web-dev-qa-db-ja.com

コーヒーショップがWPA / WPA2を使用しないのはなぜですか?もしそうなら、それは多くの問題を解決しますか?

それで、ホテル、コーヒーショップなどの場所でパブリックWiFiセキュリティーを調べています。現在の標準は、これらの場所の多くでオープンwi-fi接続を使用することだけです。これにはいくつかの理由があると思います。

  • 会社にとってシンプル-プロバイダーは基本的なネットワークセキュリティについて従業員をトレーニングする必要がなく、キーなどを実際に管理する必要はありません。ルーターを接続するだけです。これにより、会社のコストも削減されます。
  • ユーザーにとって便利-ユーザーは、セキュリティなどの些細なことを気にする必要はありません。彼らは、公共の場所でオンラインバンキングやショッピングにすぐにアクセスしたいだけです。
  • 無知-無料のWiFiを追加する人は、関連するセキュリティリスクをまったく知らないか、ユーザーにセキュリティの責任を捨てています。結局のところ、データ/お金/アイデンティティです。

それでは、最初の質問です。 あなたの経験では、ほとんどのコーヒーショップ、ホテル、空港は通常、オープンな接続を使用していますか、それとも保護されたネットワークが今ではより一般的になっていますか?

ほとんどが保護されていない場合は、上記の理由以外に、これ以外の理由がありますか?

2番目の質問、オープンネットワークのあるコーヒーショップを想定すると、すべてのトラフィックは非常に簡単に盗聴できます。 ここで、施設はWPA2/AESで保護されたネットワークにアップグレードします。ネットワークは本当に安全ですか?

確かに攻撃者はもはや通りからネットワークを簡単に盗聴することはできませんが、侵入してコーヒーを購入し、現在の鍵を入手するのはどれほど難しいですか。キーが毎日変更され、繰り返しが使用されることはなく、解読に数か月かかるほど複雑であると仮定しても、攻撃者はコーヒーを購入してネットワークに接続することができますか?または、ソーシャルエンジニアリングを通じてキーを取得することも、単に友人にコーヒーとキーを取得することもできます。

WEP、WPA2などはすべて、(ユーザーではなく)ネットワークレベルの粒度で暗号化を行うことを理解しています。つまり誰かがキーを持っている場合、ネットワーク上のすべてのトラフィックを復号化できるため、攻撃者がすべてのトラフィックをオープンネットワークであるかのように読み取ることができ、キーを取得するのは簡単であることが証明されています。 。 これを念頭に置いて、ロック解除された暗号化ネットワークはオープンネットワークと同等ですか?WPA2で保護されたネットワークでハッカーはどのような攻撃を行うことができますか?中間者攻撃を簡単に実行できますか?オープンネットワークのように?オープンネットワークで、同じ暗号化規格でアドバタイズされたSSIDとキーを使用して不正なAPを作成することはできますか?

この長い投稿をお読みいただきありがとうございます。また、私の3つの質問のいずれかに対する回答に感謝いたします。

20
dahui

コメントを続ける代わりに、私はあなたの本当の質問に答えるつもりだと思います。私は理解しています-パブリックSSIDとパスフレーズでWPA/WPA2 Personalを使用するのは、オープンネットワークよりも安全ではなく、なぜそうしないのですか。 WPA/WPA2 Enterpriseはコーヒーショップのシナリオで機能します。

パスフレーズが(このシナリオのように)パブリックであり、WPA/WPA2パーソナルが使用されている場合、パスフレーズとSSID名を持つユーザーは、最初の4ウェイハンドシェイクをキャプチャできる限り、他のユーザーのワイヤレストラフィックを解読できます。そのクライアント用(ネットワークに接続するときに発生します)。誰かが将来のトラフィックを復号化したいが、クライアントの初期の4ウェイハンドシェイクを監視しなかった場合、ターゲットの認証解除を使用して、そのクライアントとAPの間で新しいハンドシェイクを強制するだけで、その時点で新しい4をキャプチャできます。双方向のハンドシェイクと将来のトラフィックのすべての復号化。もちろん、攻撃を受けているクライアントがVPN、SSHトンネル、TLS、またはその他の強力な暗号化メカニズムをワイヤレスで使用する場合、そのトラフィックは、選択したメカニズムが許可する範囲で保護されます。

