it-swarm-eu.dev

Sind WPA2-Verbindungen mit einem gemeinsam genutzten Schlüssel sicher?

Das nervt mich schon seit einiger Zeit: Wenn ich einen WLAN-Zugangspunkt mit WPA2-Verschlüsselung habe und den Schlüssel herausgebe, wie sicher sind die Verbindungen? Mit WEP können Sie problemlos alle Pakete mit demselben Schlüssel entschlüsseln, aber mit WPA2 bin ich mir nicht sicher. Sind alle Einzelverbindungen noch sicher?

Bei dieser Frage geht es also nicht um den Zugriff auf das Netzwerk, sondern um das Abhören einzelner WLAN-Verbindungen innerhalb des Netzwerks.

42

Jeder, der den Assoziationsprozess eines neuen Kunden miterlebt, kann seine Verbindung belauschen.

Da Neuzuordnungen von einem nicht autorisierten Host erzwungen werden können, der ein gefälschtes Zuordnungspaket im Namen des Ziels sendet, ist es praktisch immer möglich, alle Verbindungen in einem WPA (2) -Netzwerk mit einem vorinstallierten Schlüssel abzuhören.

Sie können es sogar in Wireshark selbst ausprobieren: Es gibt eine integrierte Option zum Entschlüsseln aller Übertragungen in den 802.11-Einstellungen. Solange Sie das PSK kennen und die anfängliche Authentifizierung im aufgezeichneten Datenverkehr enthalten ist, entschlüsselt Wireshark sie automatisch für Sie.

Der Unterschied zwischen WEP und WPA) besteht darin, dass es für jeden Client einen anderen paarweisen Schlüssel (den so genannten paarweisen Übergangsschlüssel) gibt. Da dieser Schlüssel jedoch immer direkt vom PSK abgeleitet wird, ist dies nicht der Fall Fügen Sie wirklich jede Sicherheit hinzu. Wenn Sie diese Art von Sicherheit wünschen, müssten Sie EAP und einen RADIUS Server (manchmal als "WPA Enterprise" bezeichnet)) verwenden, wobei das PMK für jeden Client unterschiedlich ist .

34
lxgr

Um eine erfasste Verbindung mit WPA2 zu entschlüsseln, müssen Sie:

  • Kennen Sie den gemeinsamen Hauptschlüssel.
  • Erleben Sie den letzten Synchronisierungs-/Zuordnungsversuch des Zielclients vor den Daten, die Sie anzeigen.

WPA2 verwendet eine Schlüsselableitungsmethode, die auf der gemeinsam genutzten PSK basiert, wie in RFC 4764 beschrieben, und Ihre spezifische Frage wird in Abschnitt 8.1 als Fallstricke erwähnt.

Tatsächlich sind Sie vor Personen geschützt, die den gemeinsam genutzten Schlüssel nicht kennen (z. B. Ihre Nachbarn), es sei denn, er ist beschämend schwach. Unter denjenigen, die den gemeinsam genutzten Schlüssel kennen, ist das Schnüffeln nur unwesentlich komplexer als bei nicht aktivem Datenverkehr.

"Sicher" ist also relativ zu dem, gegen das Sie sich schützen möchten. Wenn Sie sich Sorgen über andere Benutzer machen, die die Passphrase kennen, die Ihren Datenverkehr abfängt, reichen vorab freigegebene Schlüssel für Sie nicht aus.

13
Jeff Ferland

Jeder, der den Schlüssel kennt, kann die Daten entschlüsseln. Diejenigen, die den gemeinsam genutzten Schlüssel nicht kennen, können dies nicht.

Wer den Schlüssel nicht kennt, kann dennoch einen gefälschten Zugangspunkt einrichten.

Der einzige völlig "sichere" Weg ist das Einrichten eines RADIUS - Servers, der jedem Benutzer ein eindeutiges Kennwort gibt und mit dem Sie ein Zertifikat auf dem Clientcomputer (Notebook, iPad usw.) ablegen können. ), der den WiFi-Zugangspunkt authentifiziert. Wenn Sie das tun, weiß (noch) niemand, wie man etwas unternimmt, um sich in Sie zu hacken.

2

wenn der Schlüssel für alle im Netzwerk gleich ist, kann jeder den Datenverkehr entschlüsseln und analysieren.

0
Kedare