Могут ли другие люди на зашифрованной точке доступа Wi-Fi видеть, что вы делаете?

24171
endolith

Если вы подключитесь к открытой незашифрованной точке доступа Wi-Fi, все, что вы делаете, может быть захвачено другими людьми в пределах досягаемости.

Если вы подключаетесь к зашифрованной точке, люди поблизости могут перехватить то, что вы делаете, но не могут расшифровать его. Человек, который управляет точкой доступа, может перехватить то, что вы делаете, правда?

А как насчет других людей, которые знают ключ и связаны с той же точки? Могут ли они перехватить ваши беспроводные передачи и расшифровать их? Или они могут видеть ваши пакеты с помощью анализатора пакетов?

31
Да, мы можем, и я был назначен, чтобы попросить вас прекратить это делать! :П Mark Allen 13 лет назад 2
Перестать проверять мою почту? endolith 13 лет назад 1
«Изоляция AP - это изолирует все беспроводные клиенты и беспроводные устройства в вашей сети друг от друга. Беспроводные устройства смогут обмениваться данными со шлюзом, но не друг с другом в сети». http://tomatousb.org/settings:wireless endolith 12 лет назад 0
мои извинения, я пытался (и, как обычно, не смог) пошутить. Это огромная тема - практически, как и все остальное с безопасностью - нет ничего идеального, идея состоит в том, чтобы сделать себя более сложной целью, чем другие доступные цели. Mark Allen 12 лет назад 0

3 ответа на вопрос

42
Spiff

Да, с WEP-шифрованием это очень просто. Все зашифровано ключом, который вы должны знать, чтобы войти в сеть. Каждый в сети может декодировать чужой трафик, даже не пытаясь.

С WPA-PSK и WPA2-PSK это немного сложнее, но не слишком сложно. WPA-PSK и WPA2-PSK шифруют все с помощью ключей для каждого клиента и сеанса, но эти ключи получены из предварительного общего ключа (PSK; ключ, который необходимо знать для доступа в сеть), а также обмена некоторой информацией в открытом виде, когда клиент присоединяется или повторно присоединяется к сети. Поэтому, если вы знаете PSK для сети, и ваш анализатор перехватывает «четырехстороннее рукопожатие», которое другой клиент делает с точкой доступа при подключении, вы можете расшифровать весь трафик этого клиента. Если вам не удалось перехватить четырехстороннее рукопожатие этого клиента, вы можете отправить поддельный пакет де-аутентификации целевому клиенту (подделав его, чтобы он выглядел так, как будто он получен с MAC-адреса точки доступа), заставив клиента упасть от сети и вернитесь, так что на этот раз вы можете захватить его четырехстороннее рукопожатие и расшифровать весь дальнейший трафик к / от этого клиента. Пользователь машины, получивший поддельную де-аутентификацию, вероятно, даже не заметит, что его ноутбук был отключен от сети на долю секунды.Обратите внимание, что для этой атаки не требуется никаких трудностей для человека в середине. Злоумышленник просто должен захватить несколько определенных кадров в то время, когда целевой клиент (повторно) присоединяется к сети.

С WPA-Enterprise и WPA2-Enterprise (то есть с аутентификацией 802.1X вместо использования предварительного ключа) все ключи каждого сеанса для каждого клиента создаются полностью независимо, поэтому нет возможности декодировать трафик друг друга., Злоумышленнику придется либо перехватывать ваш трафик на проводной стороне точки доступа, либо, возможно, настроить мошенническую точку доступа в надежде, что вы проигнорируете поддельный сертификат на стороне сервера, который будет отправлять мошенническая точка доступа, и в любом случае присоединитесь к мошеннической точке доступа. ,

