it-swarm-korea.com

무료 WiFi를위한 공개 비밀번호 사용으로 인한 보안 영향

우리는 공개하고 무료로 만들고 싶은 WiFi 네트워크를 가지고 있습니다.

모든 사람에게 알려진 암호를 사용하면 암호없이 그대로 두는 대신이 네트워크를 사용하는 사람들에게 추가적인 보안 이점이 있습니까? 즉, 해커가 알고있는 암호가있는 네트워크보다 암호가없는 WiFi 네트워크에서 해커가 더 많은 피해를 줄 수 있습니까?

39
epeleg

채팅에서 @epeleg와의 토론 후에, 나는 더 철저하고 (희망적으로) 명확한 대답을 가질 수 있다고 생각합니다.


TL; DR : PSK로 암호화하여 Wi-Fi 네트워크에 제공되는 보호는 PSK의 복잡성에 직접 비례하며 수행되는 노력 PSK를 보호합니다. 모든 환경에서 보안과 유용성간에 신중한 균형을 유지해야합니다.

  • 최저 보안/가장 쉬운 사용성 : 암호화가 없습니다.

  • 최고의 보안/가장 유용성 : WPA2-AES, 고집적 PSK, MAC 주소 필터링, 무선 침입 탐지/방지 시스템. PSK에 액세스하고 MAC 필터에 추가하려면 사용자 및 장치 등록이 필요합니다.

커뮤니티에 무료 WiFi를 서비스로 제공하려는 경우 이러한 균형은 아마도 이들 사이에있을 것이며 아마도 이전 솔루션에 의존 할 것입니다. 그러나 기꺼이 노력한다면 위의 옵션 중 후자조차도 매우 가능합니다.

여전히 "무료 WiFi"네트워크를 보호한다고해서 공격이 더 어려워 지므로 공격을 완전히 막을 수는 없습니다.


WiFi 연결에서 네트워크 트래픽을 암호화하는 것은 트래픽을 일반에서 보내는 것보다 항상 안전합니다. 불가능하지는 않지만 외부인이 WPA2 암호화 트래픽을 일반 텍스트로 변환하는 것은 매우 어렵고 시간이 많이 걸립니다. 그러나 암호화 된 SOHO 및 "무료 WiFi"네트워크는 암호화 메커니즘을 보호하기 위해 암호 또는 PSK (Pre-Shared Key)를 사용해야합니다.

모든 시스템에서 암호를 구현하여 제공되는 보호 수준은 항상 암호 복잡성 및 해당 암호를 보호하기위한 노력에 비례하여 달라집니다. 무선 네트워크도 예외는 아닙니다.

이것이 "무료 WiFi"상황과 어떤 관련이 있는지 간단히 표현하기 위해 몇 가지 가능한 구성 시나리오와 각각의 장점/단점을 알려 드리겠습니다.

  • 시나리오 : 네트워크가 완전히 보안되지 않은 상태입니다. AP 범위 내에있는 사람이라면 누구나 무료 Wi-Fi를 이용할 수 있습니다.

    • 이점 : 누구나 사용하기 가장 쉽고 관리 오버 헤드가 거의 없습니다.

    • 단점 : 이것은 가장 취약한 네트워크입니다. 암호화 프로토콜 (예 : HTTPS)을 사용하지 않는 모든 트래픽은 일반 상태로 전송됩니다. 이 네트워크는 스니핑 및 스푸핑이 용이하며 경험이없는 공격자들의 이익을 위해 조작 할 수도 있습니다.

  • 시나리오 : 인증 및 암호화에 WPA2를 사용하여 강력한 PSK로 네트워크를 보호합니다. 공개적으로 볼 수있는 위치에 SSID 및 PSK를 게시했습니다.

    • 이점 : 무선 네트워크의 데이터는 암호화되어 있으므로 PSK 없이는 데이터를 읽거나 무선 네트워크에 연결할 수 없습니다. 이 네트워크는 또한 최종 사용자가 가입하기가 매우 쉽고 관리 오버 헤드가 거의 또는 전혀 필요하지 않습니다.

    • 단점 : 이러한 방식으로 PSK를 공개적으로 액세스 할 수있게하면 네트워크 범위 내의 모든 사용자가 PSK를 가져 와서 타기 만하면됩니다. 이 방법으로 공격자는 크게 저지하지 않을 것입니다.

  • 시나리오 : 인증 및 암호화에 WPA2를 사용하여 강력한 PSK로 네트워크를 보호합니다. 무료 WiFi 서비스의 광고를 공개적으로 볼 수있는 위치에 게시했으며 여기에는 잠재적 사용자가 암호를 얻을 수있는 연락처 정보가 포함되어 있습니다.

    • 이점 : 무선 네트워크의 데이터는 암호화되어 있으므로 PSK 없이는 데이터를 읽거나 무선 네트워크에 연결할 수 없습니다. 이 방법을 사용하면 모든 사용자와 개인적으로 어느 정도 접촉 할 수 있습니다. 이렇게하면 네트워크에서 익명 성을 느끼게하는 데 다소 도움이됩니다. 이렇게하면 PSK를 위해 다른 사람에게 연락하는 데 어려움을 겪는 것보다 보안 수준이 낮은 네트워크로 이동하려는 일부 공격자가 공격하는 것을 방지 할 수 있습니다.

    • 단점 :이를 위해서는 전화 나 전자 메일을 통해 합리적인 시간 내에 사용자가 로그인 자격 증명을 제공 할 수 있어야합니다. 사용자는 PSK 피어 투 피어를 전달하여이 측정을 피할 수도 있습니다.

