web-dev-qa-db-ja.com

非SSL接続は、パスワード保護されたローカルワイヤレスネットワークで安全です

簡単に言うと、いくつかのIoTデバイスがWPA2パスワードに接続され、MACフィルタリングで保護されたホットスポットに接続しているプロジェクトに取り組んでいます。TLSを使用していないため、このネットワークの通信が漏洩することはありますか?

私のIoTデバイスのリソースは本当に限られており、TLSを実装するとそれらの多くを占有するため、TLSを使用したくありません。したがって、WPA2パスワード保護とMACアドレスフィルタリングを使用してプライベートWiFiネットワークを作成し、許可したデバイスのみが接続されるようにすることができます。私の心の中で唯一の質問は、このネットワークを介して送信された情報が盗まれる可能性があるということです。 パスワード保護は、外部デバイスがネットワークに参加するのを停止するだけですか、それともデータを暗号化しますか?

PS:私のプライベートWiFiネットワークにはインターネット接続がありません。それは単なるアクセスポイント+ IoTデバイスです。

Wi-fi経由で送信されるメッセージはセッションキーで暗号化されますが、事前共有キーをすでに知っているデバイスはトラフィックを解読できます。 WPAはForward Secrecyを実装していないため、事前共有キーを所有することで、誰でも上位OSI層プロトコル(TLSなど)で暗号化されていないすべてのトラフィックを復号化できます。

したがって、機密データを転送する場合は、TLSなどの外部データ保護メカニズムを使用する必要があります。

25
Crypt32

したがって、ネットワークから何かを抽出するために必要なのは、すべてのデバイスに保存されている単一のネットワークキーだけです... IoTデバイスの傍受と操作が非常に簡単になります。エンドツーエンド構成でTLSを使用する方が適切です。

しかし、WiFiに関する質問に答えるために、エンドポイントとの接続にはある程度の暗号化が行われます。ほとんどの種類のドライブバイ虐待を防ぐのに十分です。決定した個人があなたの通信を解読するのを防ぐには十分ではありません。暗号化の強度は、チャネルの暗号化に使用されるキーの長さに依存します(したがって、パスワードが長いほど、保護されたチャネルがより適切になります)

MACフィルタリングは、ほとんど接続しないネットワークでのみ役立ちます(ネットワーク内のメッセージはデバイスからMACをリークするため)。

ほとんどの場合、TLSチップまたはソフトウェアモジュールを組み込むために必要な数ドルを投資する方が適切です。 例として、IoTメーカーを対象とするこのサイトをチェックアウトできます

したがって、結論として、WiFiは暗号化を採用していますが、データの整合性や不正行為に依存するだけでは十分ではありません。ほとんどの場合、ソリューションにはセキュリティのためにTLSコンポーネントが必要です。

8
LvB

患者のデータが関係する場合、HIPAA/HITECH(米国では他の場所で同様の法律)により、移動中のデータを暗号化する必要があります。 WiFiは信号を暗号化するので、あなたはカバーされると合理的に主張することができます。

個人的に展開の評価を行っている場合、データはネットワークのWiFiセグメントを介してのみ暗号化されていると主張しますが、これは十分な保護ではありません。データが非Wi-Fiネットワークセグメントを介してルーティングされるのを妨げるものは何もないため、あなたはWiFi暗号化のみに依存する必要はありません。 TLSが確実に機能している間に、WiFi暗号化を無効にする(または無効にする)こともできます。

他の人が言ったように、ネットワークへのアクセスを取得することで、許可されていないクライアントがキャプチャされるべき他の暗号化されていないトラフィックを見ることができるようになります。 TLSを使用すると、この攻撃経路が禁止されます。

「WiFiは暗号化されているので問題ない」という主張に基づいて訴訟を勝ち取ることができるかもしれませんが、暗号化をWiFiのみに依存するソリューションにお金を払ったり、クライアントがそのようなものを使用することは決して許可しませんテクノロジーも。

2