Altre persone su un AP Wi-Fi crittografato possono vedere cosa stai facendo?


33

Se ti connetti a un punto di accesso Wi-Fi aperto e non crittografato, tutto ciò che fai può essere catturato da altre persone a portata di mano.

Se ti connetti a un punto crittografato, le persone vicine possono intercettare ciò che stai facendo, ma non possono decrittografarlo. La persona che gestisce il punto di accesso può intercettare ciò che stai facendo, giusto?

Che dire delle altre persone che conoscono la chiave e sono connesse allo stesso punto? Possono intercettare le trasmissioni wireless e decrittografarle? O possono vedere i tuoi pacchetti con uno sniffer di pacchetti?


2
Sì, possiamo, e sono stato nominato per chiederti di smettere di farlo! : P
Mark Allen,

1
Smetti di controllare la mia posta?
endolith,

"Isolamento AP: questo isola tutti i client wireless e i dispositivi wireless della rete tra loro. I dispositivi wireless saranno in grado di comunicare con il gateway ma non tra loro nella rete." tomatousb.org/settings:wireless
endolith

le mie scuse, stavo tentando (e come al solito fallendo) di fare uno scherzo. Questo è un argomento enorme - praticamente, è come tutto il resto con sicurezza - niente è perfetto, l'idea è quella di renderti un obiettivo più difficile rispetto agli altri obiettivi disponibili.
Mark Allen,

Risposte:


45

Sì, con la crittografia WEP è semplicissimo. Tutto è crittografato con la chiave che dovevi sapere per accedere alla rete. Tutti sulla rete possono decodificare il traffico di tutti gli altri senza nemmeno provarci.

Con WPA-PSK e WPA2-PSK, è un po 'più complicato, ma non troppo difficile. WPA-PSK e WPA2-PSK crittografano tutto con chiavi per client e per sessione, ma quelle chiavi sono derivate dalla chiave pre-condivisa (PSK; la chiave che devi sapere per accedere alla rete) più alcune informazioni scambiate in chiaro quando il client si unisce o ricollega alla rete. Quindi, se conosci PSK per la rete e il tuo sniffer cattura la "stretta di mano a 4 vie" che un altro client fa con l'AP quando si unisce, puoi decodificare tutto il traffico di quel client. Se non ti è capitato di catturare l'handshake a 4 vie di quel client, puoi inviare un pacchetto di de-autenticazione contraffatto al client di destinazione (spoofing per far sembrare che provenga dall'indirizzo MAC dell'AP), costringendo il client a cadere fuori dalla rete e riaccendere, così puoi catturare la sua stretta di mano a 4 vie questa volta e decifrare tutto il traffico ulteriore verso / da quel client. L'utente della macchina che riceve la de-auth contraffatta probabilmente non noterà nemmeno che il suo laptop è stato fuori dalla rete per una frazione di secondo.Nota che NESSUNA seccatura man-in-the-middle è necessaria per questo attacco. L'attaccante deve solo acquisire alcuni frame specifici nel momento in cui il client di destinazione (ri) si unisce alla rete.

Con WPA-Enterprise e WPA2-Enterprise (ovvero, con autenticazione 802.1X anziché utilizzare una chiave pre-condivisa), tutte le chiavi per sessione per sessione vengono derivate in modo completamente indipendente, quindi non è possibile decodificare il traffico reciproco . Un utente malintenzionato dovrebbe sniffare il tuo traffico sul lato cablato dell'AP o eventualmente impostare un AP canaglia nella speranza che tu ignori il falso certificato sul lato server che l'AP canaglia invierebbe e si unirà comunque all'AP canaglia .


3
Solo se hanno accesso fisico all'AP.
Moab,

1
O un armadio di cablaggio a monte dell'AP.
Fred,

1
WPA-PSK non utilizza davvero un protocollo di scambio di chiavi sicuro per stabilire chiavi di sessione?
Hobbs,

1
@hobbs È sicuro dagli estranei che non conoscono la password (PSK). Non è sicuro dagli addetti ai lavori che conoscono il PSK e possono già unirsi alla rete, ma ancora una volta, le LAN simili a Ethernet ti richiedono da molto tempo di fidarti dei tuoi colleghi sulla LAN (che non ti avveleneranno ARP e guardano tutto il tuo traffico che modo, per esempio).
Spiff

