Laman » bagaimana untuk » Peringatan WPA2 Rangkaian Wi-Fi yang Disulitkan Masih Terjebak untuk Mengintip

    Peringatan WPA2 Rangkaian Wi-Fi yang Disulitkan Masih Terjebak untuk Mengintip

    Buat masa ini, kebanyakan orang tahu bahawa rangkaian Wi-Fi terbuka membolehkan orang ramai mengupayakan trafik anda. Penyulitan WPA2-PSK piawai sepatutnya menghalangnya daripada berlaku - tetapi ia tidak sepertimana yang anda fikirkan.

    Ini bukan berita pecah besar mengenai kecacatan keselamatan baru. Sebaliknya, inilah cara WPA2-PSK sentiasa dilaksanakan. Tetapi ia adalah sesuatu yang kebanyakan orang tidak tahu.

    Buka Rangkaian Wi-Fi berbanding Rangkaian Wi-Fi yang disulitkan

    Anda tidak harus menjadi tuan rumah rangkaian Wi-Fi terbuka di rumah, tetapi anda mungkin mendapati diri anda menggunakannya di depan umum - contohnya, di kedai kopi, ketika melalui lapangan terbang, atau di sebuah hotel. Rangkaian Wi-Fi terbuka tidak mempunyai penyulitan, yang bermaksud segala-galanya yang dihantar ke udara adalah "jelas". Orang boleh memantau aktiviti penyemakan imbas anda dan sebarang aktiviti web yang tidak diamankan dengan penyulitan itu sendiri boleh ditebak. Ya, ini adalah benar jika anda perlu "log masuk" dengan nama pengguna dan kata laluan pada halaman web selepas melog masuk ke rangkaian Wi-Fi terbuka.

    Penyulitan - seperti penyulitan WPA2-PSK yang kami cadangkan anda gunakan di rumah - membetulkannya agak. Seseorang yang berdekatan tidak hanya dapat menangkap lalu lintas dan pengintipan anda. Mereka akan mendapat sekumpulan trafik yang disulitkan. Ini bermakna rangkaian Wi-Fi yang disulitkan melindungi lalu lintas peribadi anda daripada ditemui.

    Ini memang benar - tetapi terdapat kelemahan besar di sini.

    WPA2-PSK Menggunakan Kunci Dikongsi

    Masalah dengan WPA2-PSK ialah ia menggunakan "Kunci Pra-Dikongsi." Kunci ini ialah kata laluan, atau frasa laluan, anda perlu memasukkan untuk menyambung ke rangkaian Wi-Fi. Setiap orang yang menghubungkan menggunakan frasa laluan yang sama.

    Ia agak mudah bagi seseorang untuk memantau lalu lintas yang disulitkan ini. Apa yang mereka perlukan adalah:

    • Frasa laluan: Semua orang yang mempunyai kebenaran untuk menyambung ke rangkaian Wi-Fi akan mempunyai ini.
    • Trafik persatuan untuk pelanggan baru: Jika seseorang menangkap paket yang dihantar antara penghala dan peranti apabila ia dihubungkan, mereka mempunyai segala yang mereka perlukan untuk menyahsulit lalu lintas (dengan menganggap mereka juga mempunyai frasa laluan, sudah tentu). Ia juga tidak penting untuk mendapatkan lalu lintas ini melalui serangan "deauth" yang secara paksa mencabut peranti dari rangkaian Wi_Fi dan memaksa ia menyambung semula, menyebabkan proses persatuan berlaku lagi.

    Sesungguhnya, kita tidak boleh menekankan betapa mudahnya ini. Wireshark mempunyai pilihan terbina dalam untuk menyahsulit lalu lintas WPA2-PSK secara automatik selagi anda mempunyai kunci pra-kongsi dan telah menangkap trafik untuk proses persatuan.

    Apa Yang Sebenarnya Ini

    Apa sebenarnya ini bermakna bahawa WPA2-PSK tidak lebih selamat terhadap penyaduran jika anda tidak mempercayai semua orang di rangkaian. Di rumah, anda harus selamat kerana frasa laluan Wi-Fi anda adalah rahsia.