それらのトラフィックを復号化できる理由は、WPA/WPA2パーソナルが、ログイン時に使用されるパスフレーズとSSIDからペアワイズマスターキーを作成するためです。PMKは、ペアワイズ一時キーとグループワイズ一時キーを作成するために使用され、PTKは一意ですクライアントごとに、現在接続されているすべてのクライアントでGTKが共有されます(ブロードキャストトラフィック用)。このPTKは、4ウェイハンドシェイク(プレーンテキストでネゴシエートされる)からの情報を使用してPMKから導出できます。したがって、4ウェイハンドシェイクをスニッフィングできれば、パスフレーズとSSIDがわかっているため(通常はPBKDF2(Passphrase、SSID、ssidlen 、4096、256))。

資格情報(EAP-PEAP)、証明書(EAP-TLS)、その他(さまざまな他のEAPモード)を問わず、誰もが認証方法を必要とし、これはコーヒーショップの目標をサポートしないため、WPAエンタープライズはうまく機能しません。近くの個人に無料の無線アクセスを提供することの。

44
JZeolla

より大きな質問がありません:なぜですか?

  1. 暗号化により、コーヒーショップのコストが大幅に増加します。誰かがアクセスポイントを構成し、パスワードを割り当て、管理し、変更し、「今週のパスワードはC0ffeebuck $です」と書かれたサインを掲示する必要がある場合、わずかな1回限りのコストが発生します。継続的に高い給与コストも発生します。バリスタはコーヒーを作るために支払われ、ネットワーク技術サポートのために支払われることはありませんが、それでも彼らはより多くのコーヒーを販売する代わりにイライラした顧客からの技術サポート質問に答える時間を費やすことを余儀なくされます。

  2. それはコーヒーショップにとって価値のあるものを何も保護しません。これは、自分のコンピュータ、レジスタ、企業ネットワークへのアクセスを可能にするコーヒーショップのプライベートネットワークではありません。これは、内部ネットワークから分離された独立したネットワークです。顧客に接続を許可すると、暗号化されているかどうかに関係なく、トラフィックを信頼できなくなります。 「ネットワークアクセス」が販売促進の価値があると店が考えるならば、それはWiFi信号伝播の物理的な制限によってすでにいくらか保護されており、信号は約100メートル以上離れた人には使用できません。また、顧客がコーヒーを購入してアクセスを取得すると、WPA2に固有のメカニズムはありません。人々がアクセスを悪用するのを防ぐために、ショップは1時間ごとまたは毎日ベースでパスワードを変更する余裕がありますか?上記の#1を参照してください。

  3. それは顧客に重要な保護を提供しません。誰かがCoffeebucksの実際のネットワークに接続していることをどうやって知るのでしょうか?ネットワークの名前がCoffeebucksであるためですか?コンピュータに他の種類の信頼関係がない場合、暗号化はアクセスポイントの認証の問題を解決しません。コストに戻ると、RADIUSサーバーを介して顧客のコンピューター認証を許可するには、コーヒーショップにいくらかかりますか?

