Inzwischen wissen die meisten Leute, dass ein offenes Wi-Fi-Netzwerk es Menschen ermöglicht, Ihren Datenverkehr zu belauschen. Die standardmäßige WPA2-PSK-Verschlüsselung soll dies verhindern – ist aber nicht so narrensicher, wie Sie vielleicht denken.
Dies sind keine großen Eilmeldungen über eine neue Sicherheitslücke. Vielmehr wurde WPA2-PSK schon immer so implementiert. Aber es ist etwas, was die meisten Leute nicht wissen.
Offene Wi-Fi-Netzwerke vs. verschlüsselte Wi-Fi-Netzwerke
Sie sollten zu Hause kein offenes Wi-Fi-Netzwerk hosten, aber Sie können eines in der Öffentlichkeit verwenden – zum Beispiel in einem Café, auf der Durchreise durch einen Flughafen oder in einem Hotel. Offene Wi-Fi-Netzwerke haben keine Verschlüsselung, was bedeutet, dass alles, was über die Luft gesendet wird, „im Klartext“ ist. Personen können Ihre Surfaktivitäten überwachen, und alle Webaktivitäten, die nicht durch Verschlüsselung selbst gesichert sind, können ausspioniert werden. Ja, das gilt sogar, wenn Sie sich nach der Anmeldung im offenen WLAN-Netzwerk mit Benutzername und Passwort auf einer Webseite „anmelden“.
Verschlüsselung – wie die WPA2-PSK-Verschlüsselung, die wir Ihnen zu Hause empfehlen – behebt dies etwas. Jemand in der Nähe kann nicht einfach Ihren Verkehr erfassen und Sie ausspionieren. Sie erhalten eine Menge verschlüsselten Datenverkehrs. Dies bedeutet, dass ein verschlüsseltes Wi-Fi-Netzwerk Ihren privaten Datenverkehr davor schützt, ausgespäht zu werden.
Das ist irgendwie wahr – aber es gibt hier eine große Schwäche.
WPA2-PSK verwendet einen gemeinsamen Schlüssel
Das Problem mit WPA2-PSK ist, dass es einen „Pre-Shared Key“ verwendet. Dieser Schlüssel ist das Passwort oder die Passphrase, die Sie eingeben müssen, um eine Verbindung zum Wi-Fi-Netzwerk herzustellen. Jeder, der eine Verbindung herstellt, verwendet dieselbe Passphrase.
Es ist für jemanden recht einfach, diesen verschlüsselten Datenverkehr zu überwachen. Alles was sie brauchen ist:
- Die Passphrase: Jeder mit der Berechtigung, sich mit dem Wi-Fi-Netzwerk zu verbinden, hat dies.
- Der Verbandsverkehr für einen neuen Kunden: Wenn jemand die Pakete erfasst, die zwischen dem Router und einem Gerät gesendet werden, wenn es eine Verbindung herstellt, hat er alles, was er braucht, um den Datenverkehr zu entschlüsseln (vorausgesetzt, er hat natürlich auch die Passphrase). Es ist auch trivial, diesen Datenverkehr über „Deauth“-Angriffe zu erhalten, die ein Gerät gewaltsam von einem Wi_Fi-Netzwerk trennen und eine erneute Verbindung erzwingen, wodurch der Assoziationsprozess erneut stattfindet.
Wirklich, wir können nicht betonen, wie einfach das ist. Wireshark hat eine integrierte Option zum automatischen Entschlüsseln des WPA2-PSK-Datenverkehrs solange Sie über den Pre-Shared Key verfügen und den Datenverkehr für den Assoziationsprozess erfasst haben.
Was das eigentlich bedeutet
Das bedeutet tatsächlich, dass WPA2-PSK nicht viel sicherer gegen Abhören ist, wenn Sie nicht jedem im Netzwerk vertrauen. Zu Hause sollten Sie sicher sein, da Ihre WLAN-Passphrase ein Geheimnis ist.
