Предупреждение Зашифрованные сети Wi-Fi WPA2 по-прежнему уязвимы для отслеживания

К настоящему времени большинство людей знают, что открытая сеть Wi-Fi позволяет людям подслушивать ваш трафик. Предполагается, что стандартное шифрование WPA2-PSK предотвратит это, но не настолько надежно, как вы думаете.

Это не огромные последние новости о новом недостатке безопасности. Скорее, именно так WPA2-PSK всегда был реализован. Но это то, что большинство людей не знают.

Открытые сети Wi-Fi против зашифрованных сетей Wi-Fi

Вы не должны размещать открытую сеть Wi-Fi дома, но вы можете использовать ее публично - например, в кафе, во время прохождения через аэропорт или в отеле. Открытые сети Wi-Fi не имеют шифрования, а это означает, что все, что отправлено по беспроводной сети, «в открытом виде». Люди могут отслеживать вашу активность в Интернете, а также можно отслеживать любую веб-активность, которая не защищена самим шифрованием. Да, это даже верно, если вам необходимо «войти» с именем пользователя и паролем на веб-странице после входа в открытую сеть Wi-Fi.

Шифрование - как и шифрование WPA2-PSK, которое мы рекомендуем использовать дома, - это несколько исправляет. Кто-то рядом не может просто захватить ваш трафик и шпионить за вами. Они получат кучу зашифрованного трафика. Это означает, что зашифрованная сеть Wi-Fi защищает ваш частный трафик от отслеживания.

Это отчасти верно, но здесь есть большая слабость.

WPA2-PSK использует общий ключ

Проблема с WPA2-PSK состоит в том, что он использует «Общий ключ». Этот ключ - пароль или пароль, которые необходимо ввести для подключения к сети Wi-Fi. Каждый, кто подключается, использует одну и ту же фразу-пароль.

Для кого-то довольно легко отслеживать этот зашифрованный трафик. Все, что им нужно, это:

• Пароль: Каждый, у кого есть разрешение на подключение к сети Wi-Fi, получит это.
• Трафик ассоциации для нового клиентаЕсли кто-то захватывает пакеты, отправленные между маршрутизатором и устройством, когда он подключается, у него есть все, что ему нужно для расшифровки трафика (конечно, при условии, что у него также есть фраза-пароль). Также тривиально получить этот трафик с помощью атак «deauth», которые принудительно отключают устройство от сети Wi_Fi и вынуждают его повторно подключаться, вызывая процесс объединения снова.

На самом деле, мы не можем не подчеркнуть, насколько это просто. Wireshark имеет встроенную опцию для автоматического дешифрования трафика WPA2-PSK, если у вас есть общий ключ и вы получили трафик для процесса ассоциации.

Что это на самом деле означает

На самом деле это означает, что WPA2-PSK не намного более защищен от перехвата, если вы не доверяете всем в сети. Дома вы должны быть в безопасности, потому что ваша секретная фраза Wi-Fi является секретом.

Однако, если вы идете в кафе и они используют WPA2-PSK вместо открытой сети Wi-Fi, вы можете чувствовать себя намного более защищенным в своей конфиденциальности. Но вы не должны - любой с парольной фразой кафе может отслеживать ваш трафик. Другие люди в сети или просто другие люди с парольной фразой могут отслеживать ваш трафик, если они хотят.

Обязательно примите это во внимание. WPA2-PSK предотвращает слежку за людьми, не имеющими доступа к сети. Однако, когда у них есть пароль, все ставки отключены..

Почему WPA2-PSK не пытается это остановить??

WPA2-PSK на самом деле пытается остановить это с помощью «парного переходного ключа» (PTK). Каждый беспроводной клиент имеет уникальный PTK. Однако это мало помогает, потому что уникальный ключ для каждого клиента всегда получается из предварительно общего ключа (ключевой фразы Wi-Fi). Вот почему захватить уникальный ключ клиента тривиально, если у вас есть Wi-Fi. Fi-фраза и может захватывать трафик, отправленный через процесс ассоциации.

WPA2-Enterprise решает эту проблему ... для больших сетей

В крупных организациях, которым требуются безопасные сети Wi-Fi, этой уязвимости можно избежать, используя аутентификацию EAP на сервере RADIUS, иногда называемую WPA2-Enterprise. С помощью этой системы каждый клиент Wi-Fi получает действительно уникальный ключ. Ни один клиент Wi-Fi не имеет достаточно информации, чтобы просто начать отслеживать другого клиента, поэтому это обеспечивает гораздо большую безопасность. По этой причине крупные корпоративные офисы или правительственные учреждения должны использовать WPA2-Enteprise..

Но это слишком сложно и сложно для подавляющего большинства людей - или даже большинства фанатов - использовать дома. Вместо парольной фразы Wi-Fi, которую вы должны ввести на устройствах, к которым вы хотите подключиться, вам придется управлять сервером RADIUS, который управляет аутентификацией и управлением ключами. Это гораздо сложнее для домашних пользователей настроить.

На самом деле, это даже не стоит вашего времени, если вы доверяете всем в вашей сети Wi-Fi или всем, кто имеет доступ к вашей парольной фразе Wi-Fi. Это необходимо только в том случае, если вы подключены к зашифрованной сети Wi-Fi WPA2-PSK в общедоступном месте - кафе, аэропорту, гостинице или даже в более крупном офисе, где другие люди, которым вы не доверяете, также имеют Wi-Fi. Пароль сети FI.

Итак, небо падает? Нет, конечно нет. Но имейте в виду: когда вы подключены к сети WPA2-PSK, другие люди, имеющие доступ к этой сети, могут легко отслеживать ваш трафик. Несмотря на то, что большинство людей может поверить, что шифрование не обеспечивает защиту от других людей, имеющих доступ к сети.

Если вам необходимо получить доступ к конфиденциальным сайтам в общедоступной сети Wi-Fi, в частности к веб-сайтам, не использующим HTTPS-шифрование, подумайте об этом через VPN или даже туннель SSH. Шифрование WPA2-PSK в общедоступных сетях недостаточно.

Изображение предоставлено: Кори Доктороу на Flickr, Food Group на Flickr, Роберт Кус-Бейкер на Flickr