Startpagina » hoe » Waarschuwing Versleutelde WPA2 wifi-netwerken zijn nog steeds kwetsbaar voor snooping

    Waarschuwing Versleutelde WPA2 wifi-netwerken zijn nog steeds kwetsbaar voor snooping

    Inmiddels weten de meeste mensen dat een open Wi-Fi-netwerk mensen in staat stelt om je verkeer af te luisteren. Standaard-WPA2-PSK-codering zou dit moeten voorkomen, maar het is niet zo onfeilbaar als u misschien denkt.

    Dit is geen enorm breaking news over een nieuwe beveiligingsfout. Integendeel, dit is de manier waarop WPA2-PSK altijd is geïmplementeerd. Maar het is iets dat de meeste mensen niet weten.

    Open Wi-Fi-netwerken versus gecodeerde wifi-netwerken

    Je zou thuis geen open wifi-netwerk moeten hosten, maar misschien gebruik je er een in het openbaar - bijvoorbeeld in een coffeeshop, terwijl je door een luchthaven reist of in een hotel. Open Wi-Fi-netwerken hebben geen codering, wat betekent dat alles via de ether "in het niets" wordt verzonden. Mensen kunnen uw browse-activiteit controleren en elke webactiviteit die niet beveiligd is met codering zelf, kan worden bespied. Ja, dit is zelfs waar als u zich moet aanmelden met een gebruikersnaam en wachtwoord op een webpagina nadat u zich hebt aangemeld bij het open wifi-netwerk.

    Encryptie - zoals de WPA2-PSK-codering die we u thuis aanraden te gebruiken - repareert dit enigszins. Iemand in de buurt kan niet zomaar uw verkeer vastleggen en op u snuffelen. Ze krijgen een hoop gecodeerd verkeer. Dit betekent dat een gecodeerd wifi-netwerk je privéverkeer beschermt tegen onoplettendheid.

    Dit is een beetje waar - maar er is een grote zwakte hier.

    WPA2-PSK Gebruikt een gedeelde sleutel

    Het probleem met WPA2-PSK is dat het een "Pre-Shared Key" gebruikt. Deze sleutel is het wachtwoord of de wachtwoordzin die u moet invoeren om verbinding met het Wi-Fi-netwerk te maken. Iedereen die verbinding maakt, gebruikt dezelfde wachtwoordzin.

    Het is vrij eenvoudig voor iemand om dit gecodeerde verkeer te monitoren. Het enige wat ze nodig hebben is:

    • De wachtwoordzin: Iedereen met toestemming om verbinding te maken met het wifi-netwerk heeft dit.
    • Het verenigingsverkeer voor een nieuwe klant: Als iemand de pakketten vastlegt die tussen de router en een apparaat worden verzonden wanneer deze verbinding maakt, hebben ze alles wat ze nodig hebben om het verkeer te decoderen (ervan uitgaande dat ze natuurlijk ook de wachtwoordzin hebben). Het is ook triviaal om dit verkeer te krijgen via "deauth" -aanvallen die een apparaat met geweld van een Wi-Fi-netwerk ontkoppelen en het dwingen om opnieuw verbinding te maken, waardoor het associatieproces weer gebeurt.

    Echt, we kunnen niet benadrukken hoe eenvoudig dit is. Wireshark heeft een ingebouwde optie voor het automatisch decoderen van WPA2-PSK-verkeer zolang u de vooraf gedeelde sleutel hebt en het verkeer voor het associatieproces hebt vastgelegd.

    Wat dit eigenlijk betekent

    Wat dit eigenlijk betekent, is dat WPA2-PSK niet veel veiliger is tegen afluisteren als u iedereen in het netwerk niet vertrouwt. Thuis moet je veilig zijn omdat je wifi-wachtwoordzin geheim is.

    Als u echter naar een coffeeshop gaat en WPA2-PSK gebruikt in plaats van een open Wi-Fi-netwerk, kunt u zich veiliger voelen in uw privacy. Maar dat zou u niet moeten doen - iedereen met het wifi-wachtwoord van de coffeeshop zou uw browseverkeer kunnen controleren. Andere mensen op het netwerk, of alleen andere mensen met de wachtwoordzin, kunnen op uw verkeer snuffelen als ze dat willen.

    Houd hier rekening mee. WPA2-PSK voorkomt dat mensen zonder toegang tot het netwerk kunnen rondsnuffelen. Zodra ze echter de wachtwoordzin van het netwerk hebben, zijn alle weddenschappen uitgeschakeld.

    Waarom probeert WPA2-PSK dit niet te stoppen??

    WPA2-PSK probeert dit zelfs te stoppen door het gebruik van een "paarsgewijze transiënte sleutel" (PTK). Elke draadloze client heeft een unieke PTK. Dit helpt echter niet veel, omdat de unieke sleutel per klant altijd wordt afgeleid van de vooraf gedeelde sleutel (de wifi-wachtwoordzin). Daarom is het triviaal om de unieke sleutel van een klant vast te leggen zolang u de Wi-Fi-wachtwoordzin hebt. Fi-wachtwoordzin en kan het verkeer vastleggen dat via het associatieproces wordt verzonden.

    WPA2-Enterprise lost dit op ... voor grote netwerken

    Voor grote organisaties die beveiligde wifi-netwerken vereisen, kan deze beveiligingszwakte worden voorkomen door het gebruik van EAP-autorisatie met een RADIUS-server - ook wel WPA2-Enterprise genoemd. Met dit systeem ontvangt elke Wi-Fi-client een echt unieke sleutel. Geen enkele Wi-Fi-client heeft voldoende informatie om gewoon te gaan snuffelen op een andere client, dus dit biedt veel meer beveiliging. Grote zakelijke kantoren of overheidsinstanties zouden om deze reden WPA2-Enteprise moeten gebruiken.

    Maar dit is te gecompliceerd en complex voor de overgrote meerderheid van de mensen - of zelfs de meeste geeks - om thuis te gebruiken. In plaats van een wachtwoordzin voor Wi-Fi die u moet invoeren op apparaten die u wilt verbinden, moet u een RADIUS-server beheren die de verificatie en het sleutelbeheer afhandelt. Dit is veel ingewikkelder voor thuisgebruikers om in te stellen.

    Het is zelfs de moeite niet waard als je iedereen op je wifi-netwerk vertrouwt, of iedereen met toegang tot je wifi-wachtwoordzin. Dit is alleen nodig als u bent verbonden met een WPA2-PSK gecodeerd wifi-netwerk op een openbare locatie - coffeeshop, luchthaven, hotel of zelfs een groter kantoor - waar andere mensen die u niet vertrouwt, ook de Wi-Fi hebben Het wachtwoord van het FI-netwerk.


    Dus, valt de lucht? Nee natuurlijk niet. Houd hier echter rekening mee: wanneer u bent verbonden met een WPA2-PSK-netwerk, kunnen andere mensen met toegang tot dat netwerk gemakkelijk uw verkeer opzoeken. Ondanks wat de meeste mensen denken, biedt die codering geen bescherming tegen andere mensen met toegang tot het netwerk.

    Als u toegang moet hebben tot gevoelige sites op een openbaar Wi-Fi-netwerk - met name websites die geen HTTPS-codering gebruiken - overweeg dit te doen via een VPN of zelfs een SSH-tunnel. De WPA2-PSK-codering op openbare netwerken is niet goed genoeg.

    Image Credit: Cory Doctorow op Flickr, Food Group op Flickr, Robert Couse-Baker op Flickr