it-swarm-id.com

Apakah koneksi WPA2 dengan kunci bersama aman?

Ini adalah sesuatu yang telah mengganggu saya selama beberapa waktu: ketika saya memiliki jalur akses wifi dengan enkripsi WPA2 dan saya memberikan kuncinya, seberapa aman koneksinya? Dengan WEP Anda dapat dengan mudah mendekripsi semua paket menggunakan kunci yang sama, tetapi dengan WPA2 saya tidak yakin. Apakah semua koneksi individu masih aman?

Jadi, pertanyaan ini bukan tentang mengakses jaringan, tetapi tentang menguping koneksi wifi individu dalam jaringan.

42

Siapa pun yang menyaksikan proses asosiasi klien baru dapat menguping koneksi mereka.

Karena reassociations dapat dipaksakan oleh Host jahat yang mengirimkan paket disassociation palsu atas nama target, praktis selalu mungkin untuk mendengarkan pada semua koneksi pada jaringan WPA (2) dengan kunci preshared.

Anda bahkan dapat mencobanya sendiri di Wireshark: Ada opsi bawaan untuk mendekripsi semua transmisi dalam pengaturan 802.11; selama Anda tahu PSK dan otentikasi awal terkandung dalam lalu lintas yang direkam, Wireshark mendekripsinya secara otomatis untuk Anda.

Perbedaan antara WEP dan WPA adalah bahwa ada kunci berpasangan yang berbeda (disebut kunci transien berpasangan) untuk setiap klien, tetapi karena kunci ini selalu berasal langsung dari PSK, ia tidak benar-benar menambahkan keamanan sama sekali. Jika Anda menginginkan keamanan semacam itu, Anda harus menggunakan EAP dan server RADIUS (kadang-kadang disebut "perusahaan WPA), di mana PMK berbeda untuk setiap klien .

34
lxgr

Untuk mendekripsi koneksi yang ditangkap menggunakan WPA2, Anda harus:

  • Ketahui kunci master bersama.
  • Saksikan upaya sinkronisasi/asosiasi terakhir klien target sebelum data yang Anda lihat.

WPA2 menggunakan metode derivasi kunci berdasarkan PSK bersama seperti yang dijelaskan dalam RFC 4764 dan pertanyaan spesifik Anda disebutkan sebagai jebakan di bagian 8.1 .

Secara efektif, Anda terlindungi dari orang-orang yang tidak tahu kunci yang dibagikan (mis. Tetangga Anda) kecuali sangat lemah. Di antara mereka yang tahu kunci bersama, mengendus hanya sedikit lebih kompleks daripada dengan lalu lintas yang tidak ter-enkripsi.

Jadi, "aman" adalah relatif terhadap apa yang Anda coba lindungi. Jika Anda khawatir tentang pengguna lain yang mengetahui kata sandi mengendus lalu lintas Anda, maka kunci yang dibagikan sebelumnya tidak cukup untuk Anda.

13
Jeff Ferland

Agar lebih jelas, semua orang yang TAHU KUNCI dapat mendekripsi data. Mereka yang tidak tahu kunci bersama tidak bisa.

Namun, mereka yang tidak tahu kunci masih dapat mengatur titik akses palsu.

Satu-satunya cara yang benar-benar "aman" adalah menyiapkan server RADIUS yang memberikan kata sandi unik untuk setiap pengguna, dan yang memungkinkan Anda untuk meletakkan sertifikat di mesin klien (notebook, iPad, dll. ) yang mengautentikasi titik akses WiFi. Jika Anda melakukan itu, tidak ada (belum) yang tahu bagaimana melakukan apa pun untuk meretas Anda.

2

jika kuncinya sama untuk semua orang di jaringan, siapa pun dapat mendekripsi dan menganalisis lalu lintas siapa pun.

0
Kedare