Hemsida » hur » Varning Krypterade WPA2 Wi-Fi-nätverk är fortfarande sårbara för snooping

    Varning Krypterade WPA2 Wi-Fi-nätverk är fortfarande sårbara för snooping

    Nu vet de flesta att ett öppet Wi-Fi-nätverk gör det möjligt för personer att avlyssna på din trafik. Standard WPA2-PSK-kryptering ska förhindra att det händer - men det är inte så idiotiskt som du kanske tror.

    Det här är inte enorma nyheter om en ny säkerhetsfel. Det här är snarare det sätt som WPA2-PSK alltid har implementerats. Men det är något de flesta inte vet.

    Öppna Wi-Fi-nätverk vs Krypterade Wi-Fi-nätverk

    Du borde inte vara värd för ett öppet Wi-Fi-nätverk hemma, men du kan hitta dig själv med hjälp av en allmänhet - till exempel på en kafé, när du passerar en flygplats eller på ett hotell. Öppna Wi-Fi-nätverk har ingen kryptering, vilket betyder att allt som skickas över luften är "i det klara". Människor kan övervaka din surfaktivitet, och alla webbaktiviteter som inte är säkrade med kryptering kan slås på. Ja, det här är även sant om du måste "logga in" med ett användarnamn och lösenord på en webbsida efter att du loggat in på det öppna Wi-Fi-nätverket.

    Kryptering - som WPA2-PSK-kryptering vi rekommenderar att du använder hemma - fixar detta något. Någon i närheten kan inte bara fånga din trafik och snoopa på dig. De får en massa krypterad trafik. Det innebär att ett krypterat Wi-Fi-nätverk skyddar din privata trafik från att bli snooped på.

    Det här är typiskt sant - men det finns en stor svaghet här.

    WPA2-PSK använder en delad nyckel

    Problemet med WPA2-PSK är att det använder en "Pre-Shared Key". Den här nyckeln är lösenordet eller lösenordsfrasen, du måste ange för att ansluta till Wi-Fi-nätverket. Alla som ansluter använder samma lösenordsfras.

    Det är ganska lätt för någon att övervaka denna krypterade trafik. Allt de behöver är:

    • Lösenfrasen: Alla som har tillstånd att ansluta till Wi-Fi-nätverket har det här.
    • Föreningen trafikerar en ny kund: Om någon tar emot paket som skickas mellan routern och en enhet när den ansluter, har de allt de behöver för att dekryptera trafiken (förutsatt att de också har lösenordsfrasen, förstås). Det är också trivialt att få denna trafik via "deauth" -attacker som tvingas koppla bort en enhet från ett Wi_Fi-nätverk och tvinga det att återansluta, vilket orsakar associeringsprocessen att hända igen.

    Verkligen kan vi inte betona hur enkelt det här är. Wireshark har ett inbyggt alternativ för att automatiskt dekryptera WPA2-PSK-trafik så länge du har den fördelade nyckeln och har tagit trafiken för associeringsprocessen.

    Vad detta egentligen betyder

    Vad det egentligen betyder är att WPA2-PSK inte är mycket säkrare mot avlyssning om du inte litar på alla på nätverket. Hemma borde du vara säker på att ditt Wi-Fi-lösenfras är en hemlighet.

    Men om du går ut till en kafé och använder WPA2-PSK istället för ett öppet Wi-Fi-nätverk kan du känna dig mycket säkrare i din integritet. Men du borde inte - någon med kaféets Wi-Fi-lösenfras kan övervaka din webbläsningstrafik. Andra personer på nätverket, eller bara andra personer med lösenordsfrasen, kunde snoop på din trafik om de ville.

    Var noga med att ta hänsyn till detta. WPA2-PSK förhindrar personer utan åtkomst till nätverket från snooping. Men när de har nätverks lösenfras är alla spel borta.

    Varför WPA2-PSK försöker inte stoppa detta?

    WPA2-PSK försöker verkligen stoppa detta genom att använda en "parvis övergående nyckel" (PTK). Varje trådlös klient har en unik PTK. Det här hjälper emellertid inte mycket eftersom den unika perklientnyckeln alltid härleds från den fördelade nyckeln (Wi-Fi-lösenfrasen.) Det är därför det är trivialt att fånga en kunds unika nyckel så länge du har Wi- Fi lösenfras och kan fånga den trafik som skickas via associeringsprocessen.

    WPA2-Enterprise löser detta ... för stora nätverk

    För stora organisationer som kräver säkra Wi-Fi-nätverk kan denna säkerhetssvaghet undvikas genom användning av EAP-authantering med en RADIUS-server - ibland kallad WPA2-Enterprise. Med det här systemet får varje Wi-Fi-klient en helt unik nyckel. Ingen Wi-Fi-klient har tillräckligt med information för att bara starta snooping på en annan klient, så det ger mycket större säkerhet. Stora företagskontor eller myndigheter bör använda WPA2-Enteprise av denna anledning.

    Men det här är för komplicerat och komplext för de allra flesta människor - eller till och med de flesta geeks - att använda hemma. I stället för ett Wi-Fi-lösenfras måste du ange enheter som du vill ansluta, du måste hantera en RADIUS-server som hanterar autentiserings- och nyckelhanteringen. Detta är mycket mer komplicerat för hemanvändare att ställa in.

    Det är faktiskt inte värt din tid om du litar på alla på ditt Wi-Fi-nätverk eller alla som har tillgång till ditt Wi-Fi-lösenfras. Detta är bara nödvändigt om du är ansluten till ett WPA2-PSK-krypterat Wi-Fi-nätverk på ett offentligt ställe - kafé, flygplats, hotell eller till och med ett större kontor - där andra du inte litar på har också Wi- FI-nätverks lösenfras.


    Så faller himlen? Nej, självklart inte. Men kom ihåg det här: När du är ansluten till ett WPA2-PSK-nätverk kan andra personer med tillgång till det nätverket enkelt snoopa på din trafik. Trots vad de flesta tror kan den här krypteringen inte ge skydd mot andra personer med tillgång till nätverket.

    Om du måste få tillgång till känsliga platser på ett offentligt Wi-Fi-nätverk - särskilt webbplatser som inte använder HTTPS-kryptering - överväga att göra det via en VPN eller till och med en SSH-tunnel. WPA2-PSK-krypteringen på offentliga nätverk är inte tillräckligt bra.

    Bildkredit: Cory Doctorow på Flickr, Food Group på Flickr, Robert Couse-Baker på Flickr