Įspėjimai Šifruoti WPA2 „Wi-Fi“ tinklai vis dar pažeidžiami „Snooping“
Iki šiol dauguma žmonių žino, kad atviras „Wi-Fi“ tinklas leidžia žmonėms pasiklausyti jūsų srauto. Standartinė WPA2-PSK šifravimo funkcija turėtų užkirsti kelią tam, kad tai įvyktų - bet tai nėra taip kvaila, kaip manote.
Tai nėra didžiulė naujiena apie naują saugumo spragą. Atvirkščiai, taip visada buvo įgyvendintas WPA2-PSK. Bet tai, ką dauguma žmonių nežino.
Atidarykite „Wi-Fi“ tinklus prieš šifruotus „Wi-Fi“ tinklus
Nereikia namuose atidaryti „Wi-Fi“ tinklo, tačiau galite naudotis viešu - pvz., Kavinėje, važiuodami per oro uostą arba viešbutyje. Atviri „Wi-Fi“ tinklai neturi šifravimo, o tai reiškia, kad viskas, kas siunčiama per orą, yra „aišku“. Taip, tai net tiesa, jei turite prisijungti prie naudotojo vardo ir slaptažodžio tinklalapyje po prisijungimo prie atviro „Wi-Fi“ tinklo.
Šifravimas - kaip ir WPA2-PSK šifravimas, kurį rekomenduojame naudoti namuose - tai šiek tiek pataiso. Netoliese esantis žmogus negali tiesiog tiesiog užfiksuoti jūsų eismo ir snoop. Jie gaus šifruotą srautą. Tai reiškia, kad užšifruotas „Wi-Fi“ tinklas apsaugo jūsų asmeninį srautą nuo to, kad jis būtų įjungtas.
Tai tiesa, bet čia yra didelis silpnumas.
WPA2-PSK naudoja bendrąjį raktą
WPA2-PSK problema yra ta, kad ji naudoja „bendrąjį raktą“. Šis raktas yra slaptažodis arba slaptafrazė, kurią turite įvesti prisijungdami prie „Wi-Fi“ tinklo. Kiekvienas, kuris prisijungia, naudoja tą pačią slaptafrazę.
Tai, kad kažkas gali stebėti šifruotą srautą, yra gana paprasta. Viskas, ko jiems reikia, yra:
- Slaptafrazė: Kiekvienas, turintis leidimą prisijungti prie „Wi-Fi“ tinklo, turės tai.
- Asociacijos srautas naujam klientui: Jei kas nors užfiksuoja paketus, siunčiamus tarp maršrutizatoriaus ir įrenginio, kai jis jungiasi, jie turi viską, ko reikia, kad iššifruotų srautą (darant prielaidą, kad jie taip pat turi slaptafrazę). Taip pat labai svarbu gauti šį srautą per „deauth“ išpuolius, kurie priverstinai atjungia įrenginį nuo „Wi_Fi“ tinklo ir priverčia jį vėl prisijungti, todėl asociacijos procesas vėl vyksta.
Tikrai, mes negalime pabrėžti, kaip tai paprasta. „Wireshark“ turi įmontuotą parinktį automatiškai iššifruoti WPA2-PSK srautą tol, kol turite bendrai naudojamą raktą ir užfiksavote srautą asociacijos procesui.
Kas tai iš tikrųjų reiškia
Tai iš tikrųjų reiškia, kad WPA2-PSK nėra daug saugesnis nuo slapto pasiklausymo, jei nepasitikite kiekvienu tinklu. Namuose turite būti saugūs, nes jūsų „Wi-Fi“ slaptafrazė yra slapta.
Tačiau, jei išeinate į kavinę ir jie naudojasi WPA2-PSK vietoj atviro „Wi-Fi“ tinklo, galite jaustis daug saugiau. Bet jūs neturėtumėte - kiekvienas, turintis kavos „Wi-Fi“ slaptafrazę, galėtų stebėti jūsų naršymo srautą. Kiti žmonės tinkle, arba tik kiti žmonės, turintys slaptafrazę, galėjo užgniaužti jūsų srautą, jei jie to norėtų.
Būtinai atkreipkite dėmesį į tai. „WPA2-PSK“ neleidžia žmonėms užmegzti prieigos prie tinklo. Tačiau, kai jie turi tinklo slaptafrazę, visi statymai yra išjungti.
Kodėl ne WPA2-PSK Stenkitės tai sustabdyti?
WPA2-PSK iš tikrųjų stengiasi tai sustabdyti naudodamas „porą perėjimo raktą“ (PTK). Kiekvienas belaidis klientas turi unikalų PTK. Tačiau tai nepadeda daug, nes unikalus kliento raktas visada gaunamas iš iš anksto bendrinamo rakto („Wi-Fi“ slaptafrazės.) Štai kodėl triviška užfiksuoti unikalų kliento raktą tol, kol turite Wi- Fi slaptafrazė ir galite užfiksuoti srautą, siunčiamą per asociacijos procesą.
„WPA2-Enterprise“ sprendžia tai ... dideliems tinklams
Didelėms organizacijoms, kurioms reikalingi saugūs „Wi-Fi“ tinklai, šis saugumo silpnumas gali būti išvengtas naudojant EAP autorizaciją su RADIUS serveriu - kartais vadinama WPA2-Enterprise. Su šia sistema kiekvienas „Wi-Fi“ klientas gauna tikrai unikalų raktą. Nė vienas „Wi-Fi“ klientas neturi pakankamai informacijos, kad tik pradėtų snooping ant kito kliento, todėl tai suteikia daug didesnį saugumą. Dėl šios priežasties didelės korporacijos ar vyriausybinės agentūros turėtų naudoti WPA2-Enteprise.
Tačiau tai yra pernelyg sudėtinga ir sudėtinga daugeliui žmonių - ar netgi daugeliui žmonių - naudoti namuose. Vietoj „Wi-Fi“ slaptažodžio turite įvesti įrenginius, kuriuos norite prijungti, turite valdyti RADIUS serverį, kuris tvarko autentifikavimą ir raktų valdymą. Tai daug sudėtingiau namų vartotojams nustatyti.
Tiesą sakant, tai net verta savo laiko, jei pasitikite visiems savo „Wi-Fi“ tinkle, arba visiems, kurie turi prieigą prie „Wi-Fi“ slaptažodžio. Tai būtina tik tuo atveju, jei esate prisijungę prie WPA2-PSK užšifruoto „Wi-Fi“ tinklo viešoje vietoje - kavinėje, oro uoste, viešbutyje ar netgi didesniame biure, kur kiti žmonės, kurių nepasitikite, taip pat turi „Wi- FI tinklo slaptafrazė.
Taigi, ar dangus krenta? Ne zinoma ne. Tačiau turėkite omenyje tai: kai esate prisijungę prie WPA2-PSK tinklo, kiti žmonės, turintys prieigą prie šio tinklo, gali lengvai užgniaužti srautą. Nepaisant to, ką dauguma žmonių mano, kad šifravimas nesuteikia apsaugos nuo kitų žmonių, turinčių prieigą prie tinklo.
Jei turite prieiti prie jautrių svetainių viešame „Wi-Fi“ tinkle, ypač svetainėse, kuriose nėra HTTPS šifravimo, apsvarstykite galimybę tai padaryti per VPN arba net SSH tunelį. WPA2-PSK šifravimas viešuosiuose tinkluose nėra pakankamai geras.
Vaizdo kreditas: „Cory Doctorow“ apie „Flickr“, „Flickr“ maisto grupę, „Robert Couse-Baker“ apie „Flickr“