Я знаю, что шифрование WPA / WPA2 - довольно хорошая защита от слежки со стороны людей за пределами беспроводной сети. Но может ли кто-то в сети (то есть кому был предоставлен общий ключ) отслеживать / перехватывать трафик (например, простой просмотр http) другого пользователя в той же сети?
РЕДАКТИРОВАТЬ: дополнительный сценарий: Алиса подключена к беспроводной сети; Боб подключен к маршрутизатору через Ethernet-кабель. Может ли Алиса перехватить трафик Боба?
Короткий ответ: нет, используя только предварительный общий ключ (PSK), вы не можете расшифровать трафик других пользователей, но довольно просто собрать необходимую дополнительную информацию. Станции не используют PSK напрямую для шифрования пакетов. Вместо этого они используют PSK для генерации парного главного ключа (PMK), который, в свою очередь, генерирует парный переходный ключ (PTK), используемый для шифрования пакетов. Обе стороны, станция и точка доступа (AP), вычисляют PTK, используя одноразовые номера (случайные числа), MAC-адреса и пару других частей данных, объединенных с PMK. Все данные, кроме PSK, находятся в 4-стороннем рукопожатии и не зашифрованы.
Итак, зная PSK и собирая 4 кадра протокола RSN (также известного как четырехстороннее рукопожатие), достаточно информации, чтобы передать что-то вроде Wireshark и расшифровать трафик между станцией и AP. Вы можете утверждать, что сбор данных из 4-стороннего рукопожатия зависит от времени, но существует несколько (бесплатных) инструментов, которые позволяют третьей стороне подделывать пакеты деаутентификации, позволяющие злоумышленнику лучше предсказать, когда захватить эту информацию.
Нет, не могут. WPA / WPA2 предоставляет разные ключи сеанса для шифрования данных. PSK начинается с одной и той же парольной фразы, однако каждой станции дается свой ключ для одноадресного трафика. Единственный трафик, который вы увидите (или расшифруете) через сниффер, - это широковещательный пакет. Таким образом, ситуация такая же, как и при прослушивании трафика, когда вы подключены к проводному коммутатору.
q2) Нет. Алиса не может перехватить.
Напрямую нет. Что касается ARP-лавин или атак типа «злоумышленник в середине» (в ARP или на более высоком уровне), они будут предотвращены с помощью некоторых точек доступа, которые можно настроить так, чтобы запрещать прямой трафик между беспроводными клиентами. т.е. все клиенты могут видеть сети на восходящей стороне точки доступа, но трафик, адресованный от одного беспроводного клиента другому, будет отброшен.
Что касается того, может ли проводной пользователь получить трафик, это сложно. Если Боб пассивно подслушивает коммутируемый порт, он мало что увидит при нормальной работе. Если беспроводная и проводная сети представляют собой один сегмент Ethernet, а таблицы ARP в коммутирующей части маршрутизатора переполняются и он начинает транслировать все всем, то Боб будет видеть все в открытом виде. Боб может вызвать это путем лавинной передачи ARP-пакетов или более тонким способом подделать ARP-протокол маршрутизатора, отличного от точки доступа.
Алиса не может видеть трафик Боба, который не взаимодействует с другими пользователями беспроводной сети или не передает трафик. Алиса могла видеть трафик от Боба к пользователям беспроводной сети, но этот трафик был бы зашифрован (кроме, возможно, широковещательной передачи).
Как сказал Джошуа, каждый компьютер будет иметь свой собственный сеансовый ключ, поэтому другие пользователи не смогут читать данные.