Qu'est-ce que WPA / WPA2 crypte vraiment?

10

J'ai WPA2-personal sur mon ordinateur portable et je suis connecté sans fil à mon AP domestique. Le trafic que je capture depuis Wireshark n'est pas chiffré.

Il y a quelques jours, j'avais mon routeur sur WPA-personal et j'ai fait une attaque MITM sur mon smartphone et le trafic n'était pas non plus crypté.

Le WPA n'est-il pas censé crypter le trafic et ne pas simplement demander un mot de passe pour accéder au réseau?

Modification de la prime:

J'aimerais en savoir un peu plus à ce sujet. Quelle est la principale différence entre WPA2-PSK (TKIP), WPA2-PSK (AES) et WPA2-PSK (TKIP / AES) dans ce domaine? Je sais que ce sont toutes des options différentes et si je choisis la mauvaise option et j'aurai un réseau plus lent et moins sécurisé. Quelles sont les différences de cryptage pour capturer le trafic et quelle est la meilleure solution pour le réseau domicile / travail? Merci.

Josip Ivic
la source
Où avez-vous capturé exactement le trafic, car les paquets chiffrés sont destinés au scénario de l'homme du milieu. pour renifler le trafic, vous devez utiliser un appareil avec des capacités de
reniflement
WPA crypte bien les données. Mais vous l'avez attaqué. Je ne suis pas sûr de comprendre pourquoi vous avez confondu le trafic décrypté, en effectuant l'attaque, vous avez pu le faire.
Ramhound
Veuillez ajouter quelques détails sur la configuration MITM. C'est bizarre que Wireshark puisse voir ce trafic, à moins que vous n'ayez réellement donné les secrets à Wireshark ...
Arjan
Veuillez ensuite modifier votre question, si elle n'invalide pas les réponses existantes. (Le message de prime disparaîtra dans 7 jours.)
Arjan
J'ai édité la question
Josip Ivic

Réponses:

12

WPA (et WPA2) crypte le trafic en dessous du niveau capturé par Wireshark ou des outils similaires. Ces outils capturent à l'interface de socket du système d'exploitation, pas au niveau du support réseau réel. Lorsque vous envoyez un paquet via une connexion Wi-Fi protégée par WPA, le cryptage WPA n'est ajouté qu'au dernier moment avant la diffusion des données.

Il pourrait encore y avoir un autre cryptage - par exemple, je pourrais appliquer le cryptage PGP à un e-mail et l'envoyer au serveur SMTP via TLS, qui serait deux niveaux de cryptage ... mais ces niveaux seraient visibles pour (et, en effet, créés par) l'application (comme mon client de messagerie). Quelqu'un reniflant ce trafic pourrait toujours voir des choses comme le protocole qu'il utilise (TCP, sur IP), le port dont il provient et vers lequel il est routé, l'adresse IP de destination, etc.

Cependant, une fois que le paquet atteint le pilote d'interface WiFi, il est crypté avec la clé AES que ma machine utilise pour WPA. À ce stade, les seules choses visibles sont le SSID du réseau que j'utilise (je pense que les adresses MAC source et de destination peuvent également être visibles) et une vague idée de la taille. Quelqu'un sans la clé WiFi reniflant le trafic réseau à l'aide d'une radio définie par logiciel ou d'une carte WiFi en mode promiscuous ne pourrait pas faire la différence entre mon e-mail et moi envoyant un ping réseau ou discutant sur Skype; ils ne pourraient même pas dire où les paquets allaient au-delà du point d'accès WiFi.

CBHacking
la source
Notez que Wireshark peut capturer les paquets chiffrés en mode moniteur , si le pilote le prend en charge.
user1686
Notez également que Wireshark peut capturer des packages chiffrés pour d'autres clients lorsque la carte réseau est en mode promiscuous . Mais ensuite, Wireshark doit être configuré avec les secrets pré-partagés WEP ou WPA / WPA2 pour pouvoir renifler les poignées de main et décrypter les messages.
Arjan
Juste le SSID / MAC de la station? Ou aussi votre appareil émetteur MAC?
Conrad Meyer
3

Ce que fait WPA-Personal (alias WPA-PSK), c'est de crypter les paquets qui sont diffusés, afin que les personnes qui ne sont pas connectées à ce réseau ne puissent pas lire vos messages (et WEP a fait de même à cet égard manière, il vient de le faire d'une manière différente, qui souffrait d'un grave trou). Il essaie également de rendre la connexion au réseau difficile / impossible sans connaître le mot de passe secret.

Sans ce cryptage (par exemple sur des réseaux ouverts), n'importe qui peut lire tous les paquets qui sont échangés, sans même être "connecté" au réseau: il doit juste être suffisamment proche pour "entendre" le signal.