  4. 顧客がアクセスポイントへの接続を完全に信頼できるとしても、他の顧客と共有されているセグメント上にいるため、基本的にインターネットのパブリック側にいます。暗号化されていないデータを送信して、保護されていない状態でインターネット上を流れることを信頼してはなりません。自宅からバンキングを行うためにhttpまたはhttpsを使用していますか? WPA2があるのに、なぜhttpsを主張するのですか?コンピューターとアクセスポイント間の単一のホップだけでなく、旅行全体にわたってデータを保護する必要があるためです。

17
John Deters

私のコンテキストでは、アジア太平洋地域はセキュアWPA/WPA2と非セキュアの間で約50-5です。もしあなたがwigle.netを見てなら正確にわかるかもしれませんが、実際のコーヒーショップでは、商業目的だけでなく、かなりのフィルタリングなどを行う必要があるため、多くの作業が必要です。またはパーソナルネットワーク、しかし良い全体像が得られますとにかく。

スニッフィングを行うハッカーの場合または中間者攻撃(MitM)、安全なネットワークにははるかに大きな障害-パスワード。接続されている人の数が減るため、これは純粋にスニッフィングの効果を低下させます。したがって、スニッフィング可能なネットワークを介してトラフィックを積極的に押したり引いたりする被害者は、いつでも少なくなります。サイレントネットワークは、スニッフィング攻撃者にとって退屈なネットワークです。

攻撃者がパスワードを要求したり、ハッキングしたりすると、セキュリティで保護されていないオープンなネットワークと同じように、盗聴することができます。 ここでの重要なポイントは、ネットワークに接続していない限り、未加工のhttpを盗聴できないことです-少なくとも従来のハッキングツールとハードウェアでは、誰かがコーヒーショップを悪用する可能性が最も高い方法です。シナリオ。

簡単に言えば、セキュリティ保護されているものと保護されていないものは、パスワードのためだけにパケットスニファでは異なります。攻撃者がどちらかのネットワーク内に入ると、実際のスニッフィングは実質的に同じです。

ただし、より多くのターゲットが接続される可能性が高いため、攻撃者は純粋に保護されていないネットワークを好む可能性があります。もちろん、彼らは特定のターゲットを念頭に置いています。 WPA-2パスワードの背後にいる誰かが、はるかにプライベートまたは価値のあるコンテンツにアクセスし、通信し、送信することがより快適になると思います。ただし、そのネットワークに3人しかいない場合で、クレジットカードなどを使用している場合は、3枚のカードしか取得できません。都市の真ん中にあるオープンネットワークには、他のサイトやアプリに無線で取引をしたり、パスワードを提供したりする可能性のある新しい顧客が無限にあります。

いくつかのカフェは、ほとんどの場合、事実上スニッフィングプラットフォームであるミドルウェアに置くようなことをしています。彼らは、トラフィックをホワイトリスト/ブラックリストに登録し、ログを取り、ランディングページへのDNSリダイレクトを行います。彼らが望むものは何でも、それは彼らのネットワークです。これらの設定によっては、各ユーザーに分離された接続を提供することにより、ネットワーク全体でランダムに他の人がスニッフィング攻撃を行うのを防ぐことができます。しかし、私はこれらを野生でめったに見たことがない。典型的なネットワークは完全に盗聴できます。スマートフォンのネットワークアナライザーアプリを使用して、スニファ可能なネットワークに接続しているかどうかを確認できます。ランダムなIPのポップアップが表示される場合は、孤立しておらず、あなたと他のすべての人がMitM攻撃に対して脆弱です。

例外は、暗号化されたチャネルを使用しているか、トラフィックにhttps接続を強制しているユーザーです。これらはにおいが少ないです。ただし、VPNやTorのようなものは比較的安全であり、これらの攻撃に対する一般的な保護ですhttpsも完全に安全ではありません。攻撃はsslstripを使用してリクエストをプレーンテキストのhttpにダウングレードし、独自のcertificates一部のサイト。あるいは、すべてのhttpsトラフィックをDOSし、暗号化されたトラフィックの使用をやめることを強制できます。これは、次のような安全なトラフィックのみをサポートするサイトを除くほとんどのサイトで機能します。銀行

身を守るためのもの(完全なリストではありません)

  • 評判の良いプライベートVPN($)またはTOR(無料)を使用します。
  • 電子メールを使用する場合は、PGPまたはその他の安全な接続を使用してください。
  • ウェブサイトを更新したり、ファイルを移動したりする場合は、FTPではなくSFTPまたはSSHを使用してください。
  • コンピュータに強力なパスワードがないと、ネットワークに接続しないでください
  • ファイアウォール、侵入検知、ウイルス対策がインストールされている場合、ほとんどの企業は完全なソフトウェアで寛大な無料期間を提供しています。ノートンは現時点で30日間を与えていると思います。
  • 可能であれば、接続時に個人のログインを使用しないでください。代わりにlive-cdまたはusbを起動します。これにより、盗聴可能なWebトラフィック以上のものを必要とするネットワークベースの攻撃への露出が最小限に抑えられます。これらの攻撃者は永続的なリモート接続の後にいますお使いのコンピュータに。

ただし、技術的になりすぎずにできる最も簡単で安全な方法は、これらすべての状況で、携帯電話の3Gまたは4G(2Gではない)のデータ接続を、個人的なホットスポットとしてではなく、ケーブル経由で使用することです。これは、無作為の信頼できないwifiアクセスポイントではなく、セルタワーに接続しているためです。もちろん、傍受される可能性もあります。政府はIMSIキャッチャーを非常に楽しんでいますが、これらのテクノロジーはあまり一般的ではなく、日常のハッカーが簡単に利用できず、通常のWi-Fiネットワークを盗聴するのに必要な技術よりも隠すのが難しいだけです。 (Raspberry Piは何でも隠すことができます)また、攻撃者はどのラップトップでもこれを行うことができますAndroidおよびジェイルブレイクされたiPhoneでも。wifiパイナップル(google it)が表示された場合は、間違いなくWi-Fiを避けてください!笑

安全に遊ぶ:)

6
catsquid

無料のWiFiを提供しているほとんどの場所はセキュリティを気にしないだけでなく、顧客ができるだけ簡単に接続できるようにしたいと考えています。このようなオープンWiFiのユーザーは、概してセキュリティも気にしないので、その考え方を変えるようにとのプレッシャーはあまりありません。

ただし、このようなネットワークをセキュリティで保護することは、他の人が示唆しているほど難しくはありません。

my cafeの場合、私は次のようにします。

まず、APで「AP分離モード」が有効になっていることを確認します。これにより、関連するエンドポイントが他のエンドポイントとの間のトラフィックに簡単にアクセスできないため、ほとんどのネットワークベースの攻撃を防ぐことができます。 (無線攻撃は実行が困難です)

ランダムな文字列を使用するか、動的データのハッシュを取得し、A)RADIUS APに接続されたサーバーとB)に渡すPOSシステムの拡張機能を開発します。領収書に印刷してください。これは、顧客のダイナミックアクセスキーとWPAパスフレーズです。(2番目の利点は、これがフリーローダーに終止符を打つことです:購入なし=アクセスなし。アクセスがタイムアウトになるように設定します。時間(2時間など)。

RADIUSサーバーへの動的接続が複雑すぎる場合は、その日のランダムキーのリストを生成し、毎朝それをPOSシステムにアップロードするだけです)

オプションで、SSLキャプティブポータルを2番目のレイヤーとして使用します。これは、入力されたキーを、たとえば領収書などの他の検証可能な動的データとクロスチェックします。

唯一の未回答の質問は、実際のAPになりすましてパスフレーズを収集する不正なAPをどのように回避するかです。ただし、交換されるのはすべてハッシュであるため、鍵交換は脆弱ではないと思います。

3
PhilK

商用プロバイダー、ホットスポット、および大規模組織の場合、推奨されるソリューションは、多くの場合、オープンで暗号化されていないが完全に分離されたワイヤレスネットワークを持つことです。ユーザーは、最初はインターネットにもローカルネットワークリソースにもアクセスできません。商用プロバイダーは通常、すべてのWebトラフィックをキャプティブポータルに転送し、支払いや承認を提供します。別の解決策は、VPNを使用して特権ネットワークに安全に接続することをユーザーに要求することです。

