Şifreli bir Wi-Fi AP'deki diğer insanlar ne yaptığınızı görebilir mi?


33

Açık, şifrelenmemiş bir Wi-Fi erişim noktasına bağlanırsanız, yaptığınız her şey menzil içindeki diğer kişiler tarafından yakalanabilir.

Şifreli bir noktaya bağlanırsanız, yakındaki insanlar ne yaptığınızı engelleyebilir ancak şifresini çözemezler. Erişim noktasını yöneten kişi ne yaptığınızı kesebilir, değil mi?

Peki ya anahtarı bilen ve aynı noktaya bağlı olan diğer insanlar? Kablosuz iletimlerinizi durdurup şifresini çözebilirler mi? Veya bir paket dinleyicisi ile paketlerinizi görebilirler mi?


2
Evet yapabiliriz ve bunu yapmayı bırakmanızı rica ediyorum! : P
Mark Allen

1
Postalarımı kontrol etmeyi keser misin?
endolith

"AP İzolasyonu - Bu, ağınızdaki tüm kablosuz istemcileri ve kablosuz aygıtları birbirlerinden ayırır. Kablosuz aygıtlar Ağ Geçidi ile iletişim kurabilir, ancak ağdaki birbirleriyle iletişim kuramazlar." tomatousb.org/settings:wireless
Endolit

Özür dilerim, şaka yapmaya çalışıyordum (ve her zamanki gibi başarısız). Bu çok büyük bir konudur - pratik olarak, güvenliği olan her şey gibi - hiçbir şey mükemmel değildir, fikir kendinizi diğer mevcut hedeflerden daha zor bir hedef haline getirmektir.
Mark Allen,

Yanıtlar:


45

Evet, WEP şifrelemesi ile çok basit. Her şey ağa girmek için bilmeniz gereken anahtarla şifrelenir. Ağdaki herkes denemeden herkesin trafiğini deşifre edebilir.

WPA-PSK ve WPA2-PSK ile, biraz zor, ama çok zor değil. WPA-PSK ve WPA2-PSK, her şeyi müşteri başına, oturum başına anahtar ile şifrelemekle birlikte, bu anahtarlar Ön Paylaşımlı Anahtardan (PSK; ağa erişmek için bilmeniz gereken anahtar) ve bazı bilgi alışverişinde bulunur. İstemci ağa katıldığında veya yeniden katıldığında netleşir. Böylece, ağ için PSK'yı biliyorsanız ve sniffer'ınız başka bir müşterinin birleştiği sırada AP ile yaptığı "4 yönlü el sıkışmasını" yakalarsa, o müşterinin tüm trafiğinin şifresini çözebilirsiniz. Bu müşterinin 4 yollu el sıkışmasını yakalamadıysanız, hedef istemciye (AP'nin MAC adresinden geldiği gibi görünmesini sağlamak için sahtecilik yaparak) sahtekar bir kimlik doğrulama paketi gönderebilirsiniz. ağdan çık ve tekrar aç. Böylece, bu sefer 4 yönlü anlaşmasını yakalayabilir ve bu müşteriden gelen / giden diğer tüm trafiği deşifre edebilirsiniz. Sahte kimlik doğrulama alan makinenin kullanıcısı muhtemelen dizüstü bilgisayarının bir saniye boyunca ağdan çıktığını fark etmeyecektir.Bu saldırı için ortada hiçbir güçlük bulunmadığına dikkat edin. Saldırganın yalnızca hedef müşterinin (yeniden) ağa katıldığı sırada birkaç belirli kareyi yakalaması gerekir.

WPA-Enterprise ve WPA2-Enterprise ile (yani, Ön Paylaşımlı Anahtar kullanmak yerine 802.1X kimlik doğrulamasıyla), her bir istemci başına oturum başına anahtar tamamen bağımsız olarak türetilir, bu nedenle birbirlerinin trafiğinin kodunu çözme imkanı yoktur. . Bir saldırganın, trafiğinizi AP'nin kablolu tarafına sokması ya da muhtemelen sahte AP'nin göndereceği sahte sunucu tarafı sertifikasını görmezden gelmeniz umuduyla bir haydut AP kurması ve yine de haydut AP'ye katılması gerekecekti .


3
Yalnızca AP'ye fiziksel erişimleri varsa.
Moab

1
Veya AP'nin önündeki bir kablo dolabı.
Fred,

1
WPA-PSK, oturum anahtarları oluşturmak için güvenli bir anahtar değişimi protokolü kullanmıyor mu?
Ocaklar

1
@hobbs Parolayı (PSK) bilmeyen yabancılardan güvenlidir. PSK'yı tanıyan ve halihazırda ağa katılabilen içerdekilerden güvenli değildir, ancak daha sonra, Ethernet benzeri LAN'lar uzun süredir LAN'daki akranlarınıza güvenmenizi (ARP zehirlemeyeceklerini ve tüm trafiğinizi izlememelerini istedi) örneğin, yol).
Spiff

2
@ Frank Frank Bu bilgi hala güncel. İletişiminin şifrelenmesi gereken uygulamalar, yalnızca tembel bir şekilde alt katmanları tembelleştirmek yerine, kendileri için şifrelemeye ihtiyaç duyuyorlar. Uygulamalarına güvenmeyen kullanıcılar daha iyi uygulamalara geçmelidir, ancak VPN kullanarak güvenliklerini orta derecede geliştirebilirler. Orada genel Wi-Fi operatörleri güvenli bilgisiz / güvensiz kullanıcılara tutmak için hiçbir kalıcı bir yoldur ve bir ortak Wi-Fi özelliğini olsa bile yaptılar kullanım 802.1X'i falan, yine kablolu üzerinde trafik gözetleme birine karşı kendini korumak gerekir LAN bir atlama yönünde.
Spiff

2

WPA en azından bir çeşit oturum anahtarına sahiptir. (WPA'nın gerçekte ne kullandığından emin değilim) farz edersek, oturum anahtarları Diffie-Hellman gibi bir protokol kullanılarak kurulur , PSK olmasa bile başlangıçta güvenlidirler. TKIP şifreleme oturumu tuşları ile hızlıca kırılabilir , önceden paylaşılan anahtarı bilmeden birinin araya girmesine ve paketleri enjekte etmesine izin verir.

Bununla birlikte, PSK'yı bilen biri sadece hileli bir erişim noktası kurabilir, ortada bir adam yapabilir ve kendi oturum anahtarlarını seçebilir, bu da noktayı güldürür. PSK'nızı tanıyan aktif bir saldırgan, bağlantı katmanını kontrol edebilir, paketleri arayabilir ve değiştirebilir.

PSK kimlik doğrulamasını , sertifikaları ve bir PKI kullanan IEEE 802.1X ile değiştirirseniz , AP'nin başlangıçta doğru olduğuna güvenebilirsiniz. Bir MITM, saldırganın yalnızca PSK'yı almak yerine özel sertifikalarını almak için müşterileri ve erişim noktalarını kırmasını ister. Protokol, saldırganın ilk kimlik doğrulamasından sonra ortada bir adam yapmasına izin veren bir zayıflığa sahip görünüyor; Bunun kablosuz kasa için ne kadar uygulanabilir olduğunu bilmiyorum. Ancak, kişilerin sertifikaları kör olarak kabul etme eğilimi vardır ve tüm erişim noktaları 802.1X'i yapılandırmanıza izin vermez.


0

Şifrelenmemiş WAP, kablosuz bağlantı üzerindeki tüm trafiğin herkes tarafından okunabileceği anlamına gelir.

Şifreli bir WAP ile tüm trafik telsiz bağlantısında şifrelenir, ancak WAP'ın WAN bağlantı noktasına erişimi olan herkes trafiği şifreleme anahtarı olmadan da okuyabilir. WAP’ın anahtarı ile WiFi için tüm trafiği radyo bağlantısından okuyabilirsiniz.

Paylaşılan bir kablosuz AP kullanmanın güvenli yolu, uçtan uca şifreleme kullanmaktır; trafiğiniz radyo bağlantısı üzerinden gönderilmeden önce şifrelenir ve hedefe ulaşana kadar şifresi çözülmez. Bu nedenle, WAP anahtarı veya WAP'ın WAN bağlantı noktasına erişim olsa bile, uçtan uca şifreli trafik güvenlidir.

Uçtan uca şifreleme elde etmenin yaygın bir yolu, şifreli bir VPN kullanmaktır. Makineniz ve VPN bitiş noktası arasındaki VPN'i kullanan trafik şifreli ve çok güvenlidir.

Bir komplikasyon. Bir VPN, bölünmüş tünel adı verilen bir tekniği kullanabilir; bu, VPN'in diğer tarafında ağ için hedeflenmemiş trafiğin VPN'i kullanmadığı anlamına gelir. Ve VPN kullanmayan trafik VPN tarafından şifrelenmez, bu nedenle bölünmüş tünel kullanırsanız, VPN'nin diğer ucuna yöneltilmemiş trafik VPN tarafından korunmaz.


2
-1 Gönderinin çoğu soruyu gerçekten yanıtlamıyor. "WAP'ın anahtarıyla, WiFi için tüm radyo trafiğini okuyabilirsiniz." yanlış (bu 802.1X auth için doğru değil, bkz. Spiff'in cevabı).
sleske

1
Soru, şifreleme anahtarını biliniyor ("Anahtarı bilen ve aynı noktaya bağlı diğer insanlar ne olacak?"). WPA-Enterprise ile, tek bir anahtar olmadığından, "diğer insanlar bir portun ikili geçiş anahtarını bilir" diye ve gerçekten de, PTK’yı biliyorsanız, trafiğin şifresini çözebildiğinizi okumak mantıklıdır.
Fred,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.