See ei ole tohutu uudis uue turvaprobleemi kohta. Selle asemel on WPA2-PSK alati rakendatud. Kuid see on midagi, mida enamik inimesi ei tea.
Avage Wi-Fi võrgud ja krüptitud Wi-Fi võrgud
Kodu ei tohiks hoida avatud WiFi-võrku, kuid võite leida, et kasutate seda avalikult, näiteks kohvikus, lennujaamas või hotelli läbides. Avatud WiFi-võrgud ei krüpteerita, mis tähendab, et kõik, mis saadetakse õhus, on "selge". Inimesed saavad jälgida teie sirvimist ja veebitegevust, mis ei ole krüptimisega kaitstud, saab jälgida. Jah, see kehtib ka siis, kui peate pärast avatud veebibrauserisse sisselogimist veebi lehel oma kasutajanime ja parooli sisse logima.
Krüptimine - nagu WPA2-PSK-krüpteerimine, mida soovitame kasutada kodus - seda parandatakse mõnevõrra. Keegi läheduses ei saa lihtsalt oma liiklust lüüa ja snoop teile. Nad saavad hulga krüptitud liiklust. See tähendab, et krüpteeritud WiFi-võrk kaitseb teie privaatset liiklust.
See on tõsi - kuid seal on suur nõrkus.
WPA2-PSK kasutab jagatud võtit
Probleem WPA2-PSK-s on selles, et see kasutab eeljagatud võtmenüüd. See võti on parool või paroolifraas, mida peate sisestama Wi-Fi-võrguga ühenduse loomiseks. Igaüks, kes ühendab, kasutab sama paroolifraasi.
Kellel on kerge jälgida seda krüptitud liiklust. Kõik, mida nad vajavad, on:
- Paroolifraas: Igaüks, kellel on luba Wi-Fi-võrguga ühenduse loomiseks, seda teeb.
- Uue kliendi assotsieerumine: Kui keegi suudab ühendada ruuteri ja seadmega saadetud pakettide hõivamiseks, on neil kõik, mis on vaja liiklust dekrüpteerimiseks (eeldades, et neil on muidugi ka paroolifraas). Samuti on triviaalne, et saada see liiklus deauth-rünnakute kaudu, mis seovad jõuga seadme Wi_Fi võrgust välja ja sundida seda uuesti ühendama, põhjustades seotuse protsessi uuesti.
Tõepoolest, me ei saa rõhutada, kui lihtne see on. Wiresharkil on sisseehitatud võimalus WPA2-PSK-i liiklust automaatselt dekrüpteerida, kui teil on eelnevalt jagatud võti ja olete võtnud kokku ühinemisprotsessi liikluse.
Mida see tegelikult tähendab
Mida see tegelikult tähendab, et WPA2-PSK pole pealtkuulamise eest palju turvalisem, kui te ei usalda kõiki võrku. Kodus peaksite olema turvaline, kuna teie WiFi-parool on salajane.
Kuid kui te lähete kohvikusse ja nad kasutavad avatud Wi-Fi-võrgu asemel WPA2-PSK-d, võite privaatsuses end turvalisemaks tunda. Kuid te ei tohiks - igaüks, kel on kohviku WiFi-i paroolifraas, võiks jälgida teie sirvimist liiklust. Võrgus olevad inimesed või lihtsalt teised paroolifraasiga inimesed võivad oma liiklust jälgida, kui nad seda soovivad.
Kindlasti võtke see arvesse. WPA2-PSK takistab inimestel, kellel puudub juurdepääs võrgule, ebaõnnestuma. Siiski, kui neil on võrgu paroolifraas, on kõik ennustused välja lülitatud.
Miks WPA2-PSK ei püüa seda peatada?
WPA2-PSK püüab seda tegelikult peatada, kasutades paarikaupa mööduvat võtit (PTK). Igal traadita kliendil on unikaalne PTK. Kuid see ei aita palju, sest ainulaadne kliendiklahv tuleneb alati eeljagatud võtmest (Wi-Fi paroolifraas). Seepärast on kliendi unikaalse võtme hõivamiseks nii tühine, kui teil on Wi- Fi-sisselogimisparooli ja võib sidumisprotsessi kaudu edastatud liiklust hõivata.
WPA2-Enterprise lahendab selle … suurte võrkude jaoks
Suurelt organisatsioonidelt, kes nõuavad turvalisi Wi-Fi-võrke, saab seda julgeoleku nõrkust vältida, kasutades EAP-i autohaldust RADIUS-serveriga, mida mõnikord nimetatakse ka WPA2-Enterpriseiks. Selle süsteemiga saab iga Wi-Fi klient tõeliselt unikaalse võtme. Ükski Wi-Fi-kliendil pole piisavalt teavet, et lihtsalt alustada teise kliendi snoopimist, seega pakub see palju suuremat turvalisust. Sel põhjusel peaks WPA2-Enteprise kasutama suurettevõtteid või valitsusasutusi.
Kuid see on liiga keeruline ja keeruline, et valdav enamus inimesi - või isegi kõige rohkem geeks - saaksid kodus kasutada. Wi-FI-i parooli asemel peate sisestama seadmetesse, mida soovite ühendada, tuleb teil hallata RADIUS-serverit, mis käitleb autentimist ja võtmehaldust. See on palju keerukam kodu kasutajatele seadistamiseks.
Tegelikult pole isegi väärt oma aega, kui te usaldate kõiki oma WiFi-võrgust või kõigile, kellel on juurdepääs teie WiFi-sisselogimisparoolile. See on vajalik ainult siis, kui olete ühenduses WPA2-PSK krüpteeritud WiFi-võrguga üldkasutatavas kohas - kohvikus, lennujaamas, hotellis või isegi suuremas kontoris, kus ka teisi inimesi, keda te ei usalda, on ka Wi- FI võrgu paroolifraas.
Niisiis, kas taevas langeb? Ei, muidugi mitte. Kuid pidage meeles järgmist. Kui olete ühendatud WPA2-PSK-võrguga, võivad teised, kellel on juurdepääs sellele võrgule, hõlpsalt teie liiklust jälgida.Vaatamata sellele, mida enamik inimesi võib arvata, ei anna see krüpteerimine teiste võrkudega inimestele kaitset.
Kui peate juurdepääsu avalikele Wi-Fi-võrkude tundlikele saitidele, eriti veebisaitidele, mis ei kasuta HTTPS-i krüptimist, kaaluge seda VPN-i või isegi SSH-tunneli kaudu. Avalike võrkude WPA2-PSK-krüpteerimine pole piisavalt hea.
