíte.
Nie sú to obrovské novinky o novej bezpečnostnej chybe. Skôr je to tak, ako bol WPA2-PSK vždy implementovaný.Ale je to niečo, čo väčšina ľudí nevie.
Otvorené siete Wi-Fi v porovnaní so šifrovanými sieťami Wi-Fi
Nemali by ste hostiť otvorenú sieť Wi-Fi doma, ale môžete sa sami používať na verejnosti - napríklad v kaviarni,letisku alebo v hoteli. Otvorené siete Wi-Fi nemajú žiadne šifrovanie, čo znamená, že všetko poslané cez vzduch je "jasné." Ľudia môžu sledovať vašu aktivitu prehliadania a akúkoľvek aktivitu na webe, ktorá nie je zabezpečená samotným šifrovaním, môže byť snoopovaná.Áno, platí to aj vtedy, keď sa po prihlásení do otvorenej siete Wi-Fi musíte na webovej stránke prihlásiť pomocou používateľského mena a hesla.Šifrovanie
- ako šifrovanie WPA2-PSK odporúčame používať doma - to mierne opravuje. Niekto v okolí nie je len jednoducho schopný zachytiť vašu návštevnosť a skočiť na vás. Získajú veľa šifrovanej prevádzky. Znamená to, že šifrovaná sieť Wi-Fi chráni vašu súkromnú prevádzku pred tým,
To je pravda - ale tu je veľká slabosť.
WPA2-PSK používa zdieľaný kľúč
Problém s WPA2-PSK spočíva v tom, že používa "predbežne zdieľaný kľúč". Tento kľúč je heslo alebo prístupová fráza, ktorú musíte zadať pre pripojenie k sieti Wi-Fi. Každý, kto spája, používa rovnakú prístupovú frázu.
Je veľmi jednoduché, aby niekto sledoval túto šifrovanú prevádzku. Všetko, čo potrebujú, je:
- Heslo : Každý, kto má povolenie na pripojenie k sieti Wi-Fi, to bude mať.
- Asociačná návštevnosť pre nového klienta : Ak niekto zachytily pakety posielané medzi smerovačom a zariadením, keď sa pripája, majú všetko, čo potrebujú na dešifrovanie prevádzky( za predpokladu, že majú aj prístupovú frázu, samozrejme).Je tiež triviálne získať túto návštevnosť prostredníctvom útokov typu "deauth", ktoré násilne odpojí zariadenie zo siete Wi-Fi a donútia ho opätovne pripojiť, čo spôsobí, že proces združovania sa stane znovu.
Naozaj, nemôžeme zdôrazniť, ako jednoduché to je. Služba Wireshark má zabudovanú možnosť automaticky dešifrovať prevádzku WPA2-PSK, ak máte predbežne zdieľaný kľúč a ste zachytili prevádzku procesu združovania.
Čo to vlastne znamená
Čo vlastne znamená, že WPA2-PSK nie je oveľa bezpečnejší proti odposluchu, ak neveríte každému v sieti. Doma by ste mali byť chránení, pretože prístupová fráza Wi-Fi je tajná.
Ak však chodíte do kaviarne a používate WPA2-PSK namiesto otvorenej siete Wi-FI, môžete sa cítiť oveľa bezpečnejšie vo vašom súkromí.Ale nemali by ste - ktokoľvek s prístupovou frázou Wi-Fi kaviarne mohol sledovať návštevnosť vášho prehliadania. Iní ľudia v sieti, alebo len ľudia s prístupovou frázou, by sa mohli pozerať na vašu návštevnosť, ak by chceli.
Nezabudnite to vziať do úvahy. Služba WPA2-PSK zabraňuje ľuďom, ktorí nemajú prístup do siete, pred snoopovaním. Avšak akonáhle majú prístupovú frázu siete, všetky stávky sú vypnuté.
Prečo sa WPA2-PSK nepokúša zastaviť toto?
WPA2-PSK sa to skutočne pokúša zastaviť pomocou "dvojicového prechodného kľúča"( PTK).Každý bezdrôtový klient má jedinečnú PTK.To však nepomôže veľa, pretože unikátny kľúč na klienta je vždy odvodený z predbežne zdieľaného kľúča( prístupová fráza Wi-Fi.) Preto je triviálne zachytiť jedinečný kľúč klienta, ak máte Wi-Fi a môže zachytiť návštevnosť odoslanú prostredníctvom procesu pridruženia.
WPA2-Enterprise rieši túto. .. Pre veľké siete
Pre veľké organizácie, ktoré vyžadujú bezpečné siete Wi-Fi, je možné túto slabosť zabezpečenia vyhnúť použitím EAP automatikácie serverom RADIUS - niekedy nazývaným WPA2-Enterprise. Pomocou tohto systému dostane každý klient Wi-Fi skutočne jedinečný kľúč.Žiadny klient Wi-Fi nemá dostatok informácií na to, aby začal snoopovať na inom klientovi, takže poskytuje oveľa väčšiu bezpečnosť.Veľké korporátne úrady alebo vládne agentúry by mali z tohto dôvodu používať WPA2-Enteprise.
Ale to je príliš zložité a zložité pre veľkú väčšinu ľudí - alebo dokonca pre väčšinu geekov - na použitie doma. Namiesto prístupovej frázy Wi-Fi musíte vstúpiť na zariadenia, ktoré chcete pripojiť, musíte spravovať server RADIUS, ktorý spravuje autentifikáciu a správu kľúčov. To je oveľa komplikovanejšie pre domácich užívateľov, aby sa nastavili.
V skutočnosti to ani nezáleží na tom, či máte dôveru všetkým vo vašej sieti Wi-Fi alebo všetkým, ktorí majú prístup k vašej prístupovej fráte Wi-Fi. Toto je potrebné iba vtedy, ak ste pripojení k šifrovanej sieti Wi-Fi WPA2-PSK na verejnom mieste - kaviarni, letisku, hoteli alebo dokonca väčšej kancelárii - kde ostatní ľudia, ktorým nedôverujete, majú aj Wi-FI prístupovej fázy siete.
Takže je obloha klesá?Nie, samozrejme, že nie. Majte však na pamäti: Keď ste pripojení k sieti WPA2-PSK, ostatní ľudia s prístupom k tejto sieti môžu ľahko sledovať vašu návštevnosť.Napriek tomu, čo môže veriť väčšina ľudí, toto šifrovanie neposkytuje ochranu proti iným ľuďom s prístupom do siete.
Ak máte prístup k citlivým webovým stránkam vo verejnej sieti Wi-Fi - najmä na webových stránkach, ktoré nepoužívajú šifrovanie HTTPS - zvážte to prostredníctvom VPN alebo dokonca tunelu SSH.Šifrovanie WPA2-PSK na verejných sieťach nie je dosť dobré.
Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr