¿Qué cifra realmente WPA / WPA2?

10

Tengo WPA2-personal en mi computadora portátil y estoy conectado de forma inalámbrica al AP de mi hogar. El tráfico que capturo de Wireshark no está encriptado.

Hace unos días tenía mi enrutador en WPA-personal e hice un ataque MITM en mi teléfono inteligente y el tráfico también estaba sin cifrar.

¿No se supone que WPA encripta el tráfico y no solo pide una contraseña para ingresar a la red?

Edición de recompensas:

Me gustaría saber un poco más sobre este asunto. ¿Cuál es la diferencia clave entre WPA2-PSK (TKIP), WPA2-PSK (AES) y WPA2-PSK (TKIP / AES) en este asunto? Sé que todas son opciones diferentes y si elijo la opción incorrecta y tendré una red más lenta y menos segura. ¿Cuáles son las diferencias en los cifrados para capturar el tráfico y cuál es la mejor solución para la red doméstica / laboral? Gracias.

Josip Ivic
fuente
¿Dónde capturó exactamente el tráfico porque los paquetes encriptados son para el escenario del hombre en el medio? para detectar el tráfico, debe usar un dispositivo con capacidad de
detección
WPA en efecto cifra los datos. Pero realizaste un ataque contra él. No estoy seguro de entender su confusión por qué se descifró el tráfico, al realizar el ataque, pudo hacerlo.
Ramhound
Agregue algunos detalles sobre la configuración de MITM. Es extraño que Wireshark pueda ver ese tráfico, a menos que realmente le hayas dado a Wireshark los secretos ...
Arjan
Luego edite su pregunta, si no invalida las respuestas existentes. (El mensaje de recompensa desaparecerá en 7 días.)
Arjan
He editado la pregunta
Josip Ivic

Respuestas:

12

WPA (y WPA2) cifra el tráfico por debajo del nivel que capturan Wireshark o herramientas similares. Esas herramientas capturan en la interfaz de socket del sistema operativo, no en el nivel de los medios de red reales. Cuando envía un paquete a través de WiFi protegido por WPA, el cifrado WPA no se agrega hasta el último momento antes de que se transmitan los datos.

Todavía podría haber otro cifrado; por ejemplo, podría aplicar el cifrado PGP a un correo electrónico y enviarlo al servidor SMTP a través de TLS, que serían dos niveles de cifrado ... pero esos niveles serían visibles para (y, de hecho, creados por) la aplicación (como mi cliente de correo electrónico). Alguien que detecte ese tráfico aún podrá ver cosas como qué protocolo está usando (TCP, además de IP), de qué puerto proviene y hacia dónde se dirige, la dirección IP de destino, etc.

Sin embargo, una vez que el paquete llega al controlador de la interfaz WiFi, se encripta con la clave AES que mi máquina está usando para WPA. En ese punto, las únicas cosas visibles son el SSID de red que estoy usando (creo que las direcciones MAC de origen y de destino también pueden ser visibles) y una vaga idea del tamaño. Alguien sin la clave WiFi que olfatea el tráfico de la red usando una radio definida por software o una tarjeta WiFi en modo promiscuo no podría notar la diferencia entre mi correo electrónico y yo enviando un ping de red o chateando en Skype; ni siquiera podrían saber a dónde iban los paquetes más allá del punto de acceso WiFi.

CBHacking
fuente
Tenga en cuenta que Wireshark puede capturar los paquetes cifrados en modo monitor , si el controlador lo admite.
user1686
También tenga en cuenta que Wireshark puede capturar paquetes cifrados para otros clientes cuando la tarjeta de red está en modo promiscuo . Pero luego Wireshark debe configurarse con los secretos precompartidos WEP o WPA / WPA2 para poder rastrear los apretones de manos y descifrar los mensajes.
Arjan
¿Solo el SSID / estación MAC? ¿O también su dispositivo de transmisión MAC?
Conrad Meyer
3

Lo que hace WPA-Personal (también conocido como WPA-PSK) es encriptar los paquetes que salen al aire, para que las personas que no están conectadas a esta red no puedan leer sus mensajes (y WEP hizo lo mismo a este respecto, por el manera, simplemente lo hizo de una manera diferente, que sufrió un grave agujero). Además, intenta dificultar / imposibilitar la conexión a la red sin conocer la contraseña secreta.

Sin este cifrado (por ejemplo, en redes abiertas), cualquiera puede leer todos los paquetes que se intercambian, sin siquiera estar "conectado" a la red: solo necesita estar lo suficientemente cerca como para "escuchar" la señal.

Si piensa en un idioma extranjero como un tipo de cifrado, WPA es un poco como la situación en la que todas las máquinas conectadas a esta red WPA hablan su propio idioma, que solo el AP también entiende. Por lo tanto, las máquinas que no están conectadas a la red no pueden entender nada (excepto ser testigos de que se está produciendo alguna comunicación entre las máquinas y el AP) y las que están conectadas a esta red solo pueden comunicarse entre sí mediante la comunicación a través del AP.

Stefan
fuente
Ahora que está escrito de una manera que incluso podría explicarlo a un novato total. +1
Hennes
1
Excepto que está casi completamente equivocado.
qasdfdsaq
@qasdfdsaq: Por favor, ilumínanos.
Stefan
Bien, veamos. El cifrado no tiene nada que ver con las personas que están "conectadas a esta red". Poder leer sus mensajes no tiene nada que ver con las personas que están "conectadas a esta red". El cifrado no tiene nada que ver con las personas que pueden o no pueden "conectarse a esta red". WPA no lo hace como "todas las máquinas conectadas a esta red hablan el mismo idioma". Las máquinas conectadas a esta red no pueden "atacarse entre sí y ver todos los paquetes enviados por otros".
qasdfdsaq
2
Cada cliente que se conecta genera una clave aleatoria derivada del PSK y datos generados aleatoriamente. en.wikipedia.org/wiki/IEEE_802.11i-2004#The_four-way_handshake La comunicación de cliente a cliente no existe en una red de Infraestructura, todo debe ir a través del AP.
qasdfdsaq
2

¿Cuál es la diferencia clave entre WPA2-PSK (TKIP), WPA2-PSK (AES) y WPA2-PSK (TKIP / AES)

2 segundos de búsqueda en Google :

TKIP y AES son dos tipos diferentes de encriptación que pueden ser utilizados por una red Wi-Fi. TKIP significa "Protocolo de integridad de clave temporal". Fue un protocolo de cifrado provisional introducido con WPA para reemplazar el cifrado WEP muy inseguro en ese momento. TKIP es bastante similar al cifrado WEP. TKIP ya no se considera seguro y ahora está en desuso. En otras palabras, no deberías estar usándolo.

AES significa "Estándar de cifrado avanzado". Este fue un protocolo de cifrado más seguro introducido con WPA2, que reemplazó el estándar provisional WPA. AES no es un estándar chirriante desarrollado específicamente para redes Wi-Fi; Es un estándar de cifrado mundial serio que incluso ha sido adoptado por el gobierno de los EE. Por ejemplo, cuando cifra un disco duro con TrueCrypt, puede usar el cifrado AES para eso. AES generalmente se considera bastante seguro, y las principales debilidades serían los ataques de fuerza bruta (evitados mediante el uso de una frase de contraseña fuerte) y las debilidades de seguridad en otros aspectos de WPA2.

En resumen, TKIP es un estándar de cifrado más antiguo utilizado por el antiguo estándar WPA. AES es una nueva solución de encriptación Wi-Fi utilizada por el nuevo y seguro estándar WPA2. En teoría, ese es el final. Pero, dependiendo de su enrutador, simplemente elegir WPA2 puede no ser lo suficientemente bueno.

Si bien se supone que WPA2 usa AES para una seguridad óptima, también tiene la opción de usar TKIP para compatibilidad con dispositivos heredados. En tal estado, los dispositivos que admiten WPA2 se conectarán con WPA2 y los dispositivos que admiten WPA se conectarán con WPA. Entonces "WPA2" no siempre significa WPA2-AES. Sin embargo, en dispositivos sin una opción visible de "TKIP" o "AES", WPA2 generalmente es sinónimo de WPA2-AES.

http://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-or-both/

¿Cuáles son las diferencias en los cifrados para capturar el tráfico?

¿Eh?

¿Cuál es la mejor solución para la red de hogar / trabajo? Gracias.

Todo está cubierto en el resto del artículo anterior:

En la mayoría de los enrutadores que hemos visto, las opciones son generalmente WEP, WPA (TKIP) y WPA2 (AES), con quizás un modo de compatibilidad WPA (TKIP) + WPA2 (AES) incluido en buena medida.

Si tiene un enrutador extraño que ofrece WPA2 en sabores TKIP o AES, elija AES. Casi todos sus dispositivos funcionarán con él, y es más rápido y más seguro. Es una opción fácil, siempre que pueda recordar que AES es la buena.

qasdfdsaq
fuente
1

Como se describe aquí aquí, el cifrado se realiza en la capa 2 justo después de la dirección MAC (carga útil de trama), por lo que para ver el tráfico cifrado, debe usar un dispositivo con capacidad de detección en L2 e intentar leer en el paquete que olisqueó.

emirjonb
fuente