    Walau bagaimanapun, jika anda pergi ke kedai kopi dan menggunakan WPA2-PSK bukan rangkaian Wi-FI terbuka, anda mungkin berasa lebih selamat dalam privasi anda. Tetapi anda tidak sepatutnya - sesiapa sahaja dengan frasa laluan Wi-Fi kedai kopi boleh memantau lalu lintas pelayaran anda. Orang lain di rangkaian, atau orang lain yang menggunakan frasa laluan, boleh mengintip lalu lintas anda jika mereka mahu.

    Pastikan anda mengambil kira ini. WPA2-PSK menghalang orang tanpa akses kepada rangkaian dari pengintipan. Walau bagaimanapun, apabila mereka mempunyai frasa laluan rangkaian, semua taruhan tidak dimatikan.

    Kenapa Tidak WPA2-PSK Cuba Berhenti Ini?

    WPA2-PSK sebenarnya cuba untuk menghentikan ini melalui penggunaan "kekunci sementara pasangan" (PTK). Setiap pelanggan tanpa wayar mempunyai PTK yang unik. Walau bagaimanapun, ini tidak banyak membantu kerana kunci per-klien unik sentiasa berasal dari kunci pra-kongsi (frasa laluan Wi-Fi.) Itulah sebabnya ia adalah perkara penting untuk menangkap kunci unik klien selagi anda mempunyai Wi- Passphrase pass dan boleh menangkap lalu lintas yang dihantar melalui proses persatuan.

    WPA2-Enterprise Menyelesaikan Ini ... Untuk Rangkaian Besar

    Untuk organisasi besar yang menuntut rangkaian Wi-Fi yang selamat, kelemahan keselamatan ini dapat dielakkan melalui penggunaan authantication EAP dengan pelayan RADIUS - kadangkala dikenali sebagai WPA2-Enterprise. Dengan sistem ini, setiap pelanggan Wi-Fi menerima kunci yang benar-benar unik. Tiada klien Wi-Fi yang mempunyai maklumat yang cukup untuk hanya mengintip klien lain, jadi ini memberikan keselamatan yang lebih besar. Pejabat korporat besar atau agensi kerajaan harus menggunakan WPA2-Enteprise untuk sebab ini.

    Tetapi ini terlalu rumit dan rumit untuk kebanyakan orang - atau bahkan kebanyakan geeks - untuk digunakan di rumah. Daripada frasa laluan Wi-FI, anda perlu memasukkan pada peranti yang ingin anda sambungkan, anda perlu mengurus pelayan RADIUS yang mengendalikan pengesahan dan pengurusan kunci. Ini lebih rumit bagi pengguna rumah untuk ditubuhkan.

    Sebenarnya, tidak semestinya waktu anda jika anda mempercayai semua orang di rangkaian Wi-Fi anda, atau semua orang yang mempunyai akses kepada frasa laluan Wi-Fi anda. Ini hanya perlu jika anda disambungkan ke rangkaian Wi-Fi yang disulitkan WPA2-PSK di lokasi awam - kedai kopi, lapangan terbang, hotel, atau pejabat yang lebih besar - di mana orang lain yang tidak anda percayai juga mempunyai Wi- Frasa laluan rangkaian FI.


    Jadi, langit jatuh? Tidak sudah tentu tidak. Tetapi, ingatlah ini: Apabila anda disambungkan ke rangkaian WPA2-PSK, orang lain yang mempunyai akses ke rangkaian itu boleh mengintip lalu lintas anda dengan mudah. Walaupun apa yang kebanyakan orang percaya, penyulitan itu tidak memberi perlindungan terhadap orang lain dengan akses ke rangkaian.

    Jika anda perlu mengakses tapak sensitif di rangkaian Wi-Fi awam - terutamanya laman web yang tidak menggunakan penyulitan HTTPS - pertimbangkan untuk melakukannya melalui VPN atau terowong SSH. Penyulitan WPA2-PSK di rangkaian awam tidak cukup baik.

    Kredit Imej: Cory Doctorow di Flickr, Kumpulan Makanan di Flickr, Robert Couse-Baker di Flickr