Wenn Sie jedoch in ein Café gehen und dort WPA2-PSK anstelle eines offenen WLAN-Netzwerks verwenden, fühlen Sie sich in Ihrer Privatsphäre möglicherweise viel sicherer. Aber das sollten Sie nicht – jeder mit der Wi-Fi-Passphrase des Cafés könnte Ihren Browserverkehr überwachen. Andere Personen im Netzwerk oder einfach nur andere Personen mit der Passphrase könnten Ihren Datenverkehr ausspionieren, wenn sie wollten.
Berücksichtigen Sie dies unbedingt. WPA2-PSK verhindert das Ausspähen von Personen ohne Zugang zum Netzwerk. Sobald sie jedoch die Passphrase des Netzwerks haben, sind alle Wetten ausgeschlossen.
Warum versucht WPA2-PSK nicht, dies zu stoppen?
WPA2-PSK versucht dies tatsächlich durch die Verwendung eines „paarweisen transienten Schlüssels“ (PTK). Jeder drahtlose Client hat einen eindeutigen PTK. Dies hilft jedoch nicht viel, da der eindeutige Schlüssel pro Client immer vom Pre-Shared Key (der Wi-Fi-Passphrase) abgeleitet wird. Deshalb ist es trivial, den eindeutigen Schlüssel eines Clients zu erfassen, solange Sie über das WLAN verfügen. Fi-Passphrase und kann den über den Zuordnungsprozess gesendeten Datenverkehr erfassen.
WPA2-Enterprise löst dies… für große Netzwerke
Für große Organisationen, die sichere Wi-Fi-Netzwerke benötigen, kann diese Sicherheitslücke durch die Verwendung der EAP-Authentifizierung mit einem RADIUS-Server – manchmal auch als WPA2-Enterprise bezeichnet – vermieden werden. Mit diesem System erhält jeder Wi-Fi-Client einen wirklich einzigartigen Schlüssel. Kein Wi-Fi-Client verfügt über genügend Informationen, um einfach mit dem Ausspähen eines anderen Clients zu beginnen, sodass dies viel mehr Sicherheit bietet. Aus diesem Grund sollten große Firmenbüros oder Regierungsbehörden WPA2-Enteprise verwenden.
Aber dies ist für die überwiegende Mehrheit der Menschen – oder sogar die meisten Geeks – zu kompliziert und komplex, um sie zu Hause zu verwenden. Anstelle einer WLAN-Passphrase, die Sie auf Geräten, die Sie verbinden möchten, eingeben müssen, müssen Sie einen RADIUS-Server verwalten, der die Authentifizierung und Schlüsselverwaltung übernimmt. Dies ist für Heimanwender viel komplizierter einzurichten.
Tatsächlich ist es Ihre Zeit nicht einmal wert, wenn Sie jedem in Ihrem Wi-Fi-Netzwerk oder jedem mit Zugriff auf Ihre Wi-Fi-Passphrase vertrauen. Dies ist nur erforderlich, wenn Sie an einem öffentlichen Ort – Café, Flughafen, Hotel oder sogar einem größeren Büro – mit einem WPA2-PSK-verschlüsselten Wi-Fi-Netzwerk verbunden sind, wo auch andere Personen, denen Sie nicht vertrauen, über das WLAN verfügen. Passphrase des FI-Netzwerks.
Fällt also der Himmel? Nein natürlich nicht. Beachten Sie jedoch Folgendes: Wenn Sie mit einem WPA2-PSK-Netzwerk verbunden sind, können andere Personen mit Zugriff auf dieses Netzwerk leicht Ihren Datenverkehr ausspionieren. Ungeachtet dessen, was die meisten Leute glauben mögen, bietet diese Verschlüsselung keinen Schutz vor anderen Personen mit Zugriff auf das Netzwerk.
Wenn Sie auf sensible Websites in einem öffentlichen Wi-Fi-Netzwerk zugreifen müssen – insbesondere Websites, die keine HTTPS-Verschlüsselung verwenden – sollten Sie dies über ein VPN oder sogar einen SSH-Tunnel tun. Die WPA2-PSK-Verschlüsselung in öffentlichen Netzwerken ist nicht gut genug.
Bildnachweis: Cory Doctorow auf Flickr, Food Group auf Flickr, Robert Couse-Baker auf Flickr