  • 시나리오 : 인증 및 암호화에 WPA2를 사용하여 강력한 PSK로 네트워크를 보호합니다. 공개적으로 볼 수있는 위치에 무료 WiFi 서비스 광고를 게시했으며 여기에는 잠재적 사용자가 액세스를 요청할 수있는 연락처 정보가 포함되어 있습니다. 또한 사용 가능한 사용 정책, 등록 된 사용자의 연락처 정보 및 모든 장치의 MAC 주소를 포함하는 사용자 및 장치 등록 프로세스를 구현했습니다. 또한 AP에서 MAC 주소 필터링을 구현하고 네트워크에서 모니터링/로깅 서비스를 구현했습니다.

    • 이점 : 무선 네트워크의 데이터는 암호화되므로 PSK 없이는 무선 네트워크의 데이터를 읽을 수 없습니다. PSK and 등록 된 MAC 주소 없이는 무선 네트워크에 연결할 수 없습니다. 이 방법을 사용하면 네트워크가 부적절하게 사용되는지 여부와시기를 확인할 수 있습니다. 또한 부적절한 사용은 용납되지 않으며, 그러한 사용이 발생할 경우 법적 책임을지게 될 수 있음을 사용자에게 알리는 계약이 체결되었습니다. * 잠재적 공격자는 철저한 조치를 취하는 것보다 훨씬 쉬운 피해자를 찾을 것입니다. 특히 모니터링이 언급 된 AUP의 조항을 읽을 때 사용자는 단순히 PSK를 통과하여 장치 등록을 우회 할 수 없습니다. 또한 필요한 경우 MAC 주소를 등록 해제하거나 등록 된 사용자 연락처 정보를 통해 새 PSK로 변경하여 사용자의 액세스를 취소 할 수 있습니다.

    • 단점 :이 모든 시나리오 중에서 가장 많은 관리 작업이 필요합니다. 이를 위해서는 개인 정보 수집, 장치 정보 수집 (알지 못하는 사용자를 도울 수있는 사용자를 돕는), 서류 보관 및 등록 등 완전한 사용자 등록 프로세스를 수행 할 수있는 합리적인 시간 내에 누군가가 이용할 수 있어야합니다. 네트워크를 가진 새로운 장치. 완전히 효과적이기 위해서는 의심스러운 활동 및/또는 어떤 형태의 IDS/IPS가 있는지 로그를 정기적으로 점검해야합니다. PSK를 얻은 공격자는 등록 된 다른 장치의 MAC 주소를 쉽게 스푸핑하여 장치 필터를 우회하거나 네트워크에서 해당 장치의 사용자로 위장 할 수 있습니다.

모든 시나리오에서 명심해야 할 몇 가지 사항이 있습니다.

  • 무조건 무료 WiFi를 제공하면 always 등록 또는 PSK 배포 프로세스에 관계없이 악의적 인 사용자가 네트워크에 접속할 수있는 가능성이 있습니다.

  • 현재 존재하는 모든 PSK 보안 WiFi 시스템 (WEP, WPA, WPA2)에는 인증 된 사용자가 마치 네트워크상의 다른 사용자의 트래픽을 마치 마치 마치 스니핑 할 수있는 알려진 공격 경로가 있습니다. 물론 트래픽은 HTTPS와 같은 다른 방법으로 암호화되지 않습니다.

  • 모든 네트워크 장비의 관리 인터페이스는 배포하는 PSK와 유사하지 않은 기본 암호가 아닌 강력한 암호로 보호해야합니다.

  • 지역 관할권에 따라 WiFi 네트워크를 사용하는 사람들의 행동에 대한 책임이있을 수 있습니다. *

  • ISP와의 계약으로 인해 인터넷 연결의 무차별 공유가 허용되지 않을 수 있습니다.

마지막으로 최종 쿼리를 해결하려면

해커가 암호가없는 Wi-Fi 네트워크에서 더 많은 피해를 입을 수 있습니까? 그러면 해커가 알고있는 암호가있는 네트워크에서 해커가 더 많은 피해를 줄 수 있습니까?

무조건 무료 WiFi 네트워크의 경우 얼마나 많이 공격자가 할 수있는 피해 어떻게 쉽게 할 수있는 문제는 아닙니다. . 위의 후자를 분명히 해결하기를 바랍니다.

* 나는 변호사가 아니며, 이것은 법률 자문이 아닙니다.

35
Iszi

WiFi 네트워크의 모든 잠재적 사용자와 정기적으로 연락을 취하는 경우 암호를 사용하는 것이 좋지 않습니다. 이 경우 해커가 보호 할 수없는 네트워크와 보호되지 않은 네트워크에 대해 수행 할 수있는 손상 정도는 그리 중요하지 않습니다.

사용자가 설정 한 무료 메커니즘을 통해 누구나 암호를 얻을 수는 있지만 여전히 다른 장벽으로 작용하여 드라이브 바이 공격을 방지합니다. 또한 WPA2 암호화를 적용하면 키를 가진 사람도 클라이언트의 트래픽을 쉽게 알아볼 수 없습니다. (이에 대한 알려진 공격 경로는 있지만 m) 트래픽을 스니핑하기가 더 쉽습니다.)

참고로, WiFi 라우터의 관리 인터페이스도 사용자가 전달한 것과 다른 강력한 암호로 보호해야합니다. 그리고 가능한 경우 귀중한 정보를 가진 시스템이 무료 WiFi를 호스팅하는 네트워크와 분리되도록 환경을 분할하십시오.

10
Iszi

나는 Iszi