2
@FrankN Questa informazione è ancora aggiornata. Le app che necessitano di una crittografia delle comunicazioni devono crittografarle da sole anziché semplicemente sperare pigramente che i livelli inferiori possano fare il loro lavoro per loro. Gli utenti che non si fidano delle loro app dovrebbero passare ad app migliori, ma potrebbero migliorare moderatamente la loro sicurezza usando le VPN. Non c'è modo praticabile per gli operatori Wi-Fi pubbliche per mantenere gli utenti non informati / insicuri sicuro, e anche se si fosse su un pubblico Wi-Fi che ha fatto utilizzare 802.1X o qualcosa del genere, si dovrebbe comunque proteggersi contro qualcuno snooping il traffico sul cavo LAN one hop a monte.
Spiff,

2

WPA ha almeno una qualche forma di chiavi di sessione. Supponendo (non sono sicuro di ciò che effettivamente utilizza WPA) le chiavi di sessione sono stabilite usando un protocollo come Diffie-Hellman , sono inizialmente sicure anche quando il PSK non lo è. Con TKIP le chiavi di sessione crittografiche possono essere interrotte rapidamente , consentendo a qualcuno di intercettare e iniettare pacchetti senza conoscere la chiave precondivisa.

Tuttavia, qualcuno che conosce il PSK potrebbe semplicemente impostare un punto di accesso non autorizzato, fare un uomo nel mezzo e scegliere le proprie chiavi di sessione, il che rende discutibile il punto. Un utente malintenzionato attivo che conosce il tuo PSK può controllare il livello del collegamento, intercettando e modificando i pacchetti.

Se si sostituisce l'autenticazione PSK con IEEE 802.1X , che utilizza certificati e una PKI , ci si può fidare che l'AP sia inizialmente quello giusto. Un MITM richiederebbe all'attaccante di rompere i client e il punto di accesso per ottenere i loro certificati privati, invece di ottenere semplicemente il PSK. Il protocollo sembra avere un punto debole che consente a un utente malintenzionato di eseguire un uomo nel mezzo dopo l'autenticazione iniziale; Non so quanto sia applicabile al caso wireless. Ma le persone hanno la tendenza ad accettare i certificati alla cieca e non tutti i punti di accesso consentono di configurare 802.1X.


0

WAP non crittografato significa che tutto il traffico sul collegamento wireless può essere letto da chiunque.

Con un WAP crittografato, tutto il traffico viene crittografato sul collegamento radio, ma chiunque abbia accesso alla porta WAN del WAP può leggere il traffico anche senza la chiave di crittografia. Con la chiave WAP, per WiFi, puoi leggere tutto il traffico sul collegamento radio.

Il modo sicuro di utilizzare un AP wireless condiviso è utilizzando la crittografia end-to-end; il tuo traffico viene crittografato prima di essere inviato tramite il collegamento radio e non viene decrittografato finché non arriva a destinazione. Pertanto, anche con la chiave WAP o l'accesso alla porta WAN del WAP, il traffico crittografato end-to-end è sicuro.

Un modo comune per ottenere la crittografia end-to-end è utilizzare una VPN crittografata. Il traffico che utilizza la VPN tra la macchina e l'endpoint VPN è crittografato e quindi sicuro.

Una complicazione. Una VPN può utilizzare una tecnica chiamata split-tunneling, il che significa che il traffico non destinato alla rete dall'altra parte della VPN non utilizza la VPN. E il traffico che non utilizza la VPN non è crittografato dalla VPN, quindi se si utilizza il tunneling suddiviso, il traffico non indirizzato all'altra estremità della VPN non è protetto dalla VPN.


2
-1 La maggior parte dei post non risponde realmente alla domanda. La parte che lo fa, vale a dire "Con la chiave WAP, per WiFi, puoi leggere tutto il traffico sul collegamento radio". è errato (questo non è vero per l'autent 802.1X, vedi la risposta di Spiff).
sleske,

1
La domanda pone la chiave di crittografia nota ("Che dire di altre persone che conoscono la chiave e sono connesse allo stesso punto?"). Con WPA-Enterprise, poiché non esiste una chiave singola, è ragionevole leggere che come "altre persone conoscono la chiave transitoria a coppie di una porta" e in effetti, se si conosce il PTK, è possibile decrittografare il traffico.
Fred,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.