Что на самом деле шифрует WPA/WPA2?
У меня на ноутбуке WPA2-personal, и я подключен по беспроводной сети к домашней точке доступа. Весь трафик, который я получаю от Wireshark, не зашифрован.
Несколько дней назад у меня был маршрутизатор на WPA-personal, и я выполнял MITM-атаку на моем смартфоне, и трафик тоже был незашифрованным.
Разве WPA не должен шифровать трафик, а не просто запрашивать пароль для входа в сеть?
Баунти редактировать:
Я хотел бы узнать немного больше об этом вопросе. В чем заключается ключевое различие между WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES) в этом вопросе? Я знаю, что все они разные, и если я выберу неправильный вариант, у меня будет медленная, менее безопасная сеть. Каковы различия в шифровании для захвата трафика и какое лучшее решение для домашней / рабочей сети? Благодарю.
4 ответа
WPA (и WPA2) шифрует трафик ниже уровня, который захватывает Wireshark или аналогичные инструменты. Эти инструменты захватывают интерфейс сокетов операционной системы, а не уровень реальных сетевых носителей. Когда вы отправляете пакет через защищенный WPA WiFi, шифрование WPA не добавляется до последнего момента перед передачей данных.
Может существовать и другое шифрование - например, я могу применить шифрование PGP к электронной почте и отправить его на SMTP-сервер по протоколу TLS, что будет двумя уровнями шифрования... но эти уровни будут видны (и действительно созданы) по) приложение (например, мой почтовый клиент). Кто-то, понюхав этот трафик, все равно сможет увидеть, например, какой протокол он использует (TCP, поверх IP), с какого порта он идет и на который маршрутизируется, IP-адрес назначения и т. Д.
Однако, как только пакет достигает драйвера интерфейса WiFi, он шифруется ключом AES, который моя машина использует для WPA. В этот момент единственными видимыми вещами являются используемый мной SSID сети (я думаю, что MAC-адреса источника и назначения также могут быть видны) и смутное представление о размере. Кто-то без ключа WiFi, перехватывающего сетевой трафик с помощью программно-определяемой радиосвязи или карты Wi-Fi в смешанном режиме, не сможет заметить разницу между моей электронной почтой и отправкой сетевого пинга или чата в Skype; они даже не смогут сказать, куда пакеты выходят за пределы точки доступа WiFi.
Что делает WPA-Personal (также известный как WPA-PSK), так это шифрование пакетов, которые передаются в эфир, так что люди, которые не подключены к этой сети, не могут читать ваши сообщения (и WEP сделал то же самое в этом отношении, Кстати, он просто сделал это по-другому, что пострадало от серьезной дыры). Кроме того, он пытается затруднить / сделать невозможным подключение к сети, не зная секретного пароля.
Без этого шифрования (например, в открытых сетях) любой может прочитать все пакеты, которыми обмениваются, даже не будучи "подключенным" к сети: он просто должен быть достаточно близко, чтобы "услышать" сигнал.
Если вы рассматриваете иностранный язык как своего рода шифрование, WPA немного напоминает ситуацию, когда все машины, подключенные к этой сети WPA, говорят на одном языке, но это язык, чуждый другим машинам. Поэтому, конечно, машины, которые подключены к этой сети, могут атаковать друг друга и слышать / видеть все пакеты, отправленные / полученные всеми остальными. Защита только от хостов, которые не подключены к сети (например, потому что они не знают секретный пароль).
В чем основное отличие WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES)
TKIP и AES - это два разных типа шифрования, которые могут использоваться в сети Wi-Fi. TKIP расшифровывается как "Протокол целостности временного ключа". Это был протокол шифрования с временным интервалом, введенный вместе с WPA для замены очень небезопасного шифрования WEP в то время. TKIP на самом деле очень похож на WEP-шифрование. TKIP больше не считается безопасным, и теперь считается устаревшим. Другими словами, вы не должны его использовать.
AES расшифровывается как "Advanced Encryption Standard". Это был более безопасный протокол шифрования, представленный в WPA2, который заменил временный стандарт WPA. AES - это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi; это серьезный мировой стандарт шифрования, который даже был принят правительством США. Например, когда вы шифруете жесткий диск с помощью TrueCrypt, он может использовать для этого шифрование AES. Как правило, AES считается достаточно безопасным, и основными недостатками могут быть атаки методом "грубой силы" (предотвращенные с помощью надежной парольной фразы) и недостатки безопасности в других аспектах WPA2.
Таким образом, TKIP - это более старый стандарт шифрования, используемый старым стандартом WPA. AES - это более новое решение для шифрования Wi-Fi, используемое в соответствии с новым и безопасным стандартом WPA2. В теории это конец. Но, в зависимости от вашего роутера, просто выбрать WPA2 может быть недостаточно.
В то время как WPA2 должен использовать AES для оптимальной безопасности, он также имеет возможность использовать TKIP для обратной совместимости с устаревшими устройствами. В таком состоянии устройства, которые поддерживают WPA2, будут соединяться с WPA2, а устройства, которые поддерживают WPA, будут соединяться с WPA. Таким образом, "WPA2" не всегда означает WPA2-AES. Однако на устройствах без видимой опции "TKIP" или "AES" WPA2 обычно является синонимом WPA2-AES.
http://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-or-both/
Каковы различия в шифровании для захвата трафика
Да??
какое лучшее решение для домашней / рабочей сети? Благодарю.
Это все описано в остальной части вышеприведенной статьи:
На большинстве маршрутизаторов, которые мы видели, обычно используются варианты WEP, WPA (TKIP) и WPA2 (AES) - возможно, для большей степени добавлен режим совместимости WPA (TKIP) + WPA2 (AES).
Если у вас есть странный тип маршрутизатора, который предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства, безусловно, будут работать с ним, и это быстрее и безопаснее. Это простой выбор, если вы помните, что AES - хороший выбор.
Как описано здесь, шифрование выполняется на уровне 2 сразу после MAC-адреса (полезная нагрузка кадра), поэтому для просмотра зашифрованного трафика необходимо использовать устройство с возможностями перехвата на уровне L2 и попытаться прочитать перехваченный вами пакет.