A titkosított WPA2 figyelmeztetés A Wi-Fi hálózatok még mindig sérülékenyek a Snooping számára
Mostanáig a legtöbb ember tudja, hogy egy nyitott Wi-Fi hálózat lehetővé teszi az emberek számára, hogy meghallgassák a forgalmat. A WPA2-PSK szabványos titkosításának meg kell akadályoznia ezt, de ez nem olyan bolond, mint gondolnád.
Ez nem egy hatalmas új hír az új biztonsági hibáról. Inkább ez a módja a WPA2-PSK-nak. De ez az, amit a legtöbb ember nem tud.
Nyissa meg a Wi-Fi hálózatokat vs. titkosított Wi-Fi hálózatokat
Nyitott Wi-Fi hálózatot nem szabad otthont adni, de nyilvánosan használhatja magát - például egy kávézóban, egy repülőtéren vagy egy szállodában. A nyílt Wi-Fi hálózatok nem rendelkeznek titkosítással, ami azt jelenti, hogy a levegőben küldött minden "tiszta". Az emberek figyelemmel kísérhetik böngészési tevékenységüket, és minden olyan webes tevékenység, amelyet maga nem titkosított, behatolhat. Igen, ez még akkor is igaz, ha a nyílt Wi-Fi hálózatba való bejelentkezés után be kell jelentkeznie a felhasználónevével és jelszavával..
A titkosítás - mint a WPA2-PSK titkosítás, amelyet otthon ajánlunk, ezt javítja. Valaki, aki a közelben van, egyszerűen nem tudja megragadni a forgalmat és elcsípni. Kapnak egy csomó titkosított forgalmat. Ez azt jelenti, hogy egy titkosított Wi-Fi-hálózat megvédi a magánforgalmat.
Ez igaz, de nagy gyengeség van itt.
WPA2-PSK Megosztott kulcsot használ
A WPA2-PSK-vel kapcsolatos probléma az, hogy „Előre megosztott kulcsot” használ. Ez a kulcs a jelszó vagy a jelszó, amelyet meg kell adni a Wi-Fi hálózathoz való csatlakozáshoz. Mindenki, aki csatlakozik, ugyanazt a jelszót használja.
Nagyon könnyű, hogy valaki figyelemmel kísérje a titkosított forgalmat. Minden amire szükségük van:
- A jelszó: Mindenkinek, akinek engedélye van a Wi-Fi hálózathoz való csatlakozásra, ezt megteheti.
- Az új kliens társulási forgalma: Ha valaki rögzíti az útválasztó és egy eszköz között küldött csomagokat, amikor csatlakozik, akkor mindent meg kell tennie a forgalom visszafejtéséhez (feltéve, hogy természetesen a jelszó is van). Szintén elengedhetetlen, hogy ezt a forgalmat „deauth” támadásokkal szerezzük be, amelyek erőteljesen leválasztják a készüléket egy Wi_Fi hálózatról, és arra kényszerítik, hogy újra csatlakozzon, ami a társulási folyamat újbóli bekövetkezéséhez vezet..
Tényleg, nem tudjuk hangsúlyozni, hogy mennyire egyszerű ez. A Wireshark rendelkezik beépített lehetőséggel a WPA2-PSK forgalom automatikus visszafejtésére mindaddig, amíg megvan az előre megosztott kulcs, és rögzítette a forgalmat a társulási folyamathoz.
Mit jelent ez valójában?
Ez valójában azt jelenti, hogy a WPA2-PSK nem sokkal biztonságosabb a lehallgatás ellen, ha nem bízik meg a hálózaton. Otthon biztonságban kell lennie, mert a Wi-Fi jelszava titkos.
Ha azonban egy kávézóba megy, és a WPA2-PSK-t a nyílt Wi-Fi hálózat helyett használja, akkor sokkal biztonságosabbnak érzi magát a magánéletében. De nem kell - bárki, aki a kávézó Wi-Fi jelszavával rendelkezik, figyelemmel kísérheti a böngészési forgalmat. A hálózat többi tagja, vagy csak más, a jelszóval ellátott emberek, ha akarják, elrugaszthatják a forgalmat.
Ezt figyelembe kell venni. A WPA2-PSK megakadályozza, hogy az emberek hozzáférjenek a hálózathoz. Ha azonban megvan a hálózat jelszava, minden fogadás ki van kapcsolva.
Miért nem próbálja meg megállítani ezt a WPA2-PSK-t?
A WPA2-PSK valójában megpróbálja megállítani ezt egy „páros átmeneti kulcs” (PTK) használatával. Minden vezeték nélküli kliens egyedi PTK-val rendelkezik. Ez azonban nem sokat segít, mert az ügyfélenkénti egyedi kulcs mindig az előre megosztott kulcsból származik (a Wi-Fi jelszó.) Ezért triviális az ügyfél egyedi kulcsának rögzítése mindaddig, amíg a Wi- Fi jelszót és a társulási folyamaton keresztül küldött forgalmat rögzítheti.
A WPA2-Enterprise megoldja ezt… nagy hálózatok számára
A biztonságos Wi-Fi hálózatokat igénylő nagyvállalatok számára ez a biztonsági gyengeség elkerülhető az EAP-engedélyezés RADIUS-kiszolgálóval történő használatával - néha WPA2-Enterprise néven. Ezzel a rendszerrel minden Wi-Fi kliens igazán egyedi kulcsot kap. Egyetlen Wi-Fi kliens sem rendelkezik elegendő információval ahhoz, hogy elkezdhessen egy másik kliensről, így ez sokkal nagyobb biztonságot nyújt. A nagyvállalati irodáknak vagy a kormányzati szerveknek ezért a WPA2-Enteprise-t kell használniuk.
De ez túl bonyolult és bonyolult az emberek nagy többségének - vagy akár a legtöbbnek - otthoni használatra. A Wi-Fi jelszó helyett a csatlakozni kívánt eszközökön kell megadnia, ezért a hitelesítést és a kulcskezelést kezelő RADIUS szervert kell kezelnie. Ez sokkal bonyolultabb az otthoni felhasználók számára.
Valójában nem is éri meg az idejét, ha mindenkit bíz meg a Wi-Fi hálózaton, vagy mindenkit, aki hozzáfér a Wi-Fi jelszóhoz. Ez csak akkor szükséges, ha egy nyilvános helyen - kávézóban, repülőtéren, szállodában vagy akár egy nagyobb irodában - WPA2-PSK titkosított Wi-Fi hálózathoz csatlakozik, ahol más nem bízott emberek is rendelkeznek Wi- FI hálózat jelszava.
Szóval az ég esik? Nem, természetesen nem. Ne feledje azonban ezt: Ha WPA2-PSK-hálózathoz csatlakozik, a hálózathoz hozzáféréssel rendelkező más személyek könnyedén behatolhatnak a forgalomra. Annak ellenére, hogy a legtöbb ember úgy gondolja, hogy a titkosítás nem biztosít védelmet a többi, a hálózathoz való hozzáféréssel szemben.
Ha nyilvános Wi-Fi hálózaton érzékeny webhelyeket kell elérnie - különösen a HTTPS titkosítást nem használó webhelyeket - fontolja meg ezt VPN vagy akár SSH alagút segítségével. A nyilvános hálózatokban a WPA2-PSK titkosítás nem elég jó.
Képhitel: Cory Doctorow a Flickr-en, Élelmiszer-csoport a Flickr-nél, Robert Couse-Baker a Flickr-en