«Злоумышленнику придется либо перехватывать ваш трафик на проводной стороне точки доступа». Это вообще возможно? Казалось бы, это проще, чем расшифровать. endolith 13 лет назад 0
Только если они имеют физический доступ к точке доступа. Moab 13 лет назад 3
Или монтажный шкаф выше точки доступа. Fred 13 лет назад 1
@Spiff, что касается WPA Enterprise, вам не придется учитывать Hole196, а также фермы видеокарт в облаке, возможно, это называется CloudCracker.com rjt 11 лет назад 0
WPA-PSK действительно не использует безопасный протокол обмена ключами для установления сеансовых ключей? hobbs 9 лет назад 1
@hobbs Это безопасно от посторонних, которые не знают пароль (PSK). Это не защищено от инсайдеров, которые знают PSK и уже могут присоединиться к сети, но опять же, Ethernet-подобные локальные сети уже давно требуют от вас доверять вашим одноранговым узлам в локальной сети (что они не будут ARP отравлять вас и наблюдать весь ваш трафик, который кстати, например). Spiff 9 лет назад 1
Эта информация все еще актуальна, или были найдены решения для защиты пользователей от каждого оператора, то есть для общественных сетей WiFi? Frank Nocke 8 лет назад 1
@FrankN Эта информация все еще актуальна. Приложения, которым необходимо шифровать свои коммуникации, должны сами их шифровать, а не просто лениво надеяться, что нижние уровни могут выполнять свою работу за них. Пользователи, которые не доверяют своим приложениям, должны перейти на более качественные приложения, но они могут умеренно улучшить свою безопасность с помощью VPN. У публичных операторов Wi-Fi нет надежного способа обеспечить безопасность неинформированных / незащищенных пользователей, и даже если вы пользовались общедоступным Wi-Fi, который * использовал * 802.1X или что-то еще, вы все равно должны защитить себя от того, что кто-то отслеживает ваш трафик. проводная локальная сеть на один прыжок вверх по течению. Spiff 8 лет назад 1
2
Tobu

WPA по крайней мере имеет некоторую форму ключей сеанса. Предполагая (я не уверен, что на самом деле использует WPA), сеансовые ключи устанавливаются с использованием протокола, такого как Диффи-Хеллман, изначально они безопасны, даже если PSK нет. С помощью шифровальных ключей сеанса TKIP можно быстро взломать, позволяя кому-то перехватывать и вводить пакеты, не зная предварительно общего ключа.

Тем не менее, кто-то, кто знает PSK, может просто установить мошенническую точку доступа, сделать человека посередине и выбрать свои собственные сеансовые ключи, что делает этот вопрос спорным. Активный злоумышленник, который знает ваш PSK, может управлять канальным уровнем, перехватывая и изменяя пакеты.

Если вы замените аутентификацию PSK на IEEE 802.1X, в которой используются сертификаты и PKI, вы можете верить, что точка доступа изначально является правильной. MITM потребует от злоумышленника взломать клиентов и точки доступа, чтобы получить их частные сертификаты, вместо того, чтобы просто получить PSK. Протокол, похоже, имеет слабость, которая позволяет атакующему сделать человека посередине после первоначальной аутентификации; Я не знаю, насколько это применимо к беспроводному корпусу. Но люди склонны принимать сертификаты вслепую, и не все точки доступа позволяют настраивать 802.1X.

0
Fred

Незашифрованный WAP означает, что любой трафик по беспроводной линии может быть прочитан любым пользователем.

С зашифрованным WAP весь трафик шифруется по радиоканалу, но любой, имеющий доступ к порту WAN WAP, может прочитать трафик даже без ключа шифрования. С помощью ключа WAP для WiFi вы можете прочитать весь трафик по радиоканалу.

Безопасный способ использования общей беспроводной точки доступа - использование сквозного шифрования; Ваш трафик зашифрован перед отправкой по радиоканалу и не расшифрован до тех пор, пока не прибудет в пункт назначения. Таким образом, даже при наличии ключа WAP или доступа к порту WAN WAP сквозной зашифрованный трафик является безопасным.

Распространенным способом получения сквозного шифрования является использование зашифрованного VPN. Трафик, использующий VPN между вашей машиной и конечной точкой VPN, зашифрован и поэтому безопасен.

Одно осложнение. В VPN может использоваться метод, называемый разделенным туннелированием, что означает, что трафик, не предназначенный для сети на другой стороне VPN, не использует VPN. И трафик, который не использует VPN, не шифруется VPN, поэтому, если вы используете раздельное туннелирование, трафик, не адресованный другому концу VPN, не защищен VPN.

-1 Большая часть поста действительно не отвечает на вопрос. Часть, которая делает, а именно «С ключом WAP, для WiFi, вы можете прочитать весь трафик по радиоканалу». неверно (это не так для аутентификации 802.1X, см. ответ Спиффа). sleske 13 лет назад 2
The question posits the encryption key is known ("What about other people who know the key and are connected to the same point?"). With WPA-Enterprise, since there is no single key, it is reasonable to read that as "other people know the pairwise transient key of a port", and indeed, if you know the PTK, you can decrypt the traffic. Fred 13 лет назад 1

Похожие вопросы