it-swarm-vi.com

Kết nối WPA2 với khóa chung có an toàn không?

Đây là một cái gì đó đã làm tôi khó chịu trong một thời gian dài: khi tôi có một điểm truy cập wifi với mã hóa WPA2 và tôi đưa ra chìa khóa, các kết nối an toàn đến mức nào? Với WEP, bạn có thể dễ dàng giải mã tất cả các gói bằng cùng một khóa, nhưng với WPA2 tôi không chắc chắn. Có phải tất cả các kết nối cá nhân vẫn an toàn?

Vì vậy, câu hỏi này không phải là về việc truy cập mạng, mà là về việc nghe lén các kết nối wifi riêng lẻ trong mạng.

42
vvanscherpenseel

Bất cứ ai chứng kiến ​​quá trình liên kết của một khách hàng mới đều có thể nghe lén kết nối của họ.

Vì các tổ chức lại có thể bị ép buộc bởi một Máy chủ lừa đảo gửi gói phân tách giả mạo trong tên của mục tiêu, nên thực tế luôn có thể lắng nghe trên tất cả các kết nối trên mạng WPA (2) bằng khóa được chia sẻ trước.

Bạn thậm chí có thể tự thử nó trong Wireshark: Có một tùy chọn tích hợp để giải mã tất cả các truyền trong cài đặt 802.11; miễn là bạn biết PSK và xác thực ban đầu được chứa trong lưu lượng đã ghi, Wireshark sẽ tự động giải mã nó cho bạn.

Sự khác biệt giữa WEP và WPA là có một khóa cặp khác nhau (được gọi là khóa tạm thời theo cặp) cho mỗi khách hàng, nhưng vì khóa này luôn được lấy trực tiếp từ PSK, nên nó không Nếu bạn muốn loại bảo mật đó, bạn sẽ phải sử dụng EAP và máy chủ RADIUS (đôi khi được gọi là "WPA Enterprise), trong đó PMK khác nhau cho mọi khách hàng .

34
lxgr

Để giải mã kết nối bị bắt bằng WPA2, bạn phải:

  • Biết khóa chủ chung.
  • Chứng kiến ​​nỗ lực đồng bộ hóa/liên kết cuối cùng của khách hàng mục tiêu trước dữ liệu bạn đang xem.

WPA2 sử dụng phương pháp phái sinh chính dựa trên PSK được chia sẻ như được mô tả trong RFC 4764 và câu hỏi cụ thể của bạn được đề cập là một cạm bẫy trong phần 8.1 .

Thực tế, bạn được bảo vệ khỏi những người không biết khóa chung (ví dụ: hàng xóm của bạn) trừ khi nó yếu đến mức đáng xấu hổ. Trong số những người biết khóa chia sẻ, việc đánh hơi chỉ phức tạp hơn một chút so với lưu lượng chưa được kiểm tra.

Do đó, "an toàn" liên quan đến những gì bạn đang cố gắng bảo vệ chống lại. Nếu bạn lo lắng về những người dùng khác biết cụm mật khẩu đánh hơi lưu lượng truy cập của bạn, thì các khóa chia sẻ trước là không đủ cho bạn.

13
Jeff Ferland

Để rõ ràng, tất cả mọi người AI BIẾT KHÓA có thể giải mã dữ liệu. Những người không biết khóa chia sẻ thì không thể.

Tuy nhiên, những người không biết khóa vẫn có thể thiết lập điểm truy cập giả mạo.

Cách hoàn toàn "an toàn" duy nhất là thiết lập máy chủ RADIUS cung cấp mật khẩu duy nhất cho mọi người dùng và cho phép bạn đặt chứng chỉ trên máy khách (máy tính xách tay, iPad, v.v. ) xác thực điểm truy cập WiFi. Nếu bạn làm điều đó, không ai (chưa) biết cách làm bất cứ điều gì để hack vào bạn.

2
Robert David Graham

nếu khóa giống nhau cho tất cả mọi người trên mạng, bất kỳ ai cũng có thể giải mã và phân tích lưu lượng truy cập của bất kỳ ai.

0
Kedare