Si vous considérez une langue étrangère comme une sorte de cryptage, WPA est un peu comme la situation où toutes les machines connectées à ce réseau WPA parlent leur propre langue, que seul l'AP comprend également. Ainsi, les machines non connectées au réseau ne peuvent rien comprendre (à part constater qu'une communication a lieu entre les machines et l'AP) et celles qui sont connectées à ce réseau ne peuvent se parler qu'en communiquant via l'AP.

Stefan
la source
Maintenant, c'est écrit d'une manière que je pourrais même expliquer à un débutant total. +1
Hennes
1
Sauf que c'est presque complètement faux.
qasdfdsaq
@qasdfdsaq: S'il vous plaît, éclairez-nous.
Stefan
Voyons voir. Le chiffrement n'a rien à voir avec les personnes "connectées à ce réseau". Être capable de lire vos messages n'a rien à voir avec les personnes "connectées à ce réseau". Le chiffrement n'a rien à voir avec les personnes qui peuvent ou ne peuvent pas "se connecter à ce réseau". WPA ne fait pas comme "toutes les machines connectées à ce réseau parlent la même langue". Les machines connectées à ce réseau ne peuvent pas "s’attaquer mutuellement et voir tous les paquets envoyés par d’autres".
qasdfdsaq
2
Chaque client qui se connecte génère une clé aléatoire dérivée du PSK et des données générées de manière aléatoire. en.wikipedia.org/wiki/IEEE_802.11i-2004#The_four-way_handshake La communication client à client n'existe pas dans un réseau d'infrastructure, tout doit passer par l'AP.
qasdfdsaq
2

Quelle est la principale différence entre WPA2-PSK (TKIP), WPA2-PSK (AES) et WPA2-PSK (TKIP / AES)

2 secondes de recherche sur Google :

TKIP et AES sont deux types de cryptage différents qui peuvent être utilisés par un réseau Wi-Fi. TKIP signifie «Temporal Key Integrity Protocol». Il s'agissait d'un protocole de cryptage stopgap introduit avec WPA pour remplacer le cryptage WEP très peu sécurisé à l'époque. TKIP est en fait assez similaire au cryptage WEP. TKIP n'est plus considéré comme sécurisé et est désormais obsolète. En d'autres termes, vous ne devriez pas l'utiliser.

AES signifie «Advanced Encryption Standard». Il s'agissait d'un protocole de cryptage plus sécurisé introduit avec WPA2, qui a remplacé la norme WPA provisoire. AES n'est pas une norme grinçante développée spécifiquement pour les réseaux Wi-Fi; c'est une norme de cryptage mondiale sérieuse qui a même été adoptée par le gouvernement américain. Par exemple, lorsque vous chiffrez un disque dur avec TrueCrypt, il peut utiliser le chiffrement AES pour cela. AES est généralement considéré comme assez sécurisé, et les principales faiblesses seraient les attaques par force brute (évitées en utilisant une phrase de passe forte) et les faiblesses de sécurité dans d'autres aspects de WPA2.

En résumé, TKIP est une ancienne norme de cryptage utilisée par l'ancienne norme WPA. AES est une nouvelle solution de cryptage Wi-Fi utilisée par la nouvelle norme WPA2 sécurisée. En théorie, c'est la fin. Mais, selon votre routeur, le simple choix de WPA2 peut ne pas être suffisant.

Alors que WPA2 est censé utiliser AES pour une sécurité optimale, il a également la possibilité d'utiliser TKIP pour une compatibilité descendante avec les appareils hérités. Dans un tel état, les périphériques prenant en charge WPA2 se connecteront à WPA2 et les périphériques prenant en charge WPA se connecteront à WPA. «WPA2» ne signifie donc pas toujours WPA2-AES. Cependant, sur les appareils sans option «TKIP» ou «AES» visible, WPA2 est généralement synonyme de WPA2-AES.

http://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-or-both/

Quelles sont les différences de cryptage pour capturer le trafic

Huh ??

quelle est la meilleure solution pour le réseau domicile / travail? Merci.

Tout est couvert dans le reste de l'article ci-dessus:

Sur la plupart des routeurs que nous avons vus, les options sont généralement WEP, WPA (TKIP) et WPA2 (AES) - avec peut-être un mode de compatibilité WPA (TKIP) + WPA2 (AES) ajouté pour faire bonne mesure.

Si vous avez une sorte de routeur étrange qui propose WPA2 en versions TKIP ou AES, choisissez AES. Presque tous vos appareils fonctionneront certainement avec, et c'est plus rapide et plus sécurisé. C'est un choix facile, tant que vous vous souvenez que l'AES est le bon.

qasdfdsaq
la source
1

Comme décrit ici , le cryptage est effectué sur la couche 2 juste après l'adresse MAC (charge utile de trame), donc pour voir le trafic crypté, vous devez utiliser un appareil avec des capacités de reniflement sur L2 et essayer de lire sur le paquet que vous avez reniflé.

emirjonb
la source