Domovská » jak » Upozornění Šifrované Wi-Fi sítě WPA2 jsou stále Snooping

    Upozornění Šifrované Wi-Fi sítě WPA2 jsou stále Snooping

    Nyní většina lidí ví, že otevřená síť Wi-Fi umožňuje lidem sledovat vaši návštěvnost. Standardní šifrování WPA2-PSK má zabránit tomu, aby se to stalo - ale není to tak bezpečné, jak si myslíte.

    Nejsou to obrovské nejnovější zprávy o nové bezpečnostní chybě. Spíše je to tak, jak byl WPA2-PSK vždy implementován. Ale je to něco, co většina lidí neví.

    Otevřete sítě Wi-Fi versus šifrované sítě Wi-Fi

    Neměli byste hostovat otevřenou síť Wi-Fi doma, ale můžete se sami setkat s veřejností - například v kavárně, při průjezdu přes letiště nebo v hotelu. Otevřené sítě Wi-Fi nemají žádné šifrování, což znamená, že vše vysílané vzduchem je "čisté". Lidé mohou sledovat vaši aktivitu procházení a jakákoli webová aktivita, která není zabezpečena samotným šifrováním, může být snoopována. Ano, platí to i v případě, že se po přihlášení k otevřené síti Wi-Fi musíte na webové stránce přihlásit pomocí uživatelského jména a hesla.

    Šifrování - jako šifrování WPA2-PSK doporučujeme použít doma - to opravuje poněkud. Někdo v okolí nemůže jednoduše zachytit vaši návštěvnost a snoop na vás. Dostanou spoustu šifrovaných přenosů. Znamená to, že šifrovaná síť Wi-Fi chrání vaši soukromou komunikaci před touto chybou.

    To je trochu pravda - ale zde je velká slabost.

    WPA2-PSK používá sdílený klíč

    Problém s protokolem WPA2-PSK spočívá v tom, že používá "Předem sdílený klíč". Tento klíč je heslo nebo heslo, které musíte zadat pro připojení k síti Wi-Fi. Každý, kdo se připojuje, používá stejnou přístupovou frázi.

    Je velmi snadné, aby někdo sledoval tuto šifrovanou komunikaci. Vše, co potřebují, je:

    • Heslo pro přístup: Každý, kdo má oprávnění k připojení k síti Wi-Fi, to bude mít.
    • Asociační provoz nového klienta: Pokud někdo zachycuje pakety odeslané mezi směrovačem a zařízením, když se připojuje, mají vše, co potřebují k dešifrování provozu (za předpokladu, že mají také přístupovou frázi, samozřejmě). Je také triviální, aby se tato návštěvnost dostala prostřednictvím útoků typu "deauth", které násilně odpojují zařízení od sítě Wi-Fi a přinutí ho k opětovnému připojení, což způsobí, že proces asociace se stane znovu.

    Opravdu, nemůžeme zdůraznit, jak jednoduché to je. Wireshark má vestavěnou možnost automatického dešifrování provozu WPA2-PSK, pokud máte předem sdílený klíč a jste zachytili provoz pro proces přidružení.

    Co to vlastně znamená

    Co vlastně znamená, že WPA2-PSK není mnohem bezpečnější proti odposlechu, pokud nevěříte všem v síti. Doma byste měli být v bezpečí, protože přístupová fráze Wi-Fi je tajná.

    Nicméně, pokud půjdete ven do kavárny a použijete WPA2-PSK místo otevřené sítě Wi-FI, můžete se cítit mnohem bezpečněji ve vašem soukromí. Ale neměli byste - někdo s přístupovou frází Wi-Fi kavárny mohl sledovat návštěvnost. Jiní lidé v síti, nebo jen jiní lidé s přístupovou frází, by mohli na vašem provozu sledují, pokud chtějí.

    Ujistěte se, že to berete v úvahu. WPA2-PSK zabraňuje lidem bez přístupu k síti ze snoopingu. Nicméně, jakmile mají přístupovou frázi sítě, jsou všechny sázky vypnuty.

    Proč se WPA2-PSK nezastaví??

    WPA2-PSK se ve skutečnosti pokouší tuto funkci zastavit pomocí "párového přechodného klíče" (PTK). Každý bezdrátový klient má jedinečnou PTK. Nicméně to moc nepomůže, protože jedinečný klíč na klienta je vždy odvozen z předem sdíleného klíče (přístupová fráze Wi-Fi.) Proto je bezvýznamné zachytit jedinečný klíč klienta, pokud máte Wi- Fi a může zachytit provoz odesílaný prostřednictvím procesu přidružení.

    WPA2-Enterprise řeší toto ... Pro velké sítě

    V případě velkých organizací, které vyžadují zabezpečené sítě Wi-Fi, je možné tuto bezpečnostní slabost vyhnout pomocí využití automatizace EAP pomocí serveru RADIUS - někdy nazývaného WPA2-Enterprise. Díky tomuto systému dostane každý klient Wi-Fi opravdu jedinečný klíč. Žádný klient Wi-Fi nemá dostatek informací, aby mohl začít snoopovat na jiného klienta, takže poskytuje mnohem větší bezpečnost. Velké firemní kanceláře nebo vládní agentury by proto měly používat WPA2-Enteprise z tohoto důvodu.

    Ale je to příliš složité a složité pro drtivou většinu lidí - nebo dokonce i pro většinu geeků - pro domácí použití. Namísto přístupové fráze Wi-FI musíte zadat zařízení, která se chcete připojit, musíte spravovat server RADIUS, který zpracovává autentizaci a správu klíčů. To je pro domácí uživatele mnohem komplikovanější.

    Ve skutečnosti ani to není čas, kdybyste věřil všem ve vaší síti Wi-Fi nebo všem s přístupem k přístupové frázi Wi-Fi. To je nutné pouze v případě, že jste připojeni k šifrované síti Wi-Fi WPA2-PSK na veřejném místě - kavárně, letišti, hotelu nebo dokonce větší kanceláři - kde ostatní lidé, kterým nedůvěřujete, mají také Wi- FI přístupové heslo sítě.


    Takže, padá obloha? Ne, samozřejmě že ne. Mějte však na paměti: Když jste připojeni k síti WPA2-PSK, ostatní uživatelé s přístupem k této síti by mohli snadno sledovat vaši návštěvnost. Navzdory tomu, co se většina lidí může domnívat, šifrování neposkytuje ochranu proti jiným osobám, které mají přístup k síti.

    Pokud musíte přistupovat k citlivým místům ve veřejné síti Wi-Fi - zejména na webech, které nepoužívají šifrování HTTPS - zvažte to prostřednictvím VPN nebo dokonce SSH tunelu. Šifrování WPA2-PSK ve veřejných sítích není dost dobré.

    Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr