Досега повечето хора знаят, че отворена Wi-Fi мрежа позволява на хората да подслушват трафика си. Стандартното криптиране WPA2-PSK трябва да предотврати това - но това не е толкова неудобно, колкото си мислите.
Това не е огромна новина за нов недостатък в сигурността. По-скоро това е начинът, по който WPA2-PSK винаги е бил приложен. Но това е нещо, което повечето хора не знаят.
Не трябва да хоствате отворена Wi-Fi мрежа у дома си, но може да се окажете в публично пространство - например в кафене, при преминаване през летище или в хотел. Отворените Wi-Fi мрежи нямат шифроване, което означава, че всичко, изпратено по въздуха, е "изчистено". Хората могат да наблюдават активността ви на сърфиране и всяка уеб дейност, която не е сигурна със самото криптиране, може да бъде подсказана. Да, това дори е вярно, ако трябва да влезете с потребителско име и парола на уеб страница, след като влезете в отворената Wi-Fi мрежа.
Шифроването - подобно на WPA2-PSK криптирането, което ви препоръчваме да използвате у дома - поправя това донякъде. Някой наблизо не може просто да улови трафика ви и да ви потърси. Ще получат куп криптиран трафик. Това означава, че криптирана Wi-Fi мрежа предпазва вашия частен трафик да не бъде подслушван.
Това е вярно - но тук има голяма слабост.
Проблемът с WPA2-PSK е, че той използва "Предварително споделен ключ". Този ключ е паролата или паролата, които трябва да въведете, за да се свържете с Wi-Fi мрежата. Всеки, който свързва, използва една и съща пропуск.
Много е лесно някой да наблюдава този шифрован трафик. Всичко, от което се нуждаят, е:
Наистина, не можем да подчертаем колко е просто това. Wireshark има вградена опция за автоматично декриптиране на WPA2-PSK трафика, стига да имате предварително споделен ключ и да сте заснели трафика за процеса на асоцииране.
Това, което всъщност означава, е, че WPA2-PSK не е много по-сигурен от подслушване, ако не вярвате на всички в мрежата. У дома трябва да сте сигурни, защото пропускът ви за Wi-Fi е таен.
Ако обаче излезете в кафене и използвате WPA2-PSK вместо отворена Wi-FI мрежа, може да се почувствате много по-сигурни в личния живот. Но не трябва - всеки, който има достъп до Wi-Fi прозореца на кафенето, може да следи трафика ви на сърфиране. Други хора в мрежата, или само други хора с пропуск, биха могли да гледат трафика ви, ако искат.
Не забравяйте да вземете предвид това. WPA2-PSK предотвратява хората, които нямат достъп до мрежата, да гледат. Все пак, след като имат пропуск за достъп до мрежата, всички залози са изключени.
WPA2-PSK действително се опитва да спре това чрез използването на "pairwise преходни ключ" (PTK). Всеки безжичен клиент има уникален ПТК. Това обаче не е много полезно, тъй като уникалният ключ за клиент винаги се извлича от предварително споделения ключ (пропуск за Wi-Fi). Ето защо е необичайно да запишете уникалния ключ на клиента, стига да имате Wi- Fi и може да улови трафика, изпратен чрез процеса на асоцииране.
За големи организации, които изискват защитени Wi-Fi мрежи, тази слабост на сигурността може да бъде избегната чрез използването на EAP автоматизация с RADIUS сървър - понякога наричан WPA2-Enterprise. С тази система всеки клиент с Wi-Fi получава наистина уникален ключ. Няма клиент с Wi-Fi, който да разполага с достатъчно информация, за да може само да започне да следи друг клиент, така че това осигурява много по-голяма сигурност. Големите корпоративни офиси или правителствени агенции трябва да използват WPA2-Enteprise по тази причина.
Но това е твърде сложно и сложно за по-голямата част от хората - или дори най-големите гении - да се използват у дома. Вместо да използвате Wi-Fi пропуск, трябва да въведете устройствата, които искате да свържете, трябва да управлявате RADIUS сървър, който обработва удостоверяването и управлението на ключовете. Това е много по-сложно за домашните потребители да създадат.
Всъщност дори не си струва времето, ако имате доверие на всички в Wi-Fi мрежата, или на всички, които имат достъп до вашия пропуск за Wi-Fi. Това е необходимо само ако сте свързани с WPA2-PSK шифрована Wi-Fi мрежа на обществено място - кафене, летище, хотел или дори по-голям офис - където други хора, на които не разполагате, имат Wi- Фискалната фраза на мрежата FI.
Така че, небето пада ли? Не разбира се, че не. Но имайте предвид това: Когато сте свързани с WPA2-PSK мрежа, други хора, които имат достъп до тази мрежа, могат лесно да потърсят трафик. Въпреки това, което повечето хора може да вярват, че криптирането не осигурява защита срещу други хора с достъп до мрежата.
Ако трябва да осъществите достъп до чувствителни сайтове в обществена Wi-Fi мрежа - по-специално уебсайтове, които не използват шифроване с HTTPS - помислете за това чрез VPN или дори SSH тунел. Шифроването WPA2-PSK на обществени мрежи не е достатъчно добро.
Image Credit: Кори Доктораув на Flickr, Food Group на Flickr, Робърт Куш-Бейкър на Flickr