差出人: http://en.wikipedia.org/wiki/Wireless_security#RF_shielding

本当に分離されたネットワークを使用することはできませんでした。おそらく私はそれを間違って行っているのかもしれません。おそらく私のハードウェアかもしれません。また、ネットワーキングの分野で認定を受けているわけでも、専門家でもありません。だから私は完全に間違っている可能性があります。

あなたの経験では、ほとんどのコーヒーショップ、ホテル、空港は通常、オープンな接続を使用していますか、それとも現在、保護されたネットワークがより一般的になっていますか?

ある場所に行ってワイヤレスアクセスポイントを目にするときはいつでも、その種類が何であるかを常に確認しています。通常は、ISPが顧客のホットスポットとしてCisco Aironetの天井/壁に取り付けられたデバイスをセットアップします。私が見たアクセスポイントのほとんどは開いています。

2番目の質問、オープンネットワークのあるコーヒーショップを想定すると、すべてのトラフィックは非常に簡単に盗聴できます。次に、施設がWPA2/AESで保護されたネットワークにアップグレードするところを想像してください。ネットワークは本当により安全ですか?

接続されたユーザーごとにWiFi接続を暗号化する 」という質問の回答を紹介します。

その答えを要約すると(読んだ後にQとAに賛成投票してください)、いいえ。人がする必要があるのは、歩いてビスケット(コーヒーより安い)を購入することだけです。ユーザーがキーを持っていると、彼らは世界で最も親しみやすい犬のように嗅ぐことができます。

では、これを念頭に置いて、ロック解除された暗号化ネットワークはオープンネットワークと同等ですか? WPA2で保護されたネットワークでハッカーはどのような攻撃を行うことができますか?

キーを配布している場合は、定常攻撃または標的型攻撃の場合も同様です。ワイヤレスネットワークを暗号化すると、高速の戦争ドライバーがアクセスできなくなるだけです(最近はだれがアクセスしているのですか?)。

オープンネットワークと同じくらい簡単に中間者攻撃を行うことができますか?オープンネットワークで、同じ暗号化規格でアドバタイズされたSSIDとキーを使用して不正なAPを作成することはできますか?

私は答えが大きなイエスだと思います。

ネットワークで発生する可能性のある攻撃は、おそらくアクセスポイントのハードウェアによって異なります。一部のAPには、基本的な一般的な攻撃の一部を防止しようとするワイヤレス侵入防止システムが搭載されています。

しかし、どうすれば安全を保つことができますか?

ある人が別の人に与えることができる最高の贈り物はエンドツーエンドの暗号化だと誰かがかつて言ったと思います。

SSHトンネルやVPNなどの追加の予防策を使用するかどうかは、基本的にクライアント次第です。アクセスが必要な場合は、セキュリティで保護されたエンドポイントも必要となるため、ほとんどのパーソナルコンピュータユーザーにとって非現実的です。

3

WPA2/AESを使用している場合でも、誰かがパスワードを見ることができます。それが不可能な場合は、簡単な方法を次に示します。

  1. 毎日やって来る人を見てください。
  2. それらのためにいくつかのバックドアまたはルートキットを入手してください。スキルが必要ですが、同じネットワーク/ファイル共有にあるものはすべてハッキングされる可能性があります。
  3. 入って、インターネットに接続して、鍵を入手してください。

それと同じくらい簡単です。したがって、セキュリティホールはありませんが、WPA-Enterpriseをパケットフィルター(他の言語ではcensor(ware)s)と共に使用し、セキュリティホールはなく(これは決して不可能です)、無料のオンライン(Webベース)を提供する以外は役に立ちませんファイアウォールとルートキット+バックドア+ RAT(など)のリムーバー。

安全は単なる幻想です。マシンが実行できる限り、ハッキングされる可能性があります(ネットワーク上にない場合は、ハードウェアによって)。

2
Jatin Nagpal