Koduleht » kuidas » Hoiatus Krüpteeritud WPA2 Wi-Fi võrgud on Snoopingile ikka veel haavatavad

    Hoiatus Krüpteeritud WPA2 Wi-Fi võrgud on Snoopingile ikka veel haavatavad

    Nüüdseks on enamik inimesi teadlik, et avatud Wi-Fi võrk võimaldab inimestel teie liiklusest pealt kuulata. WPA2-PSK standardne krüpteerimine peaks seda takistama - kuid see ei ole nii lollikindel kui arvate.

    See ei ole tohutu uudis uue turvaviga. Pigem on see nii, et WPA2-PSK on alati rakendatud. Aga see on midagi, mida enamik inimesi ei tea.

    Avage Wi-Fi võrgud vs krüpteeritud Wi-Fi võrgud

    Teil ei tohiks kodus olla avatud Wi-Fi-võrku, kuid võite kasutada seda avalikult - näiteks kohvikus, lennujaama läbimisel või hotellis. Avatud Wi-Fi-võrkudel ei ole krüpteerimist, mis tähendab, et kõik õhu kaudu saadetud sõnumid on "selged." Inimesed saavad teie sirvimistegevust jälgida ja kõiki veebitegevusi, mis ei ole kaitstud krüpteerimisega, saab sisse lülitada. Jah, see on tõsi ka siis, kui peate pärast avatud Wi-Fi võrku sisselogimist veebilehe kasutajanime ja parooliga sisse logima.

    Krüpteerimine - nagu WPA2-PSK krüpteerimine, mida soovitame kasutada kodus - parandab seda mõnevõrra. Keegi, kes on lähedal, ei saa lihtsalt teie liiklust ja suusatada. Nad saavad hulga krüpteeritud liiklust. See tähendab, et krüpteeritud Wi-Fi võrk kaitseb teie privaatset liiklust.

    See on omamoodi tõsi - kuid siin on suur nõrkus.

    WPA2-PSK kasutab jagatud võtit

    WPA2-PSK probleem on see, et see kasutab „eeljagatud võtit”. See võti on parool või parool, mida tuleb Wi-Fi võrguga ühenduse loomiseks sisestada. Igaüks, kes ühendab, kasutab sama parooli.

    Keegi võib seda krüpteeritud liiklust üsna lihtne jälgida. Kõik, mida nad vajavad, on:

    • Parool: Igaühel, kellel on luba Wi-Fi-võrguga ühenduse loomiseks, on see olemas.
    • Uue kliendi ühendusliiklus: Kui keegi võtab ühendust marsruuteri ja seadme vahel saadetavate pakettidega, on neil kõik, mida nad vajavad liikluse dekrüpteerimiseks (eeldusel, et neil on muidugi ka parool). Samuti on triviaalne saada see liiklus „deauth” rünnakute kaudu, mis sunniviisiliselt lahti ühendavad seadme Wi_Fi-võrgust ja sunnivad seda uuesti ühendama, mis põhjustab assotsiatsiooniprotsessi kordumise.

    Tõesti, me ei saa rõhutada, kui lihtne see on. Wiresharkil on sisseehitatud võimalus WPA2-PSK liikluse automaatseks dekrüpteerimiseks senikaua, kuni teil on eelnevalt jagatud võti ja olete liiklusprotsessi assotsieerimisprotsessi jaoks võtnud.

    Mida see tegelikult tähendab

    See tähendab tegelikult seda, et WPA2-PSK ei ole palju kindlamalt pealtkuulamise vastu, kui te ei usalda kõiki võrgus. Kodus peaksite olema turvaline, sest teie WiFi-parool on salajane.

    Kui te lähete kohvikusse ja nad kasutavad WPA2-PSK-d avatud Wi-Fi-võrgu asemel, võite tunda oma privaatsuses palju turvalisemat. Aga te ei tohiks - igaüks, kellel on kohviku Wi-Fi parool, võiks teie sirvimisliiklust jälgida. Teised võrgus olevad inimesed või lihtsalt teised inimesed, kellel on paroolifraas, võiksid teie liiklusele haarata.

    Pange see kindlasti arvesse. WPA2-PSK takistab inimestel, kes ei pääse võrku juurdepääsu. Siiski, kui neil on võrgu parool, on kõik panused välja lülitatud.

    Miks WPA2-PSK ei püüa seda peatada?

    WPA2-PSK püüab seda peatada „paaripärase üleminekuklahvi” (PTK) abil. Igal traadita kliendil on ainulaadne PTK. Kuid see ei aita palju, sest ainulaadne kliendi võti on alati saadud eelnevalt jagatud võtmelt (Wi-Fi parool). Sellepärast on triviaalne jäädvustada kliendi unikaalne võti seni, kuni teil on Wi- Fi parool ja saate salvestada assotsiatsiooniprotsessi kaudu saadetud liikluse.

    WPA2-Enterprise lahendab selle… suurtele võrkudele

    Suurte organisatsioonide jaoks, kes nõuavad turvalisi Wi-Fi-võrke, saab seda turva nõrkust vältida, kasutades EAD-i autoriseerimist RADIUS-serveriga, mida mõnikord nimetatakse WPA2-Enterprise'iks. Selle süsteemiga saab iga Wi-Fi klient tõeliselt unikaalse võtme. Ühelgi Wi-Fi kliendil ei ole piisavalt teavet, et lihtsalt alustada teise kliendiga tegelemist, nii et see tagab palju suurema turvalisuse. Sel põhjusel peaksid suurettevõtted või valitsusasutused kasutama WPA2-Enteprise'i.

    Kuid see on liiga keeruline ja keeruline enamikule inimestele - või isegi enamikule inimestele - kodus. Wi-Fi parooli asemel peate sisenema seadmetesse, mida soovite ühendada, peate haldama RADIUS-serverit, mis tegeleb autentimise ja võtmehaldusega. See on kodutarbijatele palju keerulisem seadistada.

    Tegelikult ei ole teie aega isegi väärt, kui usaldate kõiki oma Wi-Fi-võrgus või igaühel, kellel on juurdepääs teie WiFi-paroolile. See on vajalik ainult siis, kui olete ühendatud WPA2-PSK-ga krüpteeritud Wi-Fi-võrguga avalikus kohas - kohvikus, lennujaamas, hotellis või isegi suuremas kontoris - kus ka teistel inimestel, kellelt te ei usalda, on Wi- FI võrgu parool.


    Kas taevas langeb? Ei, muidugi mitte. Kuid pidage seda meeles: kui olete ühendatud WPA2-PSK-võrguga, võivad teised inimesed, kellel on juurdepääs sellele võrgule, teie liiklusele kergesti haarata. Hoolimata sellest, mida enamik inimesi usub, ei anna see krüpteerimine kaitset teiste inimestele, kellel on juurdepääs võrgule.

    Kui teil on juurdepääs tundlikele saitidele avalikus Wi-Fi võrgus - eriti HTTPSi krüpteerimist kasutamata veebisaitidel - kaaluge seda VPN-i või isegi SSH-tunneli kaudu. WPA2-PSK krüpteerimine avalikes võrkudes ei ole piisavalt hea.

    Krediidi krediit: Cory Doctorow Flickril, Food Group Flickril, Robert Couse-Baker Flickris