私たちは公共で無料にしたいWiFiネットワークを持っています。
誰もが知っているパスワードを持っていると、パスワードなしでそのままにしておくのではなく、このネットワークを使用している人々に追加のセキュリティ上の利点がありますか?つまり、ハッカーは、パスワードを持たないWiFiネットワークでは、ハッカーが知っているパスワードを持っているネットワークよりも多くの損害を与えることができますか?
チャットでの@epelegとのいくつかの議論 の後、私はより完全で(願わくば)明確な答えを持っていると思います。
TL; DR:PSKによる暗号化によってWi-Fiネットワークに提供される保護は、PSKの複雑さに直接比例し、労力がかかりますそのPSKを保護します。どのような環境でも、セキュリティと使いやすさの間で慎重なバランスを取る必要があります。
最低のセキュリティ/最も使いやすい:暗号化なし。
最高のセキュリティ/最も使いやすさ: WPA2-AES、高複雑度PSK、MACアドレスフィルタリング、ワイヤレス侵入検知/防止システム。 PSKにアクセスしてMACフィルターに追加するには、ユーザーとデバイスの登録が必要です。
コミュニティへのサービスとして無料のWiFiを提供するつもりなら、バランスはおそらくこれらの間のどこかにあり、おそらく前者の解決策に傾くでしょう。しかし、あなたが努力を惜しまないのであれば、上記の後者のオプションでさえ非常に実行可能です。
それでも、「無料のWiFi」ネットワークを何らかの方法で保護しても、攻撃を完全に防ぐことはできません。
WiFi接続でのネットワークトラフィックの暗号化は、トラフィックをクリアテキストで送信するよりも常に安全です。不可能ではありませんが、WPA2で暗号化されたトラフィックを平文に変換することは、部外者にとって非常に困難で時間がかかります。ただし、ほとんどの暗号化されたSOHOおよび「無料WiFi」ネットワークは、暗号化メカニズムを保護するためにパスコードまたは事前共有キー(PSK)に依存する必要があります。
システムにパスワードを実装することによって提供される保護の量は、常にパスワードの複雑さとそのパスワードを保護するためにとられる努力に正比例して変化します。無線ネットワークも例外ではありません。
これが「無料WiFi」の状況にどのように関連するかを簡単に説明するために、いくつかの可能な構成シナリオとそれぞれの利点/欠点を示します。
シナリオ:ネットワークは完全に保護されていないままです。 APの範囲内であれば誰でも、無料のWiFiにアクセスして楽しむことができます。
利点:これは誰にとっても最も簡単で、管理上のオーバーヘッドはほとんど必要ありません。
欠点:これは、すべての中で最も脆弱なネットワークです。暗号化プロトコル(HTTPSなど)を使用しないすべてのトラフィックは、クリアテキストで送信されます。このネットワークは、非常に経験の浅い攻撃者でも利用できるように、盗聴、なりすましなどの操作が簡単です。
シナリオ:ネットワークは、認証と暗号化にWPA2を使用して、強力なPSKで保護されています。 SSIDとPSKを公開されている場所に投稿しました。
利点:ワイヤレスネットワーク上のデータは暗号化されており、PSKなしでは誰もデータを読み取ったり、ワイヤレスネットワークに接続したりすることはできません。このネットワークは、エンドユーザーが参加するのもかなり簡単で、管理オーバーヘッドはほとんどまたはまったく必要ありません。
欠点:この方法でPSKをパブリックにアクセスできるようにすると、ネットワークの範囲内の誰もがPSKを取得してホップすることは簡単になります。攻撃者はおそらくこの方法でそれほど抑止されません。
シナリオ:ネットワークは、認証と暗号化にWPA2を使用して、強力なPSKで保護されています。無料のWiFiサービスの広告を一般に公開されている場所に投稿しました。これには、潜在的なユーザーがパスワードを取得するための連絡先情報が含まれています。
利点:ワイヤレスネットワーク上のデータは暗号化されており、PSKなしでは誰もデータを読み取ったり、ワイヤレスネットワークに接続したりすることはできません。この方法を使用すると、すべてのユーザーとある程度個人的に連絡を取ることができます。これにより、ネットワーク上での匿名性の感覚が多少損なわれます。これは、PSKのために誰かに連絡するという問題に行くよりも、安全性の低いネットワークに移動しようとする一部の攻撃者を阻止するのに役立ちます。
欠点:ユーザーがログイン認証情報を提供できるように、電話または電子メールを介して、適切な時間内(広告にタイムフレームを含める)に誰かが対応できる必要があります。ユーザーは、PSKピアツーピアを渡すだけでこの対策を回避することもできます。
シナリオ:ネットワークは、認証と暗号化にWPA2を使用して、強力なPSKで保護されています。無料のWiFiサービスの広告を一般公開された場所に投稿しました。これには、潜在的なユーザーがアクセスをリクエストするための連絡先情報が含まれています。また、利用規定、登録ユーザーの連絡先情報、すべてのデバイスのMACアドレスを含むユーザーとデバイスの登録プロセスを実装しました。また、APにMACアドレスフィルタリングを実装し、ネットワークにモニタリング/ロギングサービスを実装しました。
