Proč není otevřené WiFi šifrováno?
Je to stejný důvod, proč WPA-PSK nepoužívá výměnu klíčů Diffie-Hellman / RSA.
První bod Adnana je nejpřesnější odpovědí.
Proč otevřené sítě WiFi nemají šifrování. Prostě ne.
Neexistuje žádný technický důvod. je to pravděpodobně finanční a / nebo byrokratický důvod. A změna stávající infrastruktury není snadná.
Jak zjistíme, že „JFK Airport AP“ je ve skutečnosti přístupovým bodem na letišti JFK?
Všimněte si, že existuje rozdíl mezi ověřováním a šifrováním . Popsaný problém představuje problém s ověřováním, který existuje bez ohledu na to, zda šifrujeme připojení Wi-Fi. Jinými slovy: Skutečnost, že RSA neposkytuje ověřování, nijak nesouvisí s otázkou, proč se RSA neprovádí v otevřených sítích Wi-Fi. Problém s ověřováním lze také vyřešit pomocí extrémně jednoduché metody popsané v následujícím příkladu:
Náš budoucí směrovač Wi-Fi s šifrováním používá Diffie-Hellman / RSA. Router má malý LED displej, který zobrazuje jeho veřejný klíč, nebo snad jednoduchý hash veřejného klíče. Přístupový bod se jmenuje „MyHouse“.
Chtěl bych připojit svůj telefon k „MyHouse“, ale existuje další AP se stejným názvem, vše, co musím udělat, je podívat se na monitor mého routeru a porovnejte řetězec s řetězcem zobrazeným na mém telefonu, čímž se dosáhne snadné autentizace. Letiště a veřejná místa mohou využívat podobné techniky zobrazováním veřejného klíče / hodnoty hash na velkých obrazovkách nebo na některých nízkonákladových štítcích.
Postranní poznámka: Kontrolka LED je pouze příkladem, je k dispozici mnoho dalších metod.
Lze některé směrovače nakonfigurovat tak, aby umožňovaly veřejný přístup s zatím žádné heslo> zašifrovat připojení uživatelů, aby se zabránilo útokům typu Firesheep?
Ano, lze to nakonfigurovat, ale nebylo by to na úrovni routeru. A ten, kdo se připojuje, by musel podniknout několik dalších kroků.
Řešení 1. HTTPS webový proxy
Mimořádně jednoduchá technika, kterou lze okamžitě použít, je procházení web pomocí webového proxy šifrovaného HTTPS, například HideMyAss. Tímto způsobem se používá kryptografie veřejného klíče, ale děje se to přes vrstvu TCP.
Řešení 2. LAN VPN server nebo SSH tunelový server
Podobný přístup lze použít v místní síti bez závislosti na externích webech: Použijte místní server VPN / server SSH Tunnel. Data by proudila tímto způsobem:
Síťové zařízení (Řekněme, můj telefon)> AP> Síťové zařízení (VPN / SSH tunelový server)> AP> Internet. (# flow1)
Tunel VPN / SSH funguje jako rozšíření AP, pokud bychom je mentálně zapouzdřili, dostali bychom:
Síťové zařízení ( Můj telefon)> Šifrovaný přístupový bod> Cíl. (# flow2)
Řešení 2. Důležité poznámky!
-
MUSÍTE použijte kabelové připojení mezi tunelem VPN / SSH a APif pomocí řešení LAN, podívejte se na konec mé odpovědi.
-
Pokud byste to chtěli prakticky implementovat, můžete používat lowpower malý vždy na počítači, jako je RaspberryPi jako server SSH Tunnel, Itried it a nevidím znatelnou latenci.
Řešení 3. Pravidelný server tunelu VPN / SSH
Dalo by se použít VPN, která není v síti LAN, pak bychom dostali:
Síť zařízení (Můj telefon)> AP> VPN> Cíl. (# flow3)
Ve všech 3 případech jsou data plně šifrována pomocí TLS / SSL / Ať je vaše VPN / SSH šifrována.
Pokud používáte řešení LAN VPN / SSH, server musí být kabelový , jinak bude provoz, který je předáván serverem VPN / SSH z klienta do cíle, odesílán nešifrovaný do AP.
Více informací o řešení LAN
Pokud používáte bezdrátové připojení na otevřené WiFi s řešením tunelového serveru LAN VPN / SSH, tok dat probíhá tímto způsobem. Jedná se o rozšíření „flow1“, ve kterém je do toku přidáno, zda jsou data šifrována či nikoli:
Síťové zařízení> šifrovaná data > AP> šifrovaná data > server VPN / SSH> nešifrovaná data > AP> internet
Z tohoto důvodu musíme použít kabelový kabel mezi serverem VPN / SSH a přístupovým bodem se tak nešifrovaná data nikdy neposílají vzduchem.