Могут ли другие люди на зашифрованной точке доступа Wi-Fi видеть, что вы делаете?

33

Если вы подключитесь к открытой незашифрованной точке доступа Wi-Fi, все, что вы делаете, может быть захвачено другими людьми в пределах досягаемости.

Если вы подключитесь к зашифрованной точке, люди поблизости смогут перехватить то, что вы делаете, но не смогут расшифровать его. Человек, управляющий точкой доступа, может перехватить то, что вы делаете, правда?

А как насчет других людей, которые знают ключ и связаны с той же точки? Могут ли они перехватить ваши беспроводные передачи и расшифровать их? Или они могут видеть ваши пакеты с помощью анализатора пакетов?

security wireless-networking wpa cryptography эндолиты
источник
2
Да, мы можем, и я был назначен, чтобы попросить вас прекратить это делать! : P
Марк Аллен
1
Перестать проверять мою почту?
эндолит
«Изоляция AP - это изолирует все беспроводные клиенты и беспроводные устройства в вашей сети друг от друга. Беспроводные устройства смогут обмениваться данными со шлюзом, но не друг с другом в сети». tomatousb.org/settings:wireless
эндолиты
мои извинения, я пытался (и, как обычно, не смог) пошутить. Это огромная тема - практически, как и все остальное с безопасностью - нет ничего идеального, идея состоит в том, чтобы сделать себя более сложной целью, чем другие доступные цели.
Марк Аллен

Ответы:

45

Да, с WEP-шифрованием это очень просто. Все зашифровано ключом, который вы должны знать, чтобы войти в сеть. Каждый в сети может декодировать чужой трафик, даже не пытаясь.

С WPA-PSK и WPA2-PSK это немного сложнее, но не слишком сложно. WPA-PSK и WPA2-PSK шифруют все с помощью ключей для каждого клиента и сеанса, но эти ключи получены из предварительного общего ключа (PSK; ключ, который необходимо знать для доступа в сеть), а также обмена некоторой информацией в открытом виде, когда клиент присоединяется или повторно присоединяется к сети. Поэтому, если вы знаете PSK для сети, и ваш анализатор перехватывает «четырехстороннее рукопожатие», которое другой клиент делает с точкой доступа при подключении, вы можете расшифровать весь трафик этого клиента. Если вам не удалось перехватить четырехстороннее рукопожатие этого клиента, вы можете отправить поддельный пакет де-аутентификации целевому клиенту (подделав его, чтобы он выглядел так, как будто он получен с MAC-адреса точки доступа), заставив клиента упасть от сети и вернитесь, так что на этот раз вы можете захватить его четырехстороннее рукопожатие и расшифровать весь дальнейший трафик к / от этого клиента. Пользователь машины, получивший поддельную де-аутентификацию, вероятно, даже не заметит, что его ноутбук был отключен от сети на долю секунды.Обратите внимание, что для этой атаки не требуется никаких трудностей для человека в середине. Злоумышленник просто должен захватить несколько конкретных кадров в то время, когда целевой клиент (повторно) присоединяется к сети.

С WPA-Enterprise и WPA2-Enterprise (то есть с аутентификацией 802.1X вместо использования предварительного ключа) все ключи каждого сеанса для каждого клиента создаются полностью независимо, поэтому нет возможности декодировать трафик друг друга. , Злоумышленнику придется либо перехватывать ваш трафик на проводной стороне точки доступа, либо, возможно, настроить мошенническую точку доступа в надежде, что вы проигнорируете поддельный сертификат на стороне сервера, который отправит мошенническая точка доступа, и в любом случае присоединитесь к мошеннической точке доступа. ,

Spiff
источник
3
Только если они имеют физический доступ к точке доступа.
Моав
1
Или монтажный шкаф перед AP.
Фред
1
WPA-PSK действительно не использует безопасный протокол обмена ключами для установления сеансовых ключей?
Хоббс
1
@hobbs Это безопасно от посторонних, которые не знают пароль (PSK). Это не защищено от инсайдеров, которые знают PSK и уже могут присоединиться к сети, но опять же, Ethernet-подобные локальные сети уже давно требуют от вас доверять своим партнерам в локальной сети (что они не будут ARP отравлять вас и наблюдать весь ваш трафик, который кстати, например).
Spiff
2
@FrankN Эта информация все еще актуальна. Приложения, которым необходимо шифровать свои коммуникации, должны сами их шифровать, а не просто лениво надеяться, что нижние уровни сделают свою работу за них. Пользователи, которые не доверяют своим приложениям, должны перейти на более качественные приложения, но они могут умеренно улучшить свою безопасность с помощью VPN. Там нет реального способа для общественных операторов Wi-Fi , чтобы неосведомленные / небезопасные безопасности пользователей, и даже если вы были на общественном Wi-Fi , который сделал использование 802.1X или что - то, вы все равно должны защитить себя от кого - то слежки трафика на проводном LAN один прыжок вверх по течению.
Spiff
2

WPA по крайней мере имеет некоторую форму ключей сеанса. Предполагая (я не уверен, что WPA на самом деле использует) ключи сеанса устанавливаются с использованием протокола, такого как Диффи-Хеллман , они изначально защищены, даже если PSK нет. С помощью шифровальных ключей TKIP сеансы могут быть быстро сломаны , позволяя кому-либо перехватывать и вводить пакеты, не зная предварительно общего ключа.

Тем не менее, кто-то, кто знает PSK, может просто установить мошенническую точку доступа, сделать человека посередине и выбрать свои собственные сеансовые ключи, что делает этот вопрос спорным. Активный злоумышленник, который знает ваш PSK, может управлять канальным уровнем, перехватывая и изменяя пакеты.

Если вы замените аутентификацию PSK на IEEE 802.1X , которая использует сертификаты и PKI , вы можете доверять точке доступа, которая изначально является правильной. MITM потребует от злоумышленника взломать клиенты и точку доступа, чтобы получить их частные сертификаты, вместо того, чтобы просто получить PSK. Протокол, кажется, имеет слабость, которая позволяет атакующему сделать человека посередине после первоначальной аутентификации; Я не знаю, насколько это применимо к беспроводному корпусу. Но люди склонны принимать сертификаты вслепую, и не все точки доступа позволяют настраивать 802.1X.

Tobu
источник
0

Незашифрованный WAP означает, что любой трафик по беспроводной линии может быть прочитан любым пользователем.

С зашифрованным WAP весь трафик шифруется по радиоканалу, но любой, имеющий доступ к порту WAN WAP, может прочитать трафик даже без ключа шифрования. С помощью ключа WAP для WiFi вы можете прочитать весь трафик по радиоканалу.

Безопасный способ использования совместно используемой беспроводной точки доступа - использование сквозного шифрования; Ваш трафик зашифровывается перед отправкой по радиоканалу и не дешифруется до тех пор, пока не прибудет в пункт назначения. Таким образом, даже при наличии ключа WAP или доступа к порту WAN WAP сквозной зашифрованный трафик является безопасным.

Распространенным способом получения сквозного шифрования является использование зашифрованного VPN. Трафик, использующий VPN между вашей машиной и конечной точкой VPN, зашифрован и поэтому безопасен.

Одно осложнение. VPN может использовать метод, называемый разделенным туннелированием, что означает, что трафик, не предназначенный для сети на другой стороне VPN, не использует VPN. И трафик, который не использует VPN, не шифруется VPN, поэтому, если вы используете раздельное туннелирование, трафик, не адресованный другому концу VPN, не защищен VPN.

Фред
источник
2
-1 Большая часть поста действительно не отвечает на вопрос. Часть, которая делает, а именно «С ключом WAP, для WiFi, вы можете прочитать весь трафик по радиосвязи». неверно (это не так для аутентификации 802.1X, см. ответ Спиффа).
слеське
1
Вопрос о том, что ключ шифрования известен («А как насчет других людей, которые знают ключ и подключены к той же точке?»). В WPA-Enterprise, поскольку нет единого ключа, разумно прочитать, что «другие люди знают парный переходный ключ порта», и действительно, если вы знаете PTK, вы можете расшифровать трафик.
Фред