10Jul
Nyní většina lidí ví, že otevřená síť Wi-Fi umožňuje lidem sledovat vaši návštěvnost. Standardní šifrování WPA2-PSK má zabránit tomu, aby se to stalo - ale není to tak bezpečné, jak si myslíte.
Nejsou to obrovské novinky o nové bezpečnostní chybě.Spíše je to tak, jak byl WPA2-PSK vždy implementován. Ale je to něco, co většina lidí neví.
Otevřené sítě Wi-Fi oproti šifrovaným sítím Wi-Fi
Neměli byste hostit otevřenou síť Wi-Fi doma, ale můžete se sami učit veřejně - například v kavárně,letiště nebo v hotelu. Otevřené sítě Wi-Fi nemají žádné šifrování, což znamená, že vše vysílané vzduchem je "jasné." Lidé mohou sledovat vaši aktivitu procházení a jakákoli webová aktivita, která není zabezpečena šifrováním, může být snoopována. Ano, platí to i v případě, že se po přihlášení k otevřené síti Wi-Fi musíte přihlásit pomocí uživatelského jména a hesla na webové stránce.Šifrování
- jako šifrování WPA2-PSK, které doporučujeme použít doma - to opravuje poněkud. Někdo v okolí nemůže jednoduše zachytit vaši návštěvnost a snoop na vás. Dostanou spoustu šifrovaného provozu. Znamená to, že šifrovaná síť Wi-Fi chrání vaši soukromou komunikaci před touto cestou.
To je trochu pravda - ale zde je velká slabost.
WPA2-PSK používá sdílený klíč
Problém s protokolem WPA2-PSK spočívá v tom, že používá "předem sdílený klíč". Tento klíč je heslo nebo heslo, které musíte zadat pro připojení k síti Wi-Fi. Každý, kdo se připojuje, používá stejnou přístupovou frázi.
Je velmi snadné, aby někdo sledoval tuto šifrovanou komunikaci. Vše, co potřebují, je:
- Heslo : Každý, kdo má oprávnění k připojení k síti Wi-Fi, to bude mít.
- Asociace pro nový klient : Pokud někdo zachycuje pakety odesílané mezi směrovačem a zařízením při připojení, mají vše, co potřebují k dešifrování provozu( samozřejmě, že mají přístupovou frázi).Je také triviální, aby se tento provoz dostal prostřednictvím útoků typu "deauth", které násilně odpojují zařízení od sítě Wi-Fi a donutili ji k opětovnému připojení, což způsobilo, že proces asociace se stane znovu.
Opravdu, nemůžeme zdůraznit, jak jednoduché to je. Služba Wireshark má vestavěnou možnost automatického dešifrování provozu WPA2-PSK, pokud máte předem sdílený klíč a jste zachytili provoz pro proces přidružení.
Co vlastně znamená
Co vlastně znamená, že WPA2-PSK není mnohem bezpečnější proti odposlechu, pokud nevěříte všem v síti. Doma byste měli být v bezpečí, protože přístupová fráze Wi-Fi je tajná.
Pokud však půjdete ven do kavárny a použijete WPA2-PSK místo otevřené sítě Wi-FI, můžete se cítit mnohem bezpečněji ve vašem soukromí.Ale neměli byste - někdo s přístupovou frází Wi-Fi v kavárně mohl sledovat návštěvnost. Jiní lidé v síti, nebo jen jiní lidé s přístupovou frází, by mohli sledují vaši návštěvnost, pokud chtějí.
Ujistěte se, že to berete v úvahu. WPA2-PSK zabraňuje lidem, kteří nemají přístup do sítě, před snoopováním. Nicméně, jakmile budou mít heslo k síti, budou všechny sázky vypnuty.
Proč se WPA2-PSK nepokusí zastavit?
WPA2-PSK se ve skutečnosti pokusí zastavit pomocí "párového přechodného klíče"( PTK).Každý bezdrátový klient má jedinečnou PTK.Nicméně to moc nepomůže, protože jedinečný klíč na klienta je vždy odvozen z předem sdíleného klíče( přístupová fráze Wi-Fi). Proto je bezvýznamné zachytit jedinečný klíč klienta, pokud máte Wi-Fi a může zachytit provoz odeslaný prostřednictvím procesu přidružení.
WPA2-Enterprise řeší tento problém. .. Pro velké sítě
Pro velké organizace, které vyžadují zabezpečené sítě Wi-Fi, lze tuto bezpečnostní slabost zabránit použitím automatizace EAP pomocí serveru RADIUS - někdy nazývaného WPA2-Enterprise. Díky tomuto systému dostane každý klient Wi-Fi opravdu jedinečný klíč.Žádný klient Wi-Fi nemá dostatek informací, aby mohl začít snoopovat na jiného klienta, takže poskytuje mnohem větší bezpečnost. Velké firemní kanceláře nebo vládní agentury by proto měly používat WPA2-Enteprise z tohoto důvodu.
Ale to je příliš složité a složité pro drtivou většinu lidí - nebo dokonce nejvíce geeks - používat doma. Namísto přístupové fráze Wi-FI musíte zadat zařízení, která se chcete připojit, musíte spravovat server RADIUS, který zpracovává autentizaci a správu klíčů.To je mnohem složitější pro domácí uživatele nastavit.
Ve skutečnosti ani to není čas, kdybyste důvěřovali všem uživatelům ve vaší síti Wi-Fi nebo všem s přístupem k přístupové frázi Wi-Fi. To je nutné pouze v případě, že jste připojeni k šifrované síti Wi-Fi WPA2-PSK na veřejném místě - kavárně, letišti, hotelu nebo dokonce větší kanceláři - kde ostatní lidé, kterým nedůvěřujete, mají Wi-FI přístupová fráze sítě.
Takže, padá obloha? Ne, samozřejmě že ne. Mějte však na paměti: Když jste připojeni k síti WPA2-PSK, ostatní uživatelé s přístupem k této síti by mohli snadno sledovat vaši návštěvnost. Navzdory tomu, co se většina lidí může domnívat, šifrování neposkytuje ochranu proti jiným lidem, kteří mají přístup k síti.
Pokud máte přístup k citlivým stránkám ve veřejné síti Wi-Fi - zejména na webech, které nepoužívají šifrování HTTPS - zvažte to prostřednictvím VPN nebo dokonce SSH tunelu.Šifrování WPA2-PSK ve veřejných sítích není dost dobré.
Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr