it-swarm-eu.dev

Jsou připojení WPA2 se sdíleným klíčem zabezpečená?

To je něco, co mě už nějakou dobu potrápilo: když mám přístupový bod wifi s šifrováním WPA2 a rozdám klíč, jak zabezpečená jsou připojení? S WEP můžete snadno dešifrovat všechny pakety pomocí stejného klíče, ale s WPA2 si nejsem jistý. Jsou všechna jednotlivá připojení stále bezpečná?

Nejde tedy o přístup k síti, ale o odposlouchávání jednotlivých wifi připojení v síti.

42
vvanscherpenseel

Každý, kdo je svědkem procesu přidružení nového klienta, může odposlouchávat jejich spojení.

Protože reasociace může být vynucena nepoctivým hostitelem, který vysílá kovaný disasociační paket ve jménu cíle, je prakticky vždy možné poslouchat na všech připojeních v síti WPA (2) s předsdíleným klíčem.

V Wireshark si to můžete sami vyzkoušet: Je zde zabudovaná možnost dešifrovat všechny přenosy v nastavení 802.11; pokud víte, že PSK a počáteční autentizace je obsažena v zaznamenaném provozu, Wireshark ji automaticky dešifruje.

Rozdíl mezi WEP a WPA) spočívá v tom, že pro každého klienta existuje odlišný párový klíč (nazývaný párový přechodný klíč), ale protože tento klíč je vždy přímo odvozen od PSK, není opravdu přidat jakékoli zabezpečení vůbec. Pokud chcete takový druh zabezpečení, měli byste použít EAP a server RADIUS (někdy nazývaný „podnik WPA“), kde PMK je pro každého klienta jiná .

34
lxgr

Chcete-li dešifrovat zachycené připojení pomocí WPA2, musíte:

  • Znát sdílený hlavní klíč.
  • Buďte svědky posledního pokusu o synchronizaci/přidružení cílového klienta před daty, na které se díváte.

WPA2 používá metodu odvození klíče založenou na sdílené PSK, jak je popsáno v RFC 4764 a vaše konkrétní otázka je uvedena jako úskalí v oddíl 8.1 .

Ve skutečnosti jste chráněni před lidmi, kteří neznají sdílený klíč (např. Vaši sousedé), pokud není ostudně slabý. Mezi těmi, kteří znají sdílený klíč, je čichání jen nepatrně složitější než s nepřijatým provozem.

„Bezpečný“ tedy souvisí s tím, proti čemu se snažíte chránit. Pokud se obáváte o jiné uživatele, kteří znají přístupové fráze, které čichají na váš provoz, pak vám před sdílené klíče nestačí.

13
Jeff Ferland

Aby bylo jasné, každý, kdo zná klíč, může data dešifrovat. Ti, kteří neznají sdílený klíč, to nemohou.

Ti, kteří neznají klíč, však mohou stále nastavit falešný přístupový bod.

Jediným zcela „bezpečným“ způsobem je nastavení serveru RADIUS), který dává jedinečné heslo pro každého uživatele a který vám umožňuje umístit certifikát na klientský počítač (notebook, iPad atd.) ), který ověřuje přístupový bod WiFi. Pokud tak učiníte, nikdo (zatím) neví, jak udělat cokoli, aby do vás pronikl.

2

pokud je klíč stejný pro všechny v síti, může kdokoli dešifrovat a analyzovat provoz každého uživatele.

0
Kedare