Могут ли другие люди на зашифрованной точке доступа Wi-Fi видеть, что вы делаете?
Если вы подключитесь к открытой незашифрованной точке доступа Wi-Fi, все, что вы делаете, может быть захвачено другими людьми в пределах досягаемости.
Если вы подключитесь к зашифрованной точке, люди поблизости смогут перехватить то, что вы делаете, но не смогут расшифровать его. Человек, управляющий точкой доступа, может перехватить то, что вы делаете, правда?
А как насчет других людей, которые знают ключ и связаны с той же точки? Могут ли они перехватить ваши беспроводные передачи и расшифровать их? Или они могут видеть ваши пакеты с помощью анализатора пакетов?
3 ответа
Да, с WEP-шифрованием это очень просто. Все зашифровано ключом, который вы должны знать, чтобы войти в сеть. Каждый в сети может декодировать чужой трафик, даже не пытаясь.
С WPA-PSK и WPA2-PSK это немного сложнее, но не слишком сложно. WPA-PSK и WPA2-PSK шифруют все с помощью ключей для каждого клиента и сеанса, но эти ключи получены из предварительного общего ключа (PSK; ключ, который необходимо знать для доступа в сеть), а также обмена некоторой информацией в открытом виде, когда клиент присоединяется или повторно присоединяется к сети. Поэтому, если вы знаете PSK для сети, и ваш анализатор перехватывает "четырехстороннее рукопожатие", которое другой клиент делает с точкой доступа при подключении, вы можете расшифровать весь трафик этого клиента. Если вам не удалось перехватить четырехстороннее рукопожатие этого клиента, вы можете отправить поддельный пакет де-аутентификации целевому клиенту (подделав его, чтобы он выглядел так, как будто он получен с MAC-адреса точки доступа), заставив клиента упасть отключиться от сети и вернуться обратно, чтобы на этот раз вы могли захватить его четырехстороннее рукопожатие и расшифровать весь дальнейший трафик к этому клиенту и обратно. Пользователь машины, получивший поддельную де-аутентификацию, вероятно, даже не заметит, что его ноутбук был отключен от сети на долю секунды. Обратите внимание, что для этой атаки не требуется никаких трудностей для человека в середине. Злоумышленник просто должен захватить несколько конкретных кадров в то время, когда целевой клиент (повторно) присоединяется к сети.
С WPA-Enterprise и WPA2-Enterprise (то есть с аутентификацией 802.1X вместо использования предварительного ключа) все ключи каждого сеанса для каждого клиента создаются полностью независимо, поэтому нет возможности декодировать трафик друг друга., Злоумышленнику придется либо перехватывать ваш трафик на проводной стороне точки доступа, либо, возможно, настроить мошенническую точку доступа в надежде, что вы проигнорируете поддельный сертификат на стороне сервера, который отправит мошенническая точка доступа, и в любом случае присоединитесь к мошеннической точке доступа.,
WPA по крайней мере имеет некоторую форму ключей сеанса. Предполагая (я не уверен, что WPA на самом деле использует) ключи сеанса устанавливаются с использованием протокола, такого как Диффи-Хеллман, они изначально защищены, даже если PSK нет. С помощью шифровальных ключей TKIP сеансы могут быть быстро сломаны, позволяя кому-либо перехватывать и вводить пакеты, не зная предварительно общего ключа.
Тем не менее, кто-то, кто знает, что PSK может просто создать поддельную точку доступа, сделать человек в середине и забрать свои ключи сеанса, что делает точку спорным. Активный злоумышленник, который знает ваш PSK, может управлять канальным уровнем, перехватывая и изменяя пакеты.
Если вы замените аутентификацию PSK на IEEE 802.1X, которая использует сертификаты и PKI, вы можете доверять точке доступа, которая изначально является правильной. MITM потребует от злоумышленника взломать клиенты и точку доступа, чтобы получить их частные сертификаты, вместо того, чтобы просто получить PSK. Протокол, похоже, имеет слабость, которая позволяет атакующему сделать человека посередине после первоначальной аутентификации; Я не знаю, насколько это применимо к беспроводному корпусу. Но люди склонны принимать сертификаты вслепую, и не все точки доступа позволяют настраивать 802.1X.
Незашифрованный WAP означает, что любой трафик по беспроводной линии может быть прочитан любым пользователем.
С зашифрованным WAP весь трафик шифруется по радиоканалу, но любой, имеющий доступ к порту WAN WAP, может прочитать трафик даже без ключа шифрования. С помощью ключа WAP для WiFi вы можете прочитать весь трафик по радиоканалу.
Безопасный способ использования совместно используемой беспроводной точки доступа - использование сквозного шифрования; Ваш трафик зашифровывается перед отправкой по радиоканалу и не дешифруется до тех пор, пока не прибудет в пункт назначения. Таким образом, даже при наличии ключа WAP или доступа к порту WAN WAP сквозной зашифрованный трафик является безопасным.
Распространенным способом получения сквозного шифрования является использование зашифрованного VPN. Трафик, использующий VPN между вашей машиной и конечной точкой VPN, зашифрован и поэтому безопасен.
Одно осложнение. VPN может использовать метод, называемый разделенным туннелированием, что означает, что трафик, не предназначенный для сети на другой стороне VPN, не использует VPN. И трафик, который не использует VPN, не шифруется VPN, поэтому, если вы используете раздельное туннелирование, трафик, не адресованный другому концу VPN, не защищен VPN.