Outras pessoas em um ponto de acesso Wi-Fi criptografado podem ver o que você está fazendo?

33

Se você se conectar a um ponto de acesso Wi-Fi aberto e não criptografado, tudo o que você fizer poderá ser capturado por outras pessoas dentro do alcance.

Se você se conectar a um ponto criptografado, as pessoas próximas poderão interceptar o que você está fazendo, mas não poderão descriptografá-lo. A pessoa que administra o ponto de acesso pode interceptar o que você está fazendo, certo?

E as outras pessoas que conhecem a chave e estão conectadas ao mesmo ponto? Eles podem interceptar suas transmissões sem fio e descriptografá-las? Ou eles podem ver seus pacotes com um sniffer de pacotes?

endólito
fonte
2
Sim, podemos, e fui indicado para pedir que você pare de fazer isso! : P
Mark Allen
11
Parar de verificar meu e-mail?
Endolith 27/06
"Isolamento de ponto de acesso - isola todos os clientes sem fio e dispositivos sem fio na sua rede. Os dispositivos sem fio poderão se comunicar com o Gateway, mas não entre si na rede." tomatousb.org/settings:wireless
endolith
minhas desculpas, eu estava tentando (e como sempre falhando) fazer uma piada. Esse é um tópico enorme - praticamente, como tudo o mais com segurança - nada é perfeito, a idéia é tornar-se um alvo mais difícil do que os outros destinos disponíveis.
Mark Allen

Respostas:

45

Sim, com a criptografia WEP é super simples. Tudo é criptografado com a chave que você precisava saber para entrar na rede. Todos na rede podem decodificar o tráfego de todos os outros sem sequer tentar.

Com o WPA-PSK e o WPA2-PSK, é um pouco mais complicado, mas não muito difícil. O WPA-PSK e o WPA2-PSK criptografam tudo com chaves por cliente e por sessão, mas essas chaves são derivadas da Chave pré-compartilhada (o PSK; a chave que você precisa saber para entrar na rede), além de algumas informações trocadas claro quando o cliente entra ou se junta à rede. Portanto, se você conhece o PSK da rede e seu sniffer captura o "handshake de quatro direções" que outro cliente faz com o AP à medida que ele se junta, você pode descriptografar todo o tráfego desse cliente. Se você não capturou o handshake de quatro vias desse cliente, pode enviar um pacote falsificado de autenticação para o cliente de destino (falsificando-o para parecer que veio do endereço MAC do AP), forçando o cliente a cair fora da rede e volte a ligar, para que você possa capturar seu handshake de quatro vias dessa vez e descriptografar todo o tráfego adicional de / para esse cliente. O usuário da máquina que recebe a desautenticação falsificada provavelmente nem notará que seu laptop ficou fora da rede por uma fração de segundo.Observe que NENHUM incômodo entre homens e mulheres é necessário para este ataque. O invasor apenas precisa capturar alguns quadros específicos no momento em que o cliente de destino (re) ingressa na rede.

Com o WPA-Enterprise e o WPA2-Enterprise (ou seja, com autenticação 802.1X em vez de usar uma chave pré-compartilhada), todas as chaves por sessão por cliente são derivadas de forma totalmente independente, portanto, não há possibilidade de decodificar o tráfego um do outro. . Um invasor teria que detectar seu tráfego no lado com fio do ponto de acesso, ou possivelmente configurar um ponto de acesso não autorizado, na esperança de que você ignore o certificado falso do lado do servidor que o ponto de acesso falso enviaria e entraria no ponto de acesso não autorizado .