利点:ワイヤレスネットワーク上のデータは暗号化されており、PSKなしでは誰もワイヤレスネットワーク上のデータを読み取ることができません。 PSK andに登録されたMACアドレスがなければ、誰もワイヤレスネットワークに接続できません。この方法を使用すると、ネットワークが不適切に使用されているかどうか、いつ誰が使用しているかを確認できます。また、不適切な使用が許容されないことをユーザーに通知し、そのような使用が発生した場合に法的責任を免除する可能性があることを示す合意も設定されています。プロセス、特に監視が使用されていることを言及するAUPの条項を読んだ場合。ユーザーは、PSKを渡すだけでは、デバイスの登録を簡単に回避できません。また、必要に応じて、ユーザーのMACアドレスの登録を解除したり、新しいPSKに変更したり(登録済みのユーザーの連絡先情報を介して配布したり)、ユーザーのアクセスを取り消すこともできます。
欠点:これらすべてのシナリオの中で、これには最も多くの管理作業が必要です。これには、完全なユーザー登録プロセス-個人情報の収集、デバイス情報の収集(方法がわからないユーザーの支援-ほとんどの場合は知らない)、書類のアーカイブ、および登録を実行するために、妥当な時間内に誰かが対応できる必要があります。ネットワークの新しいデバイス。完全に効果的であるためには、疑わしいアクティビティがないか定期的にログをチェックすること、および/または何らかの形のIDS/IPSがあることも必要です。 PSKを取得した攻撃者は、他の登録済みデバイスのMACアドレスを簡単に偽装して、デバイスフィルターをバイパスするか、ネットワーク上のそのデバイスのユーザーになりすますことができます。
すべてのシナリオで、覚えておくべきことがいくつかあります。
無条件の無料WiFiを提供することにより、alwaysは、どのような登録やPSK配布プロセスを実行しても、悪意のあるユーザーをネットワークに許可する可能性があります。
現在存在するすべてのPSKで保護されたWiFiシステム(WEP、WPA、WPA2)には、認証されたユーザーがネットワーク上の他のユーザーのトラフィックを、それが平文であるかのように盗聴できるようにする既知の攻撃ベクトルがあります。 (もちろん、トラフィックはHTTPSなどの他の方法で暗号化されていません。)
すべてのネットワーク機器の管理インターフェースが、配布するPSKとは異なる強力なデフォルト以外のパスワードで保護されていることを確認してください。
お住まいの地域の管轄区域によっては、WiFiネットワークを使用する人の行為に対して責任を負う場合があります。*
ISPとの契約では、インターネット接続を無差別に共有できない場合があります。
最後に、最後のクエリに対処するには:
ハッカーは、パスワードのないwifiネットワークでより多くの被害を与えることができますが、ハッカーが知っているパスワードのあるネットワークで行うことができますか?
無条件に無料のWiFiネットワークについて言えば、それはどれだけ攻撃者が実際に与えることができるダメージではないどれほど簡単彼はそれを行うことができます。上記の後者に明確に対処できれば幸いです。
* 私は弁護士ではありません。これは法律上の助言ではありません。
WiFiネットワークの潜在的なすべてのユーザーと定期的に連絡を取る場合は、パスワードを持つことは悪い考えではありません。この場合、ハッカーが保護されていないネットワークと保護されているネットワークを比較して、ハッカーがどれほど簡単にできるかという問題ではありません。
誰でも、設定した無料のメカニズムを介してパスワードを入手できる可能性がありますが、それでも、ドライブバイ攻撃に対する別の障壁および抑止力として機能します。 WPA2暗号化も適用することで、キーを持っている人でもクライアントのトラフィックを簡単に盗聴することができなくなります。 (これには既知の攻撃ベクトルがありますが、much簡単にトラフィックを盗聴するのが簡単です。)
補足として、WiFiルーターの管理インターフェイスも、配布するものとは異なる強力なパスワードで保護されていることを確認してください。そして、可能であれば、環境をセグメント化して、貴重な情報を持つシステムを無料のWiFiをホストしているネットワークから分離するようにしてください。
Isziに同意しません。
各ポイントは、ネットワークの使用が許可されているポイントと使用が許可されていないポイントが区別されている状況でのみ有効です。その述語がない場合、Isziはパスワードを使用する理由を提供しません。
無料のWiFiを提供したい場合-素晴らしい-しかし、起こり得る最悪の事態を考えてください。
これらの問題が存在することに注意してください無視共有パスワードを使用して、特定された個人の小さなグループへのアクセスを制限するかどうか、またはオープンアクセスを提供するかどうか-それ自体はパスワードを使用する理由ではありません。
Dd-wrtには、ワイヤレスノードが互いに通信するのを防ぐオプションがあります。トラフィックは、TabletPCからルーター、インターネットにのみ送信できます。したがって、承認された2つのワイヤレスノードでさえ、ファイルを直接共有することはできません。これにより、WLANは「ハブのような」よりも「スイッチのような」ものになります。スイッチが提供するイーサネット分離を無効にするARPテーブルまたはその他の方法をオーバーフローさせることにより、このWLAN分離がフラッディングの影響を受けてスイッチがHUBになるかどうかはわかりません。
このサイトの別の質問に対する別の投稿者は、AESを使用するWPA2-PSKはランダム化を追加できるため、すべてのユーザーが同じPSKを使用しても、他のユーザーのトラフィックの暗号化を解除できないようにする必要があると述べています。 http://wiki.wireshark.org/HowToDecrypt802.11 は、パケットキャプチャーがPSKを知っているときにWPA2-PSKが簡単に傍受されることを明確に示しているため、確認を求めています。
Hotspotとradiusでdd-wrtを設定しない場合、各ユーザーにLAN上の独自のパスフレーズを与えます。