Чи можуть інші користувачі зашифрованого Wi-Fi AP бачити, що ви робите?

33

Якщо ви підключитесь до відкритої незашифрованої точки доступу до Wi-Fi, все, що ви робите, може бути захоплено іншими людьми в межах досяжності.

Якщо ви підключитесь до зашифрованої точки, люди поблизу можуть перехопити те, що ви робите, але не можуть розшифрувати це. Людина, яка управляє точкою доступу, може перехопити те, що ви робите, правда, правда?

Що з іншими людьми, які знають ключ і підключені до тієї ж точки? Чи можуть вони перехопити ваші бездротові передачі та розшифрувати їх? Або вони можуть бачити ваші пакети за допомогою sniffer пакетів?

security  wireless-networking  wpa  cryptography 
ендоліт
джерело
2
Так, ми можемо, і мене висунули, щоб попросити вас припинити це робити! : P
Марк Аллен
1
Зупинити перевірку моєї пошти?
ендоліт
"Ізоляція AP - це ізолює всіх бездротових клієнтів та бездротових пристроїв у вашій мережі один від одного. Бездротові пристрої зможуть спілкуватися з шлюзом, але не один з одним у мережі." tomatousb.org/settings:wireless
ендоліти
мої вибачення, я намагався (і, як завжди, не вдається) пожартувати. Це величезна тема - практично, це як і все інше з безпекою - нічого ідеального, ідея - зробити себе більш важкою ціллю, ніж інші доступні цілі.
Марк Аллен

Відповіді:

45

Так, із шифруванням WEP це дуже просто. Все зашифроване з ключем, який потрібно знати, щоб потрапити в мережу. Усі в мережі можуть декодувати трафік всіх інших, навіть не намагаючись.

З WPA-PSK та WPA2-PSK це трохи складніше, але не надто важко. WPA-PSK і WPA2-PSK шифрують все за допомогою клієнта, ключів за сеанс, але ці ключі виводяться із загальнодоступного ключа (PSK; ключ, який ви повинні знати, щоб потрапити в мережу), а також обмінятися деякою інформацією чітко, коли клієнт приєднується до мережі або знову приєднується до нього. Отже, якщо ви знаєте PSK для мережі, і ваш sniffer ловить "4-х напрямне рукостискання", який інший клієнт робить з AP, коли він приєднується, ви можете розшифрувати весь трафік цього клієнта. Якщо вам не вдалося зафіксувати 4-х сторонне рукостискання цього клієнта, ви можете надіслати підроблений пакет знезахисту пакету до цільового клієнта (підробляючи його таким чином, щоб він виглядав так, як він прийшов з MAC-адреси AP), змусивши клієнта впасти вимкнути мережу та знову ввімкнути, тож ви можете цього разу зафіксувати його чотиристороннє рукостискання та розшифрувати увесь подальший трафік до / від цього клієнта. Користувач машини, що отримує підроблений аутентифікат, ймовірно, навіть не помітить, що його ноутбук був вимкнений з мережі на частку секунди.Зауважте, що для цієї атаки НЕ потрібні клопоти, пов'язані з посередництвом. Зловмиснику потрібно лише захопити кілька конкретних кадрів під час підключення цільового клієнта (повторно) до мережі.

З WPA-Enterprise та WPA2-Enterprise (тобто з аутентифікацією 802.1X замість використання загальнодоступного ключа) всі ключі за сеанс на кожного клієнта виводяться повністю незалежно, тому немає можливості декодування трафіку один одного . Зловмиснику доведеться або обнюхати ваш трафік по проводовій стороні AP, або, можливо, встановити несанкціонований AP, сподіваючись, що ви ігноруєте неправдивий сертифікат на стороні сервера, який надсилатиме зловмисний AP, і все одно приєднаєтесь до AP-зловмиснику. .