Spiff
fonte
3
Somente se eles tiverem acesso físico ao AP.
Moab
11
Ou um armário de fiação a montante do AP.
Fred
11
O WPA-PSK realmente não usa um protocolo seguro de troca de chaves para estabelecer chaves de sessão?
Hbbs #
11
@hobbs É seguro para quem não conhece a senha (PSK). Não é seguro para quem conhece o PSK e já pode ingressar na rede, mas as LANs semelhantes à Ethernet há muito tempo exigem que você confie em seus pares na LAN (que eles não o ARP envenenam você e observam todo o seu tráfego que caminho, por exemplo).
Spiff
2
@FrankN Esta informação ainda está atualizada. Os aplicativos que precisam de suas comunicações criptografadas precisam criptografar eles mesmos, em vez de esperar preguiçosamente que as camadas inferiores possam estar fazendo o trabalho delas. Os usuários que não confiam em seus aplicativos devem mudar para aplicativos melhores, mas podem melhorar moderadamente sua segurança usando VPNs. Não há nenhuma maneira viável para os operadores públicos de Wi-Fi para manter os usuários desinformados / inseguros segura, e mesmo se você estivesse em um Wi-Fi público que fez uso 802.1X ou algo assim, você ainda deve proteger-se contra alguém bisbilhotando seu tráfego no fio LAN um salto a montante.
Spiff
2

O WPA tem pelo menos algum tipo de chave de sessão. Assumindo (não sei o que o WPA realmente usa) as chaves da sessão são estabelecidas usando um protocolo como Diffie-Hellman , elas são inicialmente seguras mesmo quando o PSK não é. Com a sessão de codificação TKIP, as chaves podem ser quebradas rapidamente , permitindo que alguém intercepte e injete pacotes sem conhecer a chave pré-compartilhada.

No entanto, alguém que conhece o PSK pode simplesmente configurar um ponto de acesso não autorizado, fazer um homem no meio e escolher suas próprias chaves de sessão, o que torna o ponto discutível. Um invasor ativo que conhece seu PSK pode controlar a camada de link, interceptando e modificando pacotes.

Se você substituir a autenticação PSK pelo IEEE 802.1X , que usa certificados e uma PKI , pode confiar que o ponto de acesso é inicialmente o correto. Um MITM exigiria que o invasor quebre clientes e pontos de acesso para obter seus certificados particulares, em vez de apenas obter o PSK. O protocolo parece ter uma fraqueza que permite que um invasor faça um homem no meio após a autenticação inicial; Não sei se isso é aplicável ao gabinete sem fio. Mas as pessoas tendem a aceitar os certificados às cegas, e nem todos os pontos de acesso permitem configurar o 802.1X.

Tobu
fonte
0

WAP não criptografado significa que todo o tráfego através do link sem fio pode ser lido por qualquer pessoa.

Com um WAP criptografado, todo o tráfego é criptografado no link de rádio, mas qualquer pessoa com acesso à porta WAN do WAP pode ler o tráfego mesmo sem a chave de criptografia. Com a chave do WAP, para WiFi, você pode ler todo o tráfego no link de rádio.

A maneira segura de usar um ponto de acesso sem fio compartilhado é usando criptografia de ponta a ponta; seu tráfego é criptografado antes de ser enviado pelo link de rádio e não é descriptografado até chegar ao destino. Portanto, mesmo com a chave WAP ou acesso à porta WAN do WAP, o tráfego criptografado de ponta a ponta é seguro.

Uma maneira comum de obter criptografia de ponta a ponta é usar uma VPN criptografada. O tráfego usando a VPN entre sua máquina e o ponto de extremidade da VPN é criptografado e, portanto, seguro.

Uma complicação. Uma VPN pode usar uma técnica chamada túnel dividido, o que significa que o tráfego não destinado à rede do outro lado da VPN não usa a VPN. E o tráfego que não usa a VPN não é criptografado pela VPN; portanto, se você usar o túnel dividido, o tráfego não endereçado à outra extremidade da VPN não será protegido pela VPN.

Fred
fonte
2
-1 A maior parte da postagem realmente não responde à pergunta. A parte que funciona, a saber "Com a chave do WAP, para WiFi, você pode ler todo o tráfego no link de rádio". está errado (isso não é verdade para a autenticação 802.1X, consulte a resposta de Spiff).
sleske
11
A pergunta sugere que a chave de criptografia é conhecida ("E outras pessoas que conhecem a chave e estão conectadas ao mesmo ponto?"). Com o WPA-Enterprise, como não há chave única, é razoável ler que "como outras pessoas conhecem a chave transitória em pares de uma porta" e, de fato, se você conhece o PTK, pode descriptografar o tráfego.
Fred