Това не е огромна новина за нов недостатък в сигурността. По-скоро това е начинът, по който WPA2-PSK винаги е бил приложен. Но това е нещо, което повечето хора не знаят.
Отваряне на Wi-Fi мрежи срещу кодирани Wi-Fi мрежи
Не трябва да хоствате отворена Wi-Fi мрежа у дома си, но може да се окажете в публично пространство - например в кафене, при преминаване през летище или в хотел. Отворените Wi-Fi мрежи нямат шифроване, което означава, че всичко, изпратено по въздуха, е "изчистено". Хората могат да наблюдават активността ви на сърфиране и всяка уеб дейност, която не е сигурна със самото криптиране, може да бъде подсказана. Да, това дори е вярно, ако трябва да влезете с потребителско име и парола на уеб страница, след като влезете в отворената Wi-Fi мрежа.
Шифроването - подобно на WPA2-PSK криптирането, което ви препоръчваме да използвате у дома - поправя това донякъде. Някой наблизо не може просто да улови трафика ви и да ви потърси. Ще получат куп криптиран трафик. Това означава, че криптирана Wi-Fi мрежа предпазва вашия частен трафик да не бъде подслушван.
Това е вярно - но тук има голяма слабост.
WPA2-PSK използва споделен ключ
Проблемът с WPA2-PSK е, че той използва "Предварително споделен ключ". Този ключ е паролата или паролата, които трябва да въведете, за да се свържете с Wi-Fi мрежата. Всеки, който свързва, използва една и съща пропуск.
Много е лесно някой да наблюдава този шифрован трафик. Всичко, от което се нуждаят, е:
- Паролата: Всеки, който има разрешение да се свърже с Wi-Fi мрежата, ще има това.
- Трафикът на асоциациите за нов клиент: Ако някой улавя пакетите, изпратени между маршрутизатора и устройството, когато се свързва, те имат всичко необходимо, за да декриптират трафика (при положение, че имат и пропуск, разбира се). Също така е необичайно да получите този трафик чрез атаки "deauth", които насилствено прекъсват връзката с устройство от Wi-Fi мрежа и го принуждават да се свърже отново, причинявайки отново процеса на асоцииране.
Наистина, не можем да подчертаем колко е просто това. Wireshark има вградена опция за автоматично декриптиране на WPA2-PSK трафика, стига да имате предварително споделен ключ и да сте заснели трафика за процеса на асоцииране.
Какво всъщност означава това
Това, което всъщност означава, е, че WPA2-PSK не е много по-сигурен от подслушване, ако не вярвате на всички в мрежата. У дома трябва да сте сигурни, защото пропускът ви за Wi-Fi е таен.
Ако обаче излезете в кафене и използвате WPA2-PSK вместо отворена Wi-FI мрежа, може да се почувствате много по-сигурни в личния живот. Но не трябва - всеки, който има достъп до Wi-Fi прозореца на кафенето, може да следи трафика ви на сърфиране. Други хора в мрежата, или само други хора с пропуск, биха могли да гледат трафика ви, ако искат.
Не забравяйте да вземете предвид това. WPA2-PSK предотвратява хората, които нямат достъп до мрежата, да гледат. Все пак, след като имат пропуск за достъп до мрежата, всички залози са изключени.
Защо WPA2-PSK не се опитва да спре това?
WPA2-PSK действително се опитва да спре това чрез използването на "pairwise преходни ключ" (PTK). Всеки безжичен клиент има уникален ПТК. Това обаче не е много полезно, тъй като уникалният ключ за клиент винаги се извлича от предварително споделения ключ (пропуск за Wi-Fi). Ето защо е необичайно да запишете уникалния ключ на клиента, стига да имате Wi- Fi и може да улови трафика, изпратен чрез процеса на асоцииране.
WPA2-Enterprise решава това … За големи мрежи
За големи организации, които изискват защитени Wi-Fi мрежи, тази слабост на сигурността може да бъде избегната чрез използването на EAP автоматизация с RADIUS сървър - понякога наричан WPA2-Enterprise. С тази система всеки клиент с Wi-Fi получава наистина уникален ключ. Няма клиент с Wi-Fi, който да разполага с достатъчно информация, за да може само да започне да следи друг клиент, така че това осигурява много по-голяма сигурност. Големите корпоративни офиси или правителствени агенции трябва да използват WPA2-Enteprise по тази причина.
Но това е твърде сложно и сложно за по-голямата част от хората - или дори най-големите гении - да се използват у дома. Вместо да използвате Wi-Fi пропуск, трябва да въведете устройствата, които искате да свържете, трябва да управлявате RADIUS сървър, който обработва удостоверяването и управлението на ключовете. Това е много по-сложно за домашните потребители да създадат.
Всъщност дори не си струва времето, ако имате доверие на всички в Wi-Fi мрежата, или на всички, които имат достъп до вашия пропуск за Wi-Fi. Това е необходимо само ако сте свързани с WPA2-PSK шифрована Wi-Fi мрежа на обществено място - кафене, летище, хотел или дори по-голям офис - където други хора, на които не разполагате, имат Wi- Фискалната фраза на мрежата FI.
Така че, небето пада ли? Не разбира се, че не. Но имайте предвид това: Когато сте свързани с WPA2-PSK мрежа, други хора, които имат достъп до тази мрежа, могат лесно да потърсят трафик.Въпреки това, което повечето хора може да вярват, че криптирането не осигурява защита срещу други хора с достъп до мрежата.
Ако трябва да осъществите достъп до чувствителни сайтове в обществена Wi-Fi мрежа - по-специално уебсайтове, които не използват шифроване с HTTPS - помислете за това чрез VPN или дори SSH тунел. Шифроването WPA2-PSK на обществени мрежи не е достатъчно добро.
