Pagina principala » HOWTO » Avertisment WPA2 rețelele Wi-Fi criptate sunt încă vulnerabile la Snooping

    Avertisment WPA2 rețelele Wi-Fi criptate sunt încă vulnerabile la Snooping

    Până acum, majoritatea oamenilor știu că o rețea Wi-Fi deschisă permite oamenilor să asculte traficul. Se presupune că criptarea standard WPA2-PSK împiedică acest lucru - dar nu este la fel de sigur cum credeți.

    Nu este o veste uriașă despre un nou defect de securitate. Mai degrabă, acesta este modul în care WPA2-PSK a fost întotdeauna implementat. Dar este ceva ce majoritatea oamenilor nu știu.

    Deschideți rețelele Wi-Fi față de rețelele criptate Wi-Fi

    Nu ar trebui să găzduiți o rețea Wi-Fi deschisă la domiciliu, dar puteți să vă aflați folosind unul în public - de exemplu, la o cafenea, în timp ce treceți printr-un aeroport sau într-un hotel. Rețelele Wi-Fi deschise nu au nicio criptare, ceea ce înseamnă că tot ceea ce este trimis în aer este "clar". Oamenii pot monitoriza activitatea dvs. de navigare, iar orice activitate web care nu este protejată prin criptare poate fi snoată. Da, este chiar adevărat dacă trebuie să vă conectați cu un nume de utilizator și o parolă pe o pagină Web după conectarea la rețeaua Wi-Fi deschisă.

    Criptarea - cum ar fi criptarea WPA2-PSK pe care o recomandăm să o utilizați acasă - remediază acest lucru oarecum. Cineva din apropiere nu poate pur și simplu să capteze traficul și să vă vadă. Ei vor primi o grămadă de trafic criptat. Aceasta înseamnă că o rețea criptată Wi-Fi vă protejează traficul privat de a nu fi văzut.

    Acest lucru este cam adevărat - dar aici există o mare slăbiciune.

    WPA2-PSK utilizează o cheie partajată

    Problema cu WPA2-PSK este că utilizează o cheie "Pre-partajată". Această cheie este parola sau fraza de acces pe care trebuie să o introduceți pentru a vă conecta la rețeaua Wi-Fi. Toți cei care le conectează utilizează aceeași expresie de acces.

    Este destul de ușor pentru cineva să monitorizeze traficul criptat. Tot ce au nevoie este:

    • Fraza de acces: Toată lumea care are permisiunea de a se conecta la rețeaua Wi-Fi va avea aceasta.
    • Traficul de asociere pentru un nou client: Dacă cineva captează pachetele trimise între router și un dispozitiv atunci când se conectează, au tot ceea ce au nevoie pentru a decripta traficul (presupunând că au și fraza de acces, desigur). Este, de asemenea, banal să obțineți acest trafic prin atacuri "deauth" care deconectează cu forța un dispozitiv dintr-o rețea Wi-Fi și îl forțează să se reconecteze, provocând din nou procesul de asociere.

    Într-adevăr, nu putem sublinia cât de simplu este acest lucru. Wireshark are o opțiune încorporată pentru a decripta automat traficul WPA2-PSK atâta timp cât aveți cheia pre-distribuită și ați capturat traficul pentru procesul de asociere.

    Ce înseamnă asta în realitate

    De fapt, acest lucru înseamnă că WPA2-PSK nu este mult mai sigur împotriva interceptărilor dacă nu aveți încredere în toată lumea din rețea. La domiciliu, ar trebui să fiți sigur deoarece fraza de acces Wi-Fi este un secret.

    Cu toate acestea, dacă ieșiți la o cafenea și utilizați WPA2-PSK în locul unei rețele Wi-FI deschise, s-ar putea să vă simțiți mult mai sigur în confidențialitatea dvs. Dar nu ar trebui - cineva cu fraza de acces Wi-Fi la cafenea ar putea monitoriza traficul dvs. de navigare. Alți oameni din rețea, sau doar alți oameni cu fraza de acces, ar putea să vă supună traficului, dacă vor.

    Asigurați-vă că luați în considerare acest lucru. WPA2-PSK împiedică persoanele care nu au acces la rețea de la snooping. Cu toate acestea, odată ce au fraza de acces a rețelei, toate pariurile sunt dezactivate.

    De ce WPA2-PSK nu încearcă să oprească acest lucru?

    WPA2-PSK încearcă să oprească acest lucru prin utilizarea unei "chei tranzitorii pereche" (PTK). Fiecare client wireless are un PTK unic. Cu toate acestea, acest lucru nu ajută prea mult, deoarece cheia unică a clientului este întotdeauna derivată din cheia pre-distribuită (fraza de acces Wi-Fi). De aceea este banal să capturați cheia unică a clientului atâta timp cât aveți Wi- Fi și poate capta traficul trimis prin procesul de asociere.

    WPA2-Enterprise rezolvă acest ... Pentru rețele mari

    Pentru organizațiile mari care solicită rețele Wi-Fi securizate, această slăbiciune de securitate poate fi evitată prin utilizarea unei autentificări EAP cu un server RADIUS - denumit uneori WPA2-Enterprise. Cu acest sistem, fiecare client Wi-Fi primește o cheie cu adevărat unică. Niciun client Wi-Fi nu are suficiente informații pentru a începe să snoopă pe un alt client, astfel că acesta oferă o securitate mult mai mare. Întreprinderile mari sau agenții guvernamentale ar trebui să utilizeze WPA2-Enteprise din acest motiv.

    Dar acest lucru este prea complicat și complex pentru marea majoritate a oamenilor - sau chiar cei mai mulți geeks - de a folosi acasă. În loc de o frază de acces Wi-FI trebuie să introduceți pe dispozitivele pe care doriți să le conectați, va trebui să gestionați un server RADIUS care gestionează autentificarea și gestionarea cheilor. Acest lucru este mult mai complicat pentru utilizatorii de acasă să înființeze.

    De fapt, nici nu merită timpul dacă aveți încredere în toată lumea din rețeaua dvs. Wi-Fi sau oricine are acces la fraza de acces Wi-Fi. Acest lucru este necesar numai dacă sunteți conectat (ă) la o rețea Wi-Fi criptată WPA2-PSK într-o locație publică - cafenea, aeroport, hotel sau chiar un birou mai mare - în cazul în care alte persoane pe care nu aveți încredere aveți și Wi- Fișa de acces a rețelei FI.


    Deci, cerul cade? Nu, desigur că nu. Dar rețineți acest lucru: când sunteți conectat (ă) la o rețea WPA2-PSK, alte persoane care au acces la rețeaua respectivă ar putea să observe cu ușurință traficul. În ciuda faptului că majoritatea oamenilor cred că această criptare nu oferă protecție împotriva altor persoane care au acces la rețea.

    Dacă trebuie să accesați site-uri sensibile dintr-o rețea publică Wi-Fi - în special, site-uri web care nu utilizează criptare HTTPS - luați în considerare acest lucru printr-un VPN sau chiar un tunel SSH. Criptarea WPA2-PSK pe rețelele publice nu este suficient de bună.

    Image Credit: Cory Doctorow pe Flickr, Food Group pe Flickr, Robert Couse-Baker pe Flickr