Tähän mennessä useimmat ihmiset tietävät, että avoin Wi-Fiverkon avulla ihmiset voivat seurata liikennettäsi. Normaalin WPA2-PSK-salauksen on tarkoitus estää tätä tapahtumasta - mutta se ei ole niin tyhjänkestävä kuin luuletkaan.
Tämä ei ole valtava uutinen uudesta turvallisuusvirheestä. Pikemminkin tämä on tapa, jolla WPA2-PSK on aina toteutettu. Mutta se on jotain, mitä useimmat ihmiset eivät tiedä.
Avaa Wi-Fi-verkot vs. salatut Wi-Fi-verkot
SAMANKALTAISET Miksi julkisen Wi-Fi-verkon käyttäminen voi olla vaarallista, jopa salattuihin verkkosivustoihin pääsyssä
Sinun ei pitäisi isännöidä avointa Wi-Fi-verkkoa kotona,mutta saatat joutua käyttämään sitä julkisesti - esimerkiksi kahvilassa, kulkiessaan lentokentän kautta tai hotellissa. Avoimissa Wi-Fi-verkoissa ei ole salausta, mikä tarkoittaa, että kaikki lähetetty lähetetään "selkeästi". Ihmiset voivat seurata selaustoimintaasi, ja kaikki verkkotoiminnot, joita ei ole suojattu itse salauksella, voidaan torjua. Kyllä, tämä on totta, jos joudut kirjautumaan sisään käyttäjänimellä ja salasanalla verkkosivulle kirjautumisen jälkeen avoimeen Wi-Fi-verkkoon.
Salaus - kuten me WPA2-PSK-salaussuosittelen käyttämistä kotona - korjaa tämän jonkin verran. Joku lähellä olevista henkilöistä ei voi vain yksinkertaisesti kaapata liikennettäsi ja torjua sinua. He saavat joukon salattua liikennettä. Tämä tarkoittaa, että salattu Wi-Fi-verkko suojaa yksityistä liikennettäsi torjumisesta.
Tämä on totta totta - mutta täällä on iso heikkous.
WPA2-PSK käyttää jaettua avainta
SAMANKALTAISET Älä ole väärin suojattu: 5 turvaa tapaa turvata langaton internet
WPA2-PSK: n ongelma on, että se käyttää a”Pre-Shared Key.” Tämä avain on salasana tai salasana, joka sinun on annettava yhteyden muodostamiseksi Wi-Fi-verkkoon. Kaikki yhteyden muodostavat käyttävät samaa salasanaa.
Joku on melko helppoa valvoa tätä salattua liikennettä. He tarvitsevat vain:
- Tunnuslause: Jokaisella, jolla on lupa muodostaa yhteys Wi-Fi-verkkoon, on tämä.
- Yhdistämisliikenne uudelle asiakkaalle: Jos joku vangitsee lähetetyt paketitreitittimen ja laitteen välillä, kun se muodostaa yhteyden, heillä on kaikki tarvitsemansa liikenteen purkamiseen (olettaen, että heillä on tietysti myös salasana). On myös triviaalia saada tämä liikenne "deauth" -hyökkäyksillä, jotka erottavat laitteen pakollisesti Wi_Fi-verkosta ja pakottavat sen yhdistämään uudelleen, aiheuttaen yhdistämisprosessin toistumisen.
Emme todellakaan voi painottaa kuinka yksinkertaista tämä on. Wiresharkissä on sisäänrakennettu vaihtoehto salauksen purkamiseksi automaattisesti WPA2-PSK-liikenteestä niin kauan kuin sinulla on esijaettu avain ja olet vallannut yhdistämisprosessin liikenteen.
Mitä tämä oikeasti tarkoittaa
SAMANKALTAISET Wi-Fi: n WPA2-salaus voidaan murtaa offline-tilassa: Tässä on miten
Mitä tämä oikeastaan tarkoittaa, on se, että WPA2-PSK ei olepaljon turvempi salakuuntelu, ellet luota kaikkiin verkossa oleviin. Kotona sinun pitäisi olla turvassa, koska Wi-Fi-salasanasi on salaisuus.
