Können andere Personen auf einem verschlüsselten WLAN-AP sehen, was Sie tun?

24246
endolith

Wenn Sie eine Verbindung zu einem offenen, unverschlüsselten WLAN-Zugangspunkt herstellen, kann alles, was Sie tun, von anderen Personen in Reichweite erfasst werden.

Wenn Sie eine Verbindung zu einem verschlüsselten Punkt herstellen, können Personen in der Nähe Ihre Aktivitäten abfangen, aber nicht entschlüsseln. Die Person, die den Zugangspunkt verwaltet, kann jedoch abfangen, was Sie tun, oder?

Was ist mit anderen Leuten, die den Schlüssel kennen und mit demselben Punkt verbunden sind? Können sie Ihre drahtlosen Übertragungen abfangen und entschlüsseln? Oder können sie Ihre Pakete mit einem Paket-Sniffer sehen?

31
Ja, wir können und ich wurde nominiert, um Sie zu bitten, damit aufzuhören! : P Mark Allen vor 13 Jahren 2
Hör auf meine Mails zu checken? endolith vor 13 Jahren 1
"AP-Isolierung - Dies isoliert alle drahtlosen Clients und drahtlosen Geräte in Ihrem Netzwerk voneinander. Drahtlose Geräte können zwar mit dem Gateway kommunizieren, jedoch nicht miteinander im Netzwerk." http://tomatousb.org/settings:wireless endolith vor 12 Jahren 0
Entschuldigung, ich habe versucht (und wie üblich versagt), einen Witz zu machen. Dies ist ein riesiges Thema - praktisch ist es wie alles andere mit Sicherheit - nichts ist perfekt, die Idee ist, sich selbst ein schwierigeres Ziel als die anderen verfügbaren Ziele zu machen. Mark Allen vor 12 Jahren 0

3 Antworten auf die Frage

42
Spiff

Ja, mit der WEP-Verschlüsselung ist das ganz einfach. Alles ist mit dem Schlüssel verschlüsselt, den Sie benötigen, um ins Netzwerk zu gelangen. Jeder im Netzwerk kann den Verkehr aller anderen entschlüsseln, ohne es zu versuchen.

Mit WPA-PSK und WPA2-PSK ist es etwas schwieriger, aber nicht zu schwer. WPA-PSK und WPA2-PSK verschlüsseln alles mit Client- und Sitzungsschlüsseln pro Sitzung. Diese Schlüssel werden jedoch vom Pre-Shared Key (dem PSK; der Schlüssel, den Sie kennen müssen, um im Netzwerk zu gelangen) sowie einige ausgetauschte Informationen verwendet im Klartext, wenn der Client sich dem Netzwerk anschließt oder wieder beitritt. Wenn Sie also die PSK für das Netzwerk kennen und Ihr Sniffer den "4-Wege-Handshake" erkennt, den ein anderer Client mit dem AP beim Beitreten durchführt, können Sie den gesamten Datenverkehr dieses Clients entschlüsseln. Wenn Sie den 4-Wege-Handshake dieses Clients nicht erfasst haben, können Sie ein gefälschtes De-Authentifizierungspaket an den Zielclient senden (Spoofing, damit es so aussieht, als stamme es von der MAC-Adresse des AP), wodurch der Client abstürzen musste aus dem Netzwerk und wieder los, So können Sie dieses Mal den 4-Wege-Handshake erfassen und den gesamten Datenverkehr zu / von diesem Client entschlüsseln. Der Benutzer des Computers, der die gefälschte De-Auth empfängt, wird wahrscheinlich nicht einmal bemerken, dass sein Laptop für einen Sekundenbruchteil vom Netzwerk getrennt wurde.Beachten Sie, dass für diesen Angriff KEINER Man-in-the-Middle-Streit erforderlich ist. Der Angreifer muss nur ein paar bestimmte Frames erfassen, wenn der Zielclient sich (erneut) dem Netzwerk anschließt.

