Le connessioni WPA2 con una chiave condivisa sono sicure?

40

Questo è qualcosa che mi ha infastidito da un po 'di tempo: quando ho un punto di accesso Wi-Fi con crittografia WPA2 e rilascio la chiave, quanto sono sicure le connessioni? Con WEP è possibile decodificare facilmente tutti i pacchetti utilizzando la stessa chiave, ma con WPA2 non ne sono sicuro. Tutte le connessioni individuali sono ancora protette?

Quindi, questa domanda non riguarda l'accesso alla rete, ma l'intercettazione di singole connessioni wifi all'interno della rete.

    
posta Jonas 02.11.2011 - 10:53
fonte

4 risposte

31

Chiunque assista al processo di associazione di un nuovo cliente può intercettare la propria connessione.

Poiché le riassociazioni possono essere forzate da un host canaglia che invia un pacchetto di disassociazione falsificato nel nome del target, è praticamente sempre possibile ascoltare tutte le connessioni su una rete WPA (2) con una chiave già condivisa.

Puoi anche provarlo tu stesso in Wireshark: esiste un'opzione integrata per decrittografare tutte le trasmissioni nelle impostazioni 802.11; Fintanto che conosci il PSK e l'autenticazione iniziale è contenuta nel traffico registrato, Wireshark la decifra automaticamente per te.

La differenza tra WEP e WPA è che esiste una chiave pairwise diversa (chiamata chiave transitoria pairwise) per ogni client, ma poiché questa chiave è sempre derivata direttamente da PSK, in realtà non aggiunge alcuna sicurezza . Se si desidera questo tipo di sicurezza, è necessario utilizzare EAP e un server RADIUS (a volte chiamato "WPA enterprise"), in cui il PMK è diverso per ogni client.

    
risposta data 02.11.2011 - 11:17
fonte
13

Per decrittografare una connessione catturata usando WPA2, devi:

  • Conosci la chiave master condivisa.
  • Prova l'ultimo tentativo di sincronizzazione / associazione del client di destinazione prima dei dati che stai guardando.

WPA2 utilizza un metodo di derivazione della chiave basato sulla PSK condivisa come descritto in RFC 4764 e la tua domanda specifica è menzionata come una trappola nella sezione 8.10 .

In effetti, sei protetto da persone che non conoscono la chiave condivisa (ad es. i tuoi vicini) a meno che non sia vergognosamente debole. Tra coloro che conoscono la chiave condivisa, lo sniffing è solo marginalmente più complesso rispetto al traffico non crittografato.

Quindi, "sicuro" è relativo a ciò che stai cercando di proteggere contro. Se sei preoccupato per gli altri utenti che conoscono la passphrase che annusa il tuo traffico, le chiavi precondivise non sono sufficienti per te.

    
risposta data 03.11.2011 - 20:43
fonte
2

Per essere chiari, tutti quelli che CONOSCONO LA CHIAVE possono decifrare i dati. Coloro che non conoscono la chiave condivisa non possono.

Tuttavia, chi non conosce la chiave può ancora impostare un falso punto di accesso.

L'unico modo completamente "sicuro" è la configurazione di un server RADIUS che fornisce una password univoca per ogni utente e che consente di inserire un certificato sul computer client (notebook, iPad, ecc.) che autentica l'accesso WiFi -punto. Se lo fai, nessuno (ancora) sa come fare qualcosa per hackerarti.

    
risposta data 02.11.2011 - 22:34
fonte
0

se la chiave è la stessa per tutti gli utenti della rete, chiunque può decodificare e analizzare il traffico di chiunque.

    
risposta data 02.11.2011 - 11:05
fonte

Leggi altre domande sui tag