web-dev-qa-db-fra.com

Crypter la connexion WiFi par utilisateur connecté

L'une des questions qui se rencontrent assez souvent concerne le cryptage WiFi.

Maintenant, imaginez que vous avez plusieurs utilisateurs qui se connectent à un point AP. Avec une simple configuration de protection WPA2, elles peuvent toujours renifler la circulation.

Quelle technologie permettrait une clé de cryptage différente par utilisateur? Donc, lorsque plusieurs utilisateurs sont sur le même point d'autorité, ils ne seraient pas en mesure de voir le trafic clair?

Est-ce que RADIUS implémenter cela? Comment fonctionne la configuration initiale?

Cela peut-il également être fait avec une simple maison AP?

éditer

Pour la Bounty, j'aimerais voir une expansion concernant les protocoles EAP.

12
Lucas Kauffman

Différente clé de chiffrement par utilisateur

Il est important de commencer par clarifier votre question car la terminologie est importante lors de la discussion du cryptage: je pense qu'une question plus pointue de la poursuite de votre objectif est de "quelle technologie permettrait une clé de cryptage suffisamment différente par utilisateur, de sorte que lorsque plusieurs utilisateurs se trouvent sur le même AP, il serait très difficile de voir le trafic ordinaire des autres? "

Le système WPA2 (actuellement la solution standard et relativement sécurisée à la confidentialité et à l'intégrité de l'air) utilise des touches individuelles pour chaque client (appelées touches paires) qui sont basées sur une clé présparé (où la même clé simple est donnée à chaque utilisateur) ou une initialisation aléatoire (pour une authentification sauvegardée 802.1x).

Lorsque vous utilisez un PSK, il y a une poignée de main à quatre voies (bonne discussion sur un processus à 4 voies ici: Comment fonctionne exactement le travail de la poignée de main à 4 voies? ) qui commence par le PSK sur le client et AP et une preuve de connaissance nulle est utilisée pour vérifier que l'autre connaît vraiment le droit PSK sans divulguer ce qu'il est avant de procéder (pour éviter de donner la clé à l'éloignement d'un voleur). Le résultat final est une session de cryptage ensemencée basée sur la PSK, mais en utilisant des informations nouvellement générées. (Superbe réponse à propos de la saisie ici: WPA2 Enterprise Enterprise AES Taille de la clé de cryptage? ) Cela signifie que, si vous commencez avec uniquement la PSK et observant la session d'un autre utilisateur déjà en cours, vous allez Non Pour être capable de déchiffrer facilement les données puisque vous ne connaissez pas la nonce aléatoire. Vous devez avoir enregistré la poignée de main à quatre voies pour connaître la nonce et posséder le PSK, de décrypter facilement une session WPA2 en cours.

Le rayon est-il implémenter cela

Le protocole 802.1x est une authentification basée sur des ports soutenue par une sorte de serveur AAA (généralement rayon). 802.1x ne forme pas la session de cryptage, il ne fait que définir la scène pour cela. Après une authentification réussie du nom d'utilisateur et de mot de passe (faites dans un tunnel crypté), AP commence une session cryptée WPA2 avec une graine suffisamment secrète et aléatoire que devinant d'autres utilisateurs authentifiés au même AP est suffisamment difficile (voir Discussion: https://superuser.com/questions/373453/802-1x-Quelt-exactly-is-it-regarding-wpa-and-epr user-wpa-and-eap et produit du monde réel: http: // freeradius. org/entreprise-wifi.html ).

Peut-il aussi être fait avec une simple maison AP

À la suite de 2015, vous trouverez à la fois des APS de l'étagère (moins de 50 $ MPRP), support pour WPA2-Enterprise, qui implémente 802.1x basé sur un serveur Radius. La plupart, cependant, n'incluent pas également le serveur Radius, il n'est donc pas une solution autonome. Vous devrez avoir ou implémenter un serveur Radius sur votre réseau (packages gratuits et commerciaux sont disponibles) ou vous abonner à un service comme authenticatemywifi ( http://www.nowiressecurity.com/#!Hosted-Cloud- radius-8021x-service/C1739 ). Voir http://www.ciscopress.com/articles/printerlidy/1576225 Pour plus d'informations sur les pièces impliquées dans la mise en œuvre 802.1x.

5
Jeff Meden

Point d'accès WiFi ne peut généralement pas utiliser plusieurs clés de chiffrement simultanément. Donc non, ils ne peuvent pas le cryptage qui verrouille les clients connectés de l'autre . objectifs de protection WiFi à émulant la protection physique d'un réseau local Ethernet: les gens qui peuvent se connecter obtenir un accès complet au réseau local (à la couche Ethernet). Le cryptage est destiné à empêcher l'accès non autorisé (oui, il est un peu bizarre à utiliser cryptage pour un authentification emploi, mais tel est le WiFi).

Si vous voulez le cryptage pour ce qu'il est censé (confidentialité du transfert de données), en se concentrant ensuite sur la couche WiFi manque le point: les données ne cesse pas d'être confidentielles une fois qu'il atteint le point d'accès. La confidentialité est mieux pris en charge si de bout en bout assurée, de l'expéditeur au destinataire. Le point d'accès est non plus, donc il ne devrait pas être en mesure de voir les données. Mais avec des techniques similaires et WPA2, le point d'accès effectue le décryptage et le cryptage, et a accès aux données claires. De plus, nous appelons un " point d'accès " parce qu'il " donne accès " à un plus grand réseau (jusqu'à et y compris l'ensemble d'Internet), et les services de chiffrement de l'AP ne va pas au-delà du point d'accès lui-même.

Par conséquent, la confidentialité, vous devez utiliser des systèmes de cryptage des données qui fonctionnent à des niveaux supérieurs. Voilà ce qui arrive lorsque vous accédez à un site Web HTTPS: chiffrement de votre navigateur vers le site distant, quels que soient les points d'accès et les réseaux qui sont utilisés entre les deux. Des solutions plus globales comprennent divers réseau privé virtuel technologies, et, en fin de compte, chiffrement opportuniste avec IPsec (IPsec est souvent utilisé comme base pour un réseau privé virtuel , mais, théoriquement, il pourrait être actif de façon transparente pour chaque connexion sur Internet - les normes sont faites, les mises en œuvre sont très répandues, il " juste " a besoin que tout le monde à faire un pas audacieux dans l'avenir, en même temps).

5
Tom Leek