Bei WPA-Enterprise und WPA2-Enterprise (dh bei der 802.1X-Authentifizierung anstelle eines Pre-Shared-Keys) werden alle pro Client-pro-Sitzungsschlüssel vollständig unabhängig voneinander abgeleitet, sodass es nicht möglich ist, den Datenverkehr der jeweils anderen Person zu decodieren . Ein Angreifer muss entweder Ihren Datenverkehr auf der verdrahteten Seite des Zugriffspunkts abhören oder möglicherweise einen unerwünschten Zugriffspunkt einrichten, in der Hoffnung, dass Sie das gefälschte serverseitige Zertifikat ignorieren, das der unerwünschte Zugriffspunkt senden würde, und dem unerwünschten Zugriffspunkt trotzdem beitreten .

"Ein Angreifer müsste entweder Ihren Datenverkehr auf der verdrahteten Seite des Zugriffspunkts abhören." Ist das generell möglich? Das scheint einfacher zu sein als zu entschlüsseln. endolith vor 13 Jahren 0
Nur wenn sie physischen Zugang zum AP haben. Moab vor 13 Jahren 3
Oder ein Schaltschrank vor dem AP. Fred vor 13 Jahren 1
@Spiff, in Bezug auf WPA Enterprise, müssten Sie nicht Hole196 sowie die Grafikkartenfarmen in der Cloud berücksichtigen, vielleicht heißt es CloudCracker.com rjt vor 10 Jahren 0
WPA-PSK verwendet wirklich kein sicheres Schlüsselaustauschprotokoll, um Sitzungsschlüssel festzulegen. hobbs vor 9 Jahren 1
@hobbs Es ist sicher vor Außenstehenden, die das Kennwort nicht kennen (PSK). Es ist nicht sicher vor Insidern, die die PSK kennen und bereits dem Netzwerk beitreten können, aber Ethernet-ähnliche LANs erfordern schon lange, dass Sie Ihren Kollegen im LAN vertrauen (dass sie Sie nicht mit ARP vergiften und Ihren gesamten Datenverkehr beobachten Weg, zum Beispiel). Spiff vor 9 Jahren 1
Ist diese Information noch auf dem neuesten Stand oder wurden Lösungen gefunden, um Benutzer vor jeder anderen Person zu schützen, dh für öffentliche WiFi's? Frank Nocke vor 8 Jahren 1
@FrankN Diese Info ist noch aktuell. Apps, die ihre Kommunikation verschlüsselt benötigen, müssen sie selbst verschlüsseln, anstatt zu hoffen, dass niedrigere Schichten ihre Arbeit für sie erledigen. Benutzer, die ihren Apps nicht vertrauen, sollten zu besseren Apps wechseln, könnten jedoch ihre Sicherheit durch die Verwendung von VPNs moderat verbessern. Es gibt für öffentliche Wi-Fi-Betreiber keine praktikable Möglichkeit, nicht informierte / unsichere Benutzer zu schützen. Selbst wenn Sie sich auf einem öffentlichen Wi-Fi befinden, das * 802.1X oder etwas anderes verwendet hat, sollten Sie sich trotzdem vor jemandem schützen, der Ihren Datenverkehr beschnüffelt das kabelgebundene LAN one springt vor. Spiff vor 8 Jahren 1
2
Tobu

WPA hat zumindest eine Form von Sitzungsschlüsseln. Unter der Annahme (ich bin nicht sicher, was WPA tatsächlich verwendet) werden die Sitzungsschlüssel mithilfe eines Protokolls wie Diffie-Hellman festgelegt . Sie sind anfangs sicher, auch wenn der PSK nicht verwendet wird. Mit der TKIP-Verschlüsselung können Sitzungsschlüssel schnell gebrochen werden, sodass jemand Pakete abfangen und einführen kann, ohne den vorinstallierten Schlüssel zu kennen.

