一般的に話す
MACは簡単に偽装されます。
WEPは数分で解読されます。
WPA/WPA2実装は、すべてのルーターで安全ではありません。
IMO中間者攻撃はほとんど避けられません
主な問題は、802.11xの制御データが暗号化されないことです。
すべてのワイヤレス認証は暗号化されていない制御シーケンスの使用を開始する必要があるため、中間者攻撃に対して脆弱です。
さらに悪いことに、802.11xセッションは簡単に切断して再認証する必要があるため、中間者がセッションのいつでも表示される可能性があります。
クライアントにのみ向けられた無線ビームを使用することにより、侵入検知システムがこのトラフィックを傍受することは非常に困難になります。
ご心配なく
これに対する解決策は、このアクセスポイントまたはそのアクセスポイントで中間者について心配することをやめることです。
保護されているかどうかに関係なく、任意のアクセスポイントと接続するだけです。
どれも信用できないので、気にしないでください。
ソリューション
代わりに、中間者攻撃から安全なVPNソリューションを使用する*)。例えばMITMセーフ構成のSSHv2を使用し、それを使用してエンドポイントに接続します。
攻撃者は何ができますか?
攻撃者が心臓のコンテンツへのデータストリームを傍受できるのではなく、ラップトップで送受信しているデータ量(トラフィック分析)、これはまだ便利ですが、彼はとにかく無線トラフィックを静かに盗聴することでそれを行うことができます。
しかし、ラップトップを安全に保管してください
依然として攻撃者をラップトップから遠ざけ、VPN接続からのトラフィックのみを受け入れ、それ以外は何も受け入れないファイアウォールを採用する必要があります。安全なオペレーティングシステムを使用します。
このアプローチの利点
お使いのラップトップは企業インフラストラクチャの外でも使用できます。現実的には、その安全なシェルの内部にとどまることはほとんどなく、接続するすべてのアクセスポイントを保護することは夢のようなものです。
VPN接続を介して到達可能なWebサーバーとメールサーバーにプロキシサーバーを設定すると、あらゆる場所からラップトップを完全に安全に使用できます。
要約するには
WEPとWPA=外部の攻撃者は、ワイヤレスアクセスポイントを偽装する可能性があります。
WPA2では、使用される暗号化に関係なく認証済み攻撃者は、使用される暗号化スキームに関係なく、mitm攻撃を開始できます。これは、信頼できないラップトップ上の信頼できないインサイダーまたはマルウェアによって行われる可能性があります。
これについてD.W.正しく指摘した。
結論として、不正なAPに接続していないことを100%確認する方法はありません。
今、あなたはそのiPhoneについて心配する必要があるだけです.....
WPA2には、ホール196と呼ばれるミット攻撃ベクターがあります。以下を参照してください http://www.airtightnetworks.com/WPA2-Hole196
*)すべてのVPNソリューションがそうであるわけではなく、それらの多くには、他の点では安全なソリューションが依然として危険にさらされている構成がありますが、安全なオプションがあり、優れたシステム管理者がいる場合、正しく設定することは難しくありません。
接続したい場所に接続していることを「確認」する唯一の方法は、事前に信頼のルートを持つことです。対称鍵やAPの公開鍵などのAPと共有するものです(そして、公開鍵が属していることを信頼します)それ)またはいくつかの証明書を信頼します。この信頼のルートがある場合、APが秘密キーを知っているか、共有キーを使用できるという保証を提供できる場合、APを信頼する基礎を形成できます。
また、APがWPA/WPA2を使用する場合、相互認証が使用されるため、認証が成功または失敗するという事実から、それが正しいAPであると推測できます。
解決策は別の答えで暗示されていますが、明示的に述べられていません。これは現在、WPA/WPA2 Enterpriseを使用してのみ可能です。 EAP-TLSを使用すると、クライアントと認証サーバー(つまりRADIUS)の両方が証明書を介して認証されます。正しいAPに接続していることを確認するには、安全な相互認証が必要です。そうは言っても、この種の配備は企業外ではまれです。
これが私が提案するものです:
WPA2-PSKを使用するようにアクセスポイントを構成します。WPA2-PSKは長く強力なパスフレーズを使用します。これは、誰もが推測したり、ブルートフォースで破壊したりするのが非常に難しいパスフレーズです。 (WEPやWPAは使用しないでください。十分に安全ではありません。)パスフレーズを他の人に教えないでください。
そのパスフレーズを使用して、そのワイヤレスネットワークにのみ接続するようにコンピューターを構成します。自動接続を無効にするか、記憶されている他のすべてのワイヤレスネットワークを削除します。 (Windowsでは、[ネットワークと共有]のコントロールに移動することでそれを行うことができます。)接続が成功した場合、実際のアクセスポイントと通信していることは間違いないと思います。
これはほとんどの目的には十分に思えます。高度なセキュリティが必要な場合は、VPNを設定し、マシンからのすべてのネットワークトラフィックがVPNを介してトンネリングされるようにします。その場合、VPNがどのアクセスポイントを通過するかは問題ではありません。
私の一般的なアドバイスは、「安全な」WiFiアクセスポイントにのみ接続することです。これには、あなたとAPがPSKまたはその他の認証プロセスの知識を持っている必要があります。そうしないと、システムがAPに接続できなくなります。
さらに(そして明らかに)これには、イブがワイヤレストラフィックを簡単に傍受できないようにするという主な追加の利点があります。
ここにいくつかの緩和策があります
SSIDに基づいて接続しない
APのBSSIDを含めるように、多くのクライアントが記憶しているWiFiネットワークを構成できます。そうすることの利点は、デバイスが記憶されたネットワークのSSIDを検出した場合、デバイスの記憶されたネットワーク構成に保存されているBSSIDがない限り、接続を開始しないことです。欠点は、これがより多くの形式のWiFiローミングを停止させ、BSSIDが偽装される可能性があることです。これは、非常に単純な攻撃から保護する場合、または名前の衝突が発生したときにデバイスが接続を試行するのを防ぐ場合にのみ有効です(「linksys」、「holiday-inn」、「starbucks-wifi」など、覚えているネットワークに何かが存在する場合)。 )。
サーバー認証を使用
WPA2 Enterpriseでは、認証にRADIUSサーバーを使用するように802.1Xを構成できます。この場合、最初に行うべきことは、クライアントデバイスが確認のためにサーバーを認証していることを確認することです。信頼できるCAによって署名された証明書が含まれている場合。これの利点は、堅牢な検証手法であるため、掘り下げることは非常に難しいことです。欠点は、最初に接続を試行する必要があることです(つまり、APは少なくともデバイスの場合)、これには多くの設定が必要です。他の誰かのAPを検証しようとしていて、WPA2 Enterpriseを設定したくない場合、これはあなたの力ではないかもしれません。
インフラストラクチャを信頼しない
頼んでなかったけど、無料であげるよ。不正なAPに接続している場合でも、MitM攻撃から保護するために動作を調整します。 PIAのようなVPNプロバイダーを使用し、torを使用し、https-everywhereを使用し、クライアントのDNSを1.1.1.1のようなよく知られたプロバイダーにハードコーディングし、ブラウザーの終了時にすべての認証Cookieを削除します。しかし、これはまだ危険な見通しです。多くのアプリケーションがエンドポイントで堅牢なCA検証を実行できません。Windowsクライアントに攻撃があり、不正なAPを介して認証Cookieが公開される可能性があります。sslstripは、アグレッシブモードでhttps-everywhereを使用していない限り、サイトをリダイレクトします。 HSTSを使用して接続する(ほとんどは使用しない)、またはTorまたはVPNプロキシは、多くの場合、アプリケーションによって(通常は無害に)迂回されます。
ラップトップを使用している場合、LANレベルのMitMから身を守るための最良のオプションの1つは、Whonix(またはVPNゲートウェイ/ルーターとして機能するもの)を仮想化し、IOMMUを使用してWiFiカードをそのVMに渡すことです。次に、トラフィックをWhonixルーターにルーティングすると、すべてがTOR経由で送信されます。これにより、クライアントでのプロキシ回避が大幅に排除され、ネットワークカード/ハードウェアの攻撃対象領域が減少します。もちろん、欠点は、torプロキシ/ VPNエンドポイントの反対側のトラフィックもMitM攻撃に対して脆弱であることです(ただし、このような攻撃では、ISPとサービスプロバイダーの間でより高度な処理が必要になります)。この種の設定はQubes-OSが行うことですが、ほとんどのLinuxディストリビューションでは少しいじって管理することができます。これは、ほぼ確実に、AndroidまたはiOS。#NotForTheFaintOfHeart。
できませんし、あまり心配する必要はありません。
APがインターネット接続を提供する場合、それは他のインターネット接続と同じ疑惑と見なされるべきです。したがって、インターネットとアクセスポイントを介して送信される機密情報は、個別に認証および暗号化する必要があります。
- APが提供するものではなく、独自のDNSサーバーを使用する
- Webサイトに接続するときにhttpsのみを使用する
- または、信頼できるサーバーへのVPNトンネルを使用する
これは、過去に参加したセキュリティ会議でよく見られる問題です。特に1人はすべての代理人にAPのMACアドレスを提供しました。ルージュAPが機能しないようにするには、デバイスのARPテーブルに静的エントリを入力するようユーザーに指示しました。
接続前に決定することに関しては、Kismet/Kismacのようなものを使用してAPを識別できます。