Spiff
джерело
3
Тільки якщо вони мають фізичний доступ до АП.
Моав
1
Або шафа для електропроводки нагорі за течією AP.
Фред
1
WPA-PSK дійсно не використовує захищений протокол обміну ключами для встановлення сеансових ключів?
варення
1
@hobbs Це захищено від сторонніх людей, які не знають пароль (PSK). Це не захищено від інсайдерів, які знають PSK і вже можуть приєднатися до мережі, але знову ж таки, локальні мережі, схожі на Ethernet, давно вимагають від вас довіритися своїм одноліткам по локальній мережі (щоб вони не отруїли вас ARP і спостерігали за усім вашим трафіком, який спосіб, наприклад).
Spiff
2
@FrankN Ця інформація залишається актуальною. Програми, які потребують зашифрованої комунікації, повинні шифрувати її самі, а не просто ліниво сподіваючись, що нижчі шари можуть зробити свою роботу за них. Користувачі, які не довіряють своїм програмам, повинні перейти на кращі програми, але вони можуть помірно покращити їхню безпеку за допомогою VPN. Там немає реального способу для громадських операторів Wi-Fi , щоб необізнані / небезпечні безпеки користувачів, і навіть якщо ви були на громадському Wi-Fi , який зробив використання 802.1X або що - то, ви все одно повинні захистити себе від кого - то стеження трафіку на дротовому LAN один стрибок вгору за течією.
Spiff
2

WPA має принаймні певну форму ключів сеансу. Якщо припустити (я не впевнений, що WPA насправді використовує) клавіші сеансу встановлюються за допомогою такого протоколу, як Diffie-Hellman , вони спочатку захищені навіть тоді, коли PSK не є. За допомогою TKIP-клавіш сеансу cypher можна швидко зламати , дозволяючи комусь перехоплювати та вводити пакети, не знаючи попередньо спільного ключа.

Однак хтось, хто знає, PSK може просто створити шахрайську точку доступу, зробити людину посередині і вибрати власні ключі сеансу, що робить точку суперечкою. Активний зловмисник, який знає ваш PSK, може керувати шаром зв'язку, перехоплюючи та змінюючи пакети.

Якщо ви заміните аутентифікацію PSK на IEEE 802.1X , який використовує сертифікати та PKI , ви можете довіряти, що AP спочатку є правильним. MITM вимагає від зловмисника зламати клієнтів та точки доступу, щоб отримати їхні приватні сертифікати, а не просто отримати PSK. Здається, у протоколі є слабкість, яка дозволяє зловмиснику робити чоловіка посередині після первинної автентифікації; Я не знаю, наскільки це застосовно до бездротового випадку. Але люди схильні приймати сертифікати наосліп, і не всі точки доступу дозволяють вам налаштувати 802.1X.

Тобу
джерело
0

Незашифрований WAP означає, що весь трафік по бездротовому каналу може читати будь-хто.

За допомогою зашифрованого WAP весь трафік шифрується по радіозв'язку, але кожен, хто має доступ до порту WAN WAP, може прочитати трафік навіть без ключа шифрування. За допомогою ключа WAP для WiFi ви можете прочитати весь трафік по радіозв'язку.

Безпечним способом використання спільного бездротового доступу AP є використання шифрування в кінці; ваш трафік шифрується до того, як він буде надісланий по радіозв'язку, і не розшифровується, поки не прибуде до пункту призначення. Отже, навіть за допомогою ключа WAP або доступу до порту WAN WAP, зашифрований трафік від кінця до кінця є безпечним.

Поширений спосіб отримати шифрування в кінці - це використання зашифрованого VPN. Трафік, що використовує VPN між вашим пристроєм та кінцевою точкою VPN, зашифрований та такий безпечний.

Одне ускладнення. VPN може використовувати методику, звану розділеним тунелем, що означає, що трафік, не призначений для мережі на іншій стороні VPN, не використовує VPN. І трафік, який не використовує VPN, не шифрується VPN, тому якщо ви використовуєте розділене тунелювання, трафік, не адресований на інший кінець VPN, не захищений VPN.

Фред
джерело
2
-1 Більшість публікацій насправді не відповідає на запитання. Частина, яка є, а саме: "За допомогою ключа WAP для WiFi ви можете прочитати весь трафік по радіопосилання". неправильно (це неправда для автентики 802.1X, див. відповідь Шпіфа).
sleske
1
Питання, згідно з яким ключ шифрування відомий ("А як щодо інших людей, які знають ключ і підключені до тієї ж точки?"). З WPA-Enterprise, оскільки немає жодного ключа, доцільно прочитати, що як "інші люди знають парний перехідний ключ порту", і справді, якщо ви знаєте PTK, ви можете розшифрувати трафік.
Фред
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.