Jemand, der sich mit der PSK auskennt, konnte jedoch nur einen Schurken-Zugangspunkt einrichten, einen Mann in der Mitte ausführen und seine eigenen Sitzungsschlüssel auswählen, was den Punkt irritiert. Ein aktiver Angreifer, der Ihre PSK kennt, kann die Verbindungsschicht steuern, Pakete abfangen und ändern.

Wenn Sie die PSK-Authentifizierung durch IEEE 802.1X ersetzen, die Zertifikate und eine PKI verwendet, können Sie darauf vertrauen, dass der AP anfangs der richtige ist. Ein MITM würde verlangen, dass der Angreifer die Clients und den Zugriffspunkt unterbricht, um seine privaten Zertifikate zu erhalten, anstatt nur den PSK zu erhalten. Das Protokoll scheint eine Schwäche zu haben, die es einem Angreifer ermöglicht, einen Mann in der Mitte nach der ersten Authentifizierung auszuführen. Ich weiß nicht, wie anwendbar dies für den drahtlosen Fall ist. Allerdings neigen Menschen dazu, Zertifikate blind anzunehmen, und nicht bei allen Zugangspunkten können Sie 802.1X konfigurieren.

0
Fred

Unverschlüsseltes WAP bedeutet, dass der gesamte Datenverkehr über die drahtlose Verbindung von jedermann gelesen werden kann.

Mit einem verschlüsselten WAP wird der gesamte Datenverkehr auf der Funkverbindung verschlüsselt. Jeder Benutzer mit Zugriff auf den WAN-Port des WAP kann den Datenverkehr jedoch auch ohne den Verschlüsselungsschlüssel lesen. Mit der WAP-Taste für WLAN können Sie den gesamten Datenverkehr der Funkverbindung ablesen.

Der sichere Weg, einen gemeinsam genutzten WLAN-Zugriffspunkt zu verwenden, ist die Verwendung einer Ende-zu-Ende-Verschlüsselung. Ihr Verkehr wird verschlüsselt, bevor er über die Funkverbindung gesendet wird, und er wird nicht entschlüsselt, bis er am Ziel ankommt. End-to-End-verschlüsselter Datenverkehr ist also selbst mit dem WAP-Schlüssel oder dem Zugriff auf den WAN-Port des WAP sicher.

Um eine Ende-zu-Ende-Verschlüsselung zu erhalten, wird häufig ein verschlüsseltes VPN verwendet. Der Datenverkehr mit dem VPN zwischen Ihrem Computer und dem VPN-Endpunkt ist verschlüsselt und somit sicher.

Eine Komplikation. Ein VPN kann eine Technik namens Split-Tunneling verwenden. Das bedeutet, dass Verkehr, der nicht für das Netzwerk auf der anderen Seite des VPN bestimmt ist, das VPN nicht verwendet. Datenverkehr, der das VPN nicht verwendet, wird vom VPN nicht verschlüsselt. Wenn Sie Split-Tunneling verwenden, wird der Datenverkehr, der nicht an das andere Ende des VPNs gerichtet ist, nicht durch das VPN geschützt.

-1 Die meisten Antworten beantworten die Frage nicht wirklich. Der Teil, der dies tut, nämlich "Mit dem WAP-Schlüssel für WLAN können Sie den gesamten Datenverkehr auf der Funkverbindung lesen." ist falsch (dies trifft für 802.1X-Authentifizierung nicht zu, siehe Antwort von Spiff). sleske vor 13 Jahren 2
Die Frage stellt sich, dass der Verschlüsselungsschlüssel bekannt ist ("Was ist mit anderen Personen, die den Schlüssel kennen und mit demselben Punkt verbunden sind?"). Da es bei WPA-Enterprise keinen einzigen Schlüssel gibt, ist es sinnvoll zu lesen, dass "andere Personen den paarweisen Übergangsschlüssel eines Ports kennen", und wenn Sie das PTK kennen, können Sie den Verkehr entschlüsseln. Fred vor 13 Jahren 1

Verwandte Probleme