Główna » jak » Ostrzeżenie Zaszyfrowane sieci Wi-Fi WPA2 są nadal narażone na włamanie

    Ostrzeżenie Zaszyfrowane sieci Wi-Fi WPA2 są nadal narażone na włamanie

    Obecnie większość osób wie, że otwarta sieć Wi-Fi pozwala podsłuchiwać ruch. Standardowe szyfrowanie WPA2-PSK ma zapobiegać temu zjawisku - ale nie jest tak niezawodne, jak mogłoby się wydawać.

    Nie jest to ogromna wiadomość o nowej luce bezpieczeństwa. Jest to raczej sposób, w jaki WPA2-PSK zawsze był wdrażany. Ale jest to coś, czego większość ludzi nie wie.

    Otwarte sieci Wi-Fi a szyfrowane sieci Wi-Fi

    Nie powinieneś hostować otwartej sieci Wi-Fi w domu, ale możesz korzystać z niej w miejscach publicznych - na przykład w kawiarni, podczas podróży przez lotnisko lub w hotelu. Otwarte sieci Wi-Fi nie mają szyfrowania, co oznacza, że ​​wszystkie wiadomości przesyłane bezprzewodowo są "niewidoczne". Użytkownicy mogą monitorować Twoją aktywność związaną z przeglądaniem, a wszelkie działania w Internecie, które nie są zabezpieczone szyfrowaniem, mogą być podsłuchiwane. Tak, jest to prawdą, jeśli musisz zalogować się na stronie internetowej z nazwą użytkownika i hasłem po zalogowaniu się w otwartej sieci Wi-Fi.

    Szyfrowanie - podobnie jak szyfrowanie WPA2-PSK, którego zalecamy używać w domu - naprawia to w pewien sposób. Ktoś w pobliżu nie może po prostu przechwycić twojego ruchu i snoop na ciebie. Otrzymają masę zaszyfrowanego ruchu. Oznacza to, że zaszyfrowana sieć Wi-Fi chroni Twój prywatny ruch przed podsłuchem.

    To prawda - ale tutaj jest duża słabość.

    WPA2-PSK używa wspólnego klucza

    Problem z WPA2-PSK polega na tym, że używa on "Wstępnie współużytkowanego klucza". Ten klucz jest hasłem lub hasłem, które należy wprowadzić, aby połączyć się z siecią Wi-Fi. Każdy, kto łączy się, używa tego samego hasła.

    Dość łatwo jest monitorować ten zaszyfrowany ruch. Wszystko czego potrzebują to:

    • Hasło: Wszyscy mają uprawnienia do łączenia się z siecią Wi-Fi.
    • Ruch stowarzyszenia dla nowego klienta: Jeśli ktoś przechwytuje pakiety wysyłane między routerem a urządzeniem, które łączy, ma wszystko, czego potrzeba do odszyfrowania ruchu (zakładając, że mają również hasło). Jest również banalnie proste uzyskanie tego ruchu za pomocą ataków "deauth", które na siłę odłączają urządzenie od sieci Wi-Fi i zmuszają do ponownego połączenia, powodując ponowne.

    Naprawdę nie możemy podkreślić, jakie to proste. Wireshark ma wbudowaną opcję automatycznego odszyfrowywania ruchu WPA2-PSK, o ile masz wstępnie udostępniony klucz i przechwyciłeś ruch w procesie powiązania.

    Co to właściwie oznacza

    Oznacza to, że WPA2-PSK nie jest dużo bezpieczniejszy od podsłuchiwania, jeśli nie ufasz wszystkim w sieci. W domu powinieneś być bezpieczny, ponieważ hasło do Wi-Fi jest sekretem.

    Jeśli jednak pójdziesz do kawiarni i użyjesz WPA2-PSK zamiast otwartej sieci Wi-Fi, możesz czuć się o wiele bezpieczniej w swojej prywatności. Ale nie powinieneś - każda osoba z hasłem Wi-Fi kawiarni może monitorować Twój ruch do przeglądania. Inne osoby w sieci lub tylko inne osoby z hasłem mogą wyszukiwać ruch, jeśli zechcą.

    Pamiętaj, aby wziąć to pod uwagę. WPA2-PSK zapobiega podsłuchiwaniu osób bez dostępu do sieci. Jeśli jednak mają hasło sieci, wszystkie zakłady są wyłączone.

    Dlaczego nie WPA2-PSK postaraj się to zatrzymać?

    WPA2-PSK faktycznie próbuje to powstrzymać poprzez użycie "parowego klucza przejściowego" (PTK). Każdy klient bezprzewodowy ma unikalny PTK. Jednak to niewiele pomaga, ponieważ unikalny klucz klienta jest zawsze uzyskiwany z klucza współdzielonego (hasło Wi-Fi). Dlatego tak proste jest uchwycenie unikalnego klucza klienta, o ile masz dostęp do Wi-Fi. Fraza Fi i może przechwytywać ruch przesyłany przez proces powiązania.

    WPA2-Enterprise rozwiązuje to ... w przypadku dużych sieci

    W przypadku dużych organizacji, które wymagają bezpiecznych sieci Wi-Fi, można uniknąć tej słabości zabezpieczeń, korzystając z uwierzytelniania EAP z serwerem RADIUS - czasami nazywane WPA2-Enterprise. W tym systemie każdy klient Wi-Fi otrzymuje naprawdę unikalny klucz. Żaden klient Wi-Fi nie ma wystarczającej ilości informacji, aby rozpocząć śledzenie innego klienta, co zapewnia znacznie większe bezpieczeństwo. Duże korporacje lub agencje rządowe powinny z tego powodu korzystać z WPA2-Enteprise.

    Jest to jednak zbyt skomplikowane i złożone, aby zdecydowana większość ludzi - lub nawet większość maniaków - mogła korzystać z nich w domu. Zamiast hasła Wi-Fi musisz wprowadzić na urządzeniach, które chcesz połączyć, musisz zarządzać serwerem RADIUS, który obsługuje uwierzytelnianie i zarządzanie kluczami. Jest to o wiele bardziej skomplikowane dla użytkowników domowych.

    W rzeczywistości nie warto poświęcać czasu, jeśli ufasz wszystkim w sieci Wi-Fi lub wszystkim, którzy mają dostęp do hasła Wi-Fi. Jest to konieczne tylko wtedy, gdy jesteś podłączony do szyfrowanej sieci Wi-Fi WPA2-PSK w publicznej lokalizacji - kawiarni, na lotnisku, w hotelu lub nawet w większym biurze - gdzie inne osoby, którym nie ufasz, mają również Wi-Fi Fraza sieci FI.


    Czy niebo spada? Nie, oczywiście nie. Ale pamiętaj o tym: kiedy masz połączenie z siecią WPA2-PSK, inne osoby mające dostęp do tej sieci mogą łatwo wykryć Twój ruch. Pomimo tego, w co większość ludzi może uwierzyć, szyfrowanie to nie zapewnia ochrony przed dostępem innych osób do sieci.

    Jeśli masz dostęp do newralgicznych witryn w publicznej sieci Wi-Fi - szczególnie w witrynach nie korzystających z szyfrowania HTTPS - rozważ to przez VPN lub nawet przez tunel SSH. Szyfrowanie WPA2-PSK w sieciach publicznych nie jest wystarczająco dobre.

    Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr