Le connessioni non SSL sono sicure in una rete wireless locale con protezione tramite password

15

A breve: sto lavorando a un progetto in cui diversi dispositivi IoT sono collegati a una password WPA2 e a un hotspot protetto con filtro MAC. La comunicazione in questa rete può essere divulgata poiché non utilizzo TLS?

Non voglio utilizzare TLS poiché le risorse dei miei dispositivi IoT sono veramente limitate e l'implementazione di TLS ne occuperebbe gran parte. Pertanto, voglio creare una rete WiFi privata, con protezione password WPA2 e filtraggio degli indirizzi MAC, così posso garantire che solo i dispositivi che permetto siano connessi. L'unica domanda nella mia mente è: le informazioni inviate su questa rete possono essere rubate? La protezione con password impedisce solo ai dispositivi esterni di unirsi alla rete o incorpora anche i dati?

PS: la mia rete WiFi privata non ha connessione a Internet, è solo Access Point + dispositivi IoT.

    
posta jnbrq -Canberk Sönmez 17.07.2017 - 11:57
fonte

3 risposte

25

Sebbene i messaggi inviati tramite Wi-Fi siano crittografati con una chiave di sessione, un dispositivo che già conosce la chiave precondivisa può decifrare il traffico. WPA non implementa il Forward Secrecy, quindi, possedendo la chiave pre-condivisa, chiunque può decodificare tutto il traffico che non è crittografato dai protocolli di livello OSI superiore (ad esempio, TLS).

Pertanto, quando si trasferiscono dati sensibili, è necessario utilizzare un meccanismo di protezione dei dati esterno, ad esempio TLS.

    
risposta data 17.07.2017 - 12:33
fonte
8

Quindi, tutto ciò di cui ho bisogno per estrarre qualsiasi cosa dalla tua rete è la chiave di rete singola che è memorizzata su tutti i dispositivi ...  Rende abbastanza facile intercettare e manipolare i tuoi dispositivi IoT. È meglio utilizzare TLS in una configurazione End-to-End.

Ma per rispondere alla tua domanda sul WiFi, la connessione che hai configurato con il tuo endpoint avrà un certo livello di crittografia. abbastanza per prevenire la maggior parte degli abusi drive-by. ma non abbastanza da impedire a determinate persone di decifrare la tua comunicazione. Il punto di forza della codifica dipende dalla lunghezza della chiave utilizzata per crittografare il canale (quindi una password più lunga fornirebbe un canale protetto migliore)

Il filtraggio MAC è utile solo nelle reti che si connettono raramente (poiché qualsiasi messaggio nella rete forma un dispositivo perde il suo MAC).

È quasi sempre meglio investire i pochi dollari necessari per includere un chip TLS o un modulo software. come esempio puoi visitare questo sito che è indirizzato ai creatori di IoT .

Quindi, in conclusione, mentre WiFi utilizza la crittografia, non è sufficiente affidarsi esclusivamente all'integrità o all'abuso dei dati. molto probabilmente la tua soluzione richiederà un componente TLS per la sua sicurezza.

    
risposta data 17.07.2017 - 12:43
fonte
2

Quando sono coinvolti i dati dei pazienti, HIPAA / HITECH (negli Stati Uniti, leggi simili altrove) richiede che i dati in movimento siano crittografati. Potresti argomentare, ragionevolmente, che il WiFi codifica il segnale e quindi sei coperto.

Se eseguissi personalmente una valutazione della tua implementazione, direi che i dati vengono crittografati solo attraverso i segmenti WiFi della rete, che non è una protezione sufficiente. Nulla impedisce che i dati vengano instradati attraverso segmenti di rete non-WiFi e quindi non deve fare affidamento esclusivamente sulla crittografia WiFi . È anche possibile disabilitare (o rendere inefficace) la crittografia WiFi mentre TLS funzionerà sicuramente.

Come altri hanno già detto, l'accesso alla rete consente banalmente a un client non autorizzato di vedere qualsiasi traffico altrimenti non criptato da catturare. L'uso di TLS vieta questo vettore di attacco.

Anche se potresti essere in grado di sopravvivere a una causa basata sull'affermazione che "il WiFi è crittografato, quindi stiamo bene," non pagherei mai una soluzione che si basa esclusivamente sulla crittografia WiFi e non consentirei mai un client usare anche questa tecnologia.

    
risposta data 19.07.2017 - 00:23
fonte

Leggi altre domande sui tag