Bisakah orang lain pada Wi-Fi AP terenkripsi melihat apa yang Anda lakukan?

33

Jika Anda terhubung ke titik akses Wi-Fi terbuka dan tidak terenkripsi, semua yang Anda lakukan dapat ditangkap oleh orang lain dalam jangkauan.

Jika Anda terhubung ke titik terenkripsi, maka orang-orang di dekatnya dapat mencegat apa yang Anda lakukan, tetapi tidak dapat mendekripsi itu. Orang yang menjalankan jalur akses dapat mencegat apa yang Anda lakukan, bukan?

Bagaimana dengan orang lain yang tahu kunci dan terhubung ke titik yang sama? Bisakah mereka mencegat transmisi nirkabel Anda dan mendekripsi mereka? Atau bisakah mereka melihat paket Anda dengan sniffer paket?

endolit
sumber
2
Ya kita bisa, dan saya telah dinominasikan untuk meminta Anda berhenti melakukan itu! : P
Mark Allen
1
Berhenti memeriksa email saya?
endolith
"Isolasi AP - Ini mengisolasi semua klien nirkabel dan perangkat nirkabel di jaringan Anda satu sama lain. Perangkat nirkabel akan dapat berkomunikasi dengan Gateway tetapi tidak dengan satu sama lain dalam jaringan." tomatousb.org/settings:wireless
endolith
permintaan maaf saya, saya berusaha (dan seperti biasa gagal) untuk membuat lelucon. Ini adalah topik yang sangat besar - praktis, seperti yang lainnya dengan keamanan - tidak ada yang sempurna, idenya adalah menjadikan diri Anda target yang lebih sulit daripada target lain yang tersedia.
Mark Allen

Jawaban:

45

Ya, dengan enkripsi WEP itu sangat sederhana. Semuanya dienkripsi dengan kunci yang perlu Anda ketahui untuk masuk ke jaringan. Semua orang di jaringan dapat men-decode lalu lintas orang lain tanpa mencoba.

Dengan WPA-PSK dan WPA2-PSK, ini sedikit rumit, tetapi tidak terlalu sulit. WPA-PSK dan WPA2-PSK mengenkripsi semuanya dengan kunci per-klien, per-sesi, tetapi kunci-kunci tersebut berasal dari Kunci Pra-Dibagikan (PSK; kunci yang harus Anda ketahui untuk masuk ke jaringan) ditambah beberapa informasi yang dipertukarkan di hapus ketika klien bergabung atau bergabung kembali dengan jaringan. Jadi, jika Anda mengetahui PSK untuk jaringan, dan sniffer Anda menangkap "jabat tangan 4 arah" yang dilakukan klien lain dengan AP saat bergabung, Anda dapat mendekripsi semua lalu lintas klien itu. Jika Anda tidak berhasil menangkap jabat tangan 4-arah klien itu, Anda dapat mengirim paket de-autentikasi palsu ke klien target (menipu itu agar terlihat seperti itu berasal dari alamat MAC AP), memaksa klien untuk jatuh dari jaringan dan kembali, sehingga Anda dapat menangkap jabat tangan 4 arahnya kali ini, dan mendekripsi semua lalu lintas lebih lanjut ke / dari klien itu. Pengguna mesin yang menerima spoofed de-auth mungkin bahkan tidak akan menyadari bahwa laptop-nya keluar dari jaringan untuk sepersekian detik.Perhatikan bahwa TIDAK perlu kerumitan pria di tengah untuk serangan ini. Penyerang hanya perlu menangkap beberapa frame spesifik pada saat klien target (kembali) bergabung dengan jaringan.

Dengan WPA-Enterprise dan WPA2-Enterprise (yaitu, dengan otentikasi 802.1X alih-alih menggunakan Pre-Shared Key), semua kunci per-klien per-sesi diturunkan sepenuhnya secara independen, sehingga tidak ada kemungkinan untuk saling mendekode lalu lintas satu sama lain . Penyerang harus mengendus traffic Anda di sisi kabel AP, atau mungkin membuat AP nakal dengan harapan bahwa Anda akan mengabaikan sertifikat sisi server palsu yang akan dikirim oleh AP nakal itu, dan tetap bergabung dengan AP nakal itu .

Spiff
sumber
3
Hanya jika mereka memiliki akses fisik ke AP.
Moab
1
Atau lemari kabel hulu dari AP.
Fred
1
WPA-PSK benar-benar tidak menggunakan protokol pertukaran kunci yang aman untuk membuat kunci sesi?
hobbs
1
@ hobbs Aman dari orang luar yang tidak tahu kata sandi (PSK). Ini tidak aman dari orang dalam yang mengetahui PSK dan sudah dapat bergabung dengan jaringan, tetapi sekali lagi, LAN seperti Ethernet telah lama mengharuskan Anda untuk memercayai rekan-rekan Anda di LAN (bahwa mereka tidak akan ARP meracuni Anda dan menonton semua lalu lintas Anda yang cara, misalnya).
Spiff
2
@ FrankN Info ini masih terkini. Aplikasi yang membutuhkan komunikasi mereka terenkripsi perlu mengenkripsi sendiri, bukan hanya malas lapisan bawah mungkin melakukan pekerjaan mereka untuk mereka. Pengguna yang tidak mempercayai aplikasi mereka harus beralih ke aplikasi yang lebih baik, tetapi mereka dapat meningkatkan keamanannya dengan menggunakan VPN. Tidak ada cara yang layak untuk operator Wi-Fi publik untuk menjaga kurang informasi / pengguna tidak aman aman, dan bahkan jika Anda berada di Wi-Fi publik yang melakukan penggunaan 802.1X atau sesuatu, Anda masih harus melindungi diri terhadap seseorang mengintip lalu lintas Anda pada kabel LAN satu hop ke hulu.
Spiff
2

WPA setidaknya memiliki beberapa bentuk kunci sesi. Dengan asumsi (saya tidak yakin apa yang sebenarnya WPA gunakan) kunci sesi dibuat menggunakan protokol seperti Diffie-Hellman , mereka awalnya aman bahkan ketika PSK tidak. Dengan kunci sesi cipher TKIP dapat dipecahkan dengan cepat , membiarkan seseorang mencegat dan menyuntikkan paket tanpa mengetahui kunci yang dibagikan sebelumnya.

Namun, seseorang yang tahu PSK hanya bisa mengatur jalur akses nakal, lakukan seorang pria di tengah dan pilih kunci sesi mereka sendiri, yang membuat titik tersebut dapat diperdebatkan. Penyerang aktif yang mengetahui PSK Anda dapat mengontrol lapisan tautan, memotong dan memodifikasi paket.

Jika Anda mengganti otentikasi PSK dengan IEEE 802.1X , yang menggunakan sertifikat dan PKI , Anda dapat percaya bahwa AP awalnya adalah yang benar. MITM akan membutuhkan penyerang untuk memecah klien dan jalur akses untuk mendapatkan sertifikat pribadi mereka, bukan hanya mendapatkan PSK. Protokol tampaknya memiliki kelemahan yang memungkinkan penyerang melakukan seorang pria di tengah setelah otentikasi awal; Saya tidak tahu bagaimana ini berlaku untuk kasing nirkabel. Tetapi orang-orang memiliki kecenderungan untuk menerima sertifikat secara membabi buta, dan tidak semua titik akses memungkinkan Anda mengonfigurasi 802.1X.

Tobu
sumber
0

WAP tidak terenkripsi berarti semua lalu lintas melalui tautan nirkabel dapat dibaca oleh siapa saja.

Dengan WAP terenkripsi, semua lalu lintas dienkripsi pada tautan radio, tetapi siapa pun yang memiliki akses ke port WAN WAP dapat membaca lalu lintas bahkan tanpa kunci enkripsi. Dengan kunci WAP, untuk WiFi, Anda dapat membaca semua lalu lintas di tautan radio.

Cara aman untuk menggunakan AP nirkabel bersama adalah dengan menggunakan enkripsi ujung ke ujung; lalu lintas Anda dienkripsi sebelum dikirim melalui tautan radio dan tidak didekripsi sampai tiba di tujuan. Jadi, bahkan dengan kunci WAP atau akses ke port WAN WAP, lalu lintas terenkripsi end-to-end aman.

Cara umum untuk mendapatkan enkripsi ujung ke ujung adalah dengan menggunakan VPN terenkripsi. Lalu lintas yang menggunakan VPN antara mesin Anda dan titik akhir VPN dienkripsi, dan sangat aman.

Satu komplikasi. VPN dapat menggunakan teknik yang disebut split-tunneling, yang berarti lalu lintas yang tidak ditujukan untuk jaringan di sisi lain VPN tidak menggunakan VPN. Dan lalu lintas yang tidak menggunakan VPN tidak dienkripsi oleh VPN, jadi jika Anda menggunakan split tunneling, lalu lintas yang tidak ditujukan ke ujung VPN lainnya tidak dilindungi oleh VPN.

Fred
sumber
2
-1 Sebagian besar posting tidak benar-benar menjawab pertanyaan. Bagian yang berfungsi, yaitu "Dengan kunci WAP, untuk WiFi, Anda dapat membaca semua lalu lintas di tautan radio." salah (ini tidak benar untuk autentikasi 802.1X, lihat jawaban Spiff).
sleske
1
Pertanyaan yang diajukan kunci enkripsi diketahui ("Bagaimana dengan orang lain yang tahu kunci dan terhubung ke titik yang sama?"). Dengan WPA-Enterprise, karena tidak ada kunci tunggal, masuk akal untuk membaca bahwa "orang lain tahu kunci transien berpasangan dari sebuah port", dan memang, jika Anda tahu PTK, Anda dapat mendekripsi lalu lintas.
Fred