Kuitenkin, jos menet ulos kahvila ja heKäytä WPA2-PSK: ta avoimen Wi-Fi-verkon sijasta, saatat tuntea itsesi olevan paljon turvallisempi. Mutta sinun ei pitäisi - kuka tahansa kahvilan Wi-Fi-tunnuslause voi valvoa selailuliikennettäsi. Muut verkossa olevat ihmiset tai vain muut käyttäjät, joilla on tunnuslause, voivat halutessaan torjua liikennettäsi.
Muista ottaa tämä huomioon. WPA2-PSK estää käyttäjiä, joilla ei ole verkkoon pääsyä, snooppausta. Kun heillä on verkon tunnuslause, kaikki vedot ovat poissa käytöstä.
Miksi WPA2-PSK ei yritä pysäyttää tätä?
WPA2-PSK todella yrittää pysäyttää tämän läpi”parisuuntaisen transienttisen avaimen” (PTK) käyttö. Jokaisella langattomalla asiakkaalla on ainutlaatuinen PTK. Tämä ei kuitenkaan auta paljon, koska asiakaskohtainen avain on aina johdettu ennalta jaetusta avaimesta (Wi-Fi-tunnuslause.) Siksi on triviaalia kaapata asiakkaan ainutlaatuinen avain niin kauan kuin sinulla on Wi- Fi-tunnuslause ja pystyy sieppaamaan yhdistämisprosessin kautta lähetetyn liikenteen.
WPA2-Enterprise ratkaisee tämän ... Suurille verkoille
Suurille organisaatioille, jotka vaativat suojattua Wi-Fi-yhteyttäverkoissa, tämä tietoturvahäiriö voidaan välttää käyttämällä EAP-todennusta RADIUS-palvelimen kanssa - joskus nimeltään WPA2-Enterprise. Tämän järjestelmän avulla jokainen Wi-Fi-asiakas saa todella ainutlaatuisen avaimen. Yhdelläkään Wi-Fi-asiakasohjelmalla ei ole tarpeeksi tietoa aloittaaksesi snooppauksen toisessa asiakkaassa, joten tämä tarjoaa paljon paremman suojauksen. Suurten yrityskonttorien tai valtion virastojen tulisi käyttää WPA2-Enteprise -sovellusta tästä syystä.
Mutta tämä on liian monimutkaista ja monimutkaistasuurin osa ihmisistä - tai jopa suurin osa geeksistä - käyttää kotona. Sinun on kirjoitettava laitteisiin, jotka haluat liittää, Wi-Fi-salasanan sijasta, sinun on hallittava RADIUS-palvelinta, joka käsittelee todennusta ja avainten hallintaa. Tämän on kotikäyttäjien perustaminen huomattavasti monimutkaisempi.
Itse asiassa se ei ole edes aikaa arvoinen, jos sinäluota kaikkiin Wi-Fi-verkkoosi tai kaikkiin, joilla on pääsy Wi-Fi-salasanasi. Tämä on tarpeen vain, jos olet yhteydessä WPA2-PSK-salattuun Wi-Fi-verkkoon julkisessa paikassa - kahvilassa, lentokentällä, hotellissa tai jopa suuremmassa toimistossa - missä muillakin et luota ihmisillä on myös Wi- FI-verkon tunnuslause.
Joten taivas putoaa? Ei tietenkään. Mutta pidä tämä mielessä: Kun olet muodostanut yhteyden WPA2-PSK-verkkoon, muut ihmiset, joilla on pääsy tähän verkkoon, voivat helposti torjua liikennettäsi. Huolimatta siitä, mitä useimmat ihmiset voivat uskoa, tämä salaus ei tarjoa suojaa muilta verkon käyttäjiltä.
Jos joudut käyttämään arkaluontoisia sivustoja yleisössäWi-Fi-verkko - etenkin ne sivustot, joissa ei käytetä HTTPS-salausta - harkitse tätä VPN- tai jopa SSH-tunnelin kautta. WPA2-PSK-salaus julkisissa verkoissa ei ole tarpeeksi hyvä.
Kuvahyvitys: Cory Doctorow Flickrissä, Food Group Flickrissä, Robert Couse-Baker Flickrissä
