Početna » kako da » Upozorenje Šifrirane WPA2 Wi-Fi mreže i dalje su ranjive na njuškanje

    Upozorenje Šifrirane WPA2 Wi-Fi mreže i dalje su ranjive na njuškanje

    Do sada većina ljudi zna da otvorena Wi-Fi mreža omogućuje ljudima da prisluškuju vaš promet. Standardna WPA2-PSK enkripcija trebala bi spriječiti ovo - ali nije tako sigurna kao što možete zamisliti.

    Ovo nisu velike vijesti o novom sigurnosnom propustu. Umjesto toga, ovo je način na koji je WPA2-PSK uvijek implementiran. Ali to je nešto što većina ljudi ne zna.

    Otvorite Wi-Fi mreže i šifrirane Wi-Fi mreže

    Kod kuće ne biste smjeli ugostiti otvorenu Wi-Fi mrežu, ali možete je pronaći u javnosti - na primjer, u kafiću, dok prolazite kroz zračnu luku ili u hotelu. Otvorene Wi-Fi mreže nemaju šifriranje, što znači da je sve poslano putem interneta "jasno". Ljudi mogu pratiti vašu aktivnost pregledavanja, a svaka web aktivnost koja nije osigurana samim šifriranjem može biti uključena. Da, to je čak i točno ako se morate prijaviti s korisničkim imenom i zaporkom na web-stranici nakon prijave na otvorenu Wi-Fi mrežu.

    Šifriranje - poput WPA2-PSK enkripcije koju preporučujemo kod kuće - to donekle popravlja. Netko u blizini ne može jednostavno uhvatiti vaš promet i njuškati na vas. Dobit će hrpu šifriranog prometa. To znači da šifrirana Wi-Fi mreža štiti vaš privatni promet od uključivanja.

    Ovo je istina - ali ovdje postoji velika slabost.

    WPA2-PSK koristi zajednički ključ

    Problem s WPA2-PSK je u tome što koristi “Pre-Shared Key”. Ova je ključ lozinka ili pristupna fraza koju morate unijeti za povezivanje s Wi-Fi mrežom. Svi koji se povezuju koristi istu zaporku.

    Nekome je vrlo lako pratiti taj kriptirani promet. Sve što im treba je:

    • Zaporka: To će imati svi koji imaju dozvolu za povezivanje s Wi-Fi mrežom.
    • Promet pridruživanja za novog klijenta: Ako netko snima pakete poslane između usmjerivača i uređaja kada se spaja, oni imaju sve što im je potrebno za dešifriranje prometa (pod uvjetom da imaju i zaporku, naravno). Također je trivijalno dobiti ovaj promet putem “deauth” napada koji prisilno isključuju uređaj s Wi_Fi mreže i prisiljavaju ga da se ponovno poveže, što uzrokuje ponovni proces pridruživanja.

    Stvarno, ne možemo naglasiti kako je to jednostavno. Wireshark ima ugrađenu opciju za automatsko dešifriranje WPA2-PSK prometa sve dok imate unaprijed podijeljeni ključ i uhvatili promet za proces pridruživanja.

    Što to zapravo znači

    To zapravo znači da WPA2-PSK nije mnogo sigurniji od prisluškivanja ako ne vjerujete svima na mreži. Kod kuće biste trebali biti sigurni jer je zaporka za Wi-Fi tajna.

    Međutim, ako odete u kafić i koriste WPA2-PSK umjesto otvorene Wi-Fi mreže, možda ćete se osjećati mnogo sigurnije u svojoj privatnosti. Ali ne biste trebali - svatko s Wi-Fi passphrase-om u kafiću može pratiti vaš promet pregledavanja. Druge osobe na mreži, ili samo druge osobe koje imaju pristupni izraz, mogu zanemariti vaš promet ako to žele.

    Svakako to uzmite u obzir. WPA2-PSK sprječava osobe koje nemaju pristup mreži od njuškanja. Međutim, nakon što imaju mrežnu zaporku, sve oklade su isključene.

    Zašto ne WPA2-PSK Pokušajte zaustaviti ovo?

    WPA2-PSK zapravo pokušava to zaustaviti korištenjem "parova prijelaznog ključa" (PTK). Svaki bežični klijent ima jedinstveni PTK. Međutim, to ne pomaže puno jer je jedinstveni ključ po klijentu uvijek izveden iz unaprijed dijeljenog ključa (zaporka za Wi-Fi.) Zato je trivijalno snimiti jedinstveni ključ klijenta sve dok imate Wi-Fi. Fi zaporku i može snimiti promet koji se šalje putem procesa pridruživanja.

    WPA2-Enterprise ovo rješava ... za velike mreže

    Za velike organizacije koje zahtijevaju sigurne Wi-Fi mreže, ova se sigurnosna slabost može izbjeći korištenjem EAP autentikacije s RADIUS poslužiteljem - ponekad nazvanim WPA2-Enterprise. S ovim sustavom svaki Wi-Fi klijent dobiva uistinu jedinstven ključ. Nijedan Wi-Fi klijent nema dovoljno informacija da samo počne njuškati na drugom klijentu, tako da to pruža mnogo veću sigurnost. Zbog toga velike korporativne urede ili vladine agencije trebaju koristiti WPA2-Enteprise.

    No, to je previše komplicirano i složeno za veliku većinu ljudi - ili čak većinu geek-a - za korištenje kod kuće. Umjesto Wi-FI pristupne fraze koju morate unijeti na uređajima koje želite povezati, morate upravljati RADIUS poslužiteljem koji upravlja autentifikacijom i upravljanje ključem. To je mnogo kompliciranije za postavljanje kućnih korisnika.

    Zapravo, nije vrijedno vašeg vremena ako vjerujete svima na vašoj Wi-Fi mreži ili svima koji imaju pristup svojoj zaporci za Wi-Fi. To je potrebno samo ako ste povezani s WPA2-PSK šifriranom Wi-Fi mrežom na javnoj lokaciji - kafiću, zračnoj luci, hotelu ili čak većem uredu - gdje i drugi ljudi kojima ne vjerujete također imaju Wi-Fi Lozinka FI mreže.


    Dakle, pada li nebo? Ne, naravno da ne. No, imajte to na umu: kada se povežete s mrežom WPA2-PSK, druge osobe koje imaju pristup toj mreži mogu lako pretraživati ​​vaš promet. Unatoč tome što većina ljudi vjeruje, šifriranje ne pruža zaštitu od drugih ljudi koji imaju pristup mreži.

    Ako morate pristupiti osjetljivim web-lokacijama na javnoj Wi-Fi mreži - posebno web-lokacijama koje ne koriste HTTPS enkripciju - razmislite o tome da to učinite putem VPN-a ili čak SSH tunela. WPA2-PSK šifriranje na javnim mrežama nije dovoljno dobro.

    Image Credit: Cory Doctorow na Flickru, Food Group na Flickru, Robert Couse-Baker na Flickr