web-dev-qa-db-fra.com

Les connexions non SSL sont-elles sécurisées dans un réseau sans fil local avec protection par mot de passe

En bref: je travaille sur un projet dans lequel plusieurs appareils IoT sont connectés à un mot de passe WPA2 et à un hotspot protégé par filtrage MAC. La communication dans ce réseau peut-elle être divulguée car je n'utilise pas TLS?

Je ne veux pas utiliser TLS car les ressources de mes appareils IoT sont vraiment limitées et l'implémentation de TLS en occuperait une grande partie. Par conséquent, je souhaite créer un réseau WiFi privé, avec une protection par mot de passe WPA2 et un filtrage des adresses MAC, afin que je puisse m'assurer que seuls les appareils que j'autorise sont connectés. La seule question dans mon esprit est la suivante: les informations envoyées sur ce réseau peuvent-elles être volées? La protection par mot de passe empêche-t-elle uniquement les appareils étrangers de rejoindre le réseau ou crypte-t-elle également les données?

PS: Mon réseau WiFi privé n'a pas de connexion Internet, c'est juste des points d'accès + IoT.

15

Bien que les messages envoyés via Wi-Fi soient chiffrés avec une clé de session, un appareil qui connaît déjà la clé pré-partagée peut déchiffrer le trafic. WPA n'implémente pas Forward Secrecy, donc en possédant la clé pré-partagée, n'importe qui peut déchiffrer tout le trafic qui n'est pas chiffré par les protocoles de couche OSI supérieure (par exemple, TLS).

Par conséquent, lors du transfert de données sensibles, vous devez utiliser un mécanisme de protection des données externe - par exemple, TLS.

25
Crypt32

Donc, tout ce dont j'ai besoin pour extraire quoi que ce soit de votre réseau est la seule clé de réseau stockée sur tous les appareils ... facilite l'interception et la manipulation de vos appareils IoT. Mieux utiliser TLS dans une configuration de bout en bout.

Mais pour répondre à votre question sur le WiFi, la connexion que vous configurez avec votre terminal aura un certain niveau de cryptage. assez pour empêcher la plupart des types d'abus au volant. mais pas assez pour empêcher des individus déterminés de décrypter votre communication. La force du chiffrement dépend de la longueur de la clé utilisée pour chiffrer le canal (donc un mot de passe plus long produirait un canal mieux protégé)

Le filtrage MAC n'est utile que dans les réseaux qui se connectent rarement (car tout message dans le réseau forme un appareil qui fuit son MAC).

Il est presque toujours préférable d'investir les quelques dollars nécessaires pour inclure une puce TLS ou un module logiciel. à titre d'exemple, vous pouvez consulter ce site qui s'adresse aux fabricants IoT .

Donc, en conclusion, bien que le WiFi utilise le cryptage, il n'est pas suffisant de s'appuyer uniquement sur l'intégrité ou l'abus des données. votre solution nécessitera très probablement un composant TLS pour sa sécurité.

8
LvB

Lorsque les données des patients sont impliquées, HIPAA/HITECH (aux États-Unis, des lois similaires ailleurs) exigent que les données en mouvement soient cryptées. Vous pourriez raisonnablement affirmer que le WiFi crypte le signal et que vous êtes donc couvert.

Si j'effectuais personnellement une évaluation de votre déploiement, je dirais que les données ne sont cryptées que via les segments WiFi du réseau, ce qui n'est pas une protection suffisante. Rien n'empêche les données d'être acheminées via des segments de réseau non WiFi et donc vous ne devez pas compter uniquement sur le cryptage WiFi. Il est également possible de désactiver (ou de rendre inefficace) le cryptage WiFi tandis que TLS fonctionnera certainement.

Comme d'autres l'ont dit, l'accès au réseau permettra trivialement à un client non autorisé de voir tout trafic autrement non crypté à capturer. L'utilisation de TLS interdit ce vecteur d'attaque.

Bien que vous puissiez survivre à un procès fondé sur l'affirmation selon laquelle "le WiFi est crypté, nous allons donc bien", je ne paierais jamais pour une solution qui repose uniquement sur le WiFi pour le cryptage, et je ne permettrait jamais à un client d'utiliser un tel la technologie non plus.

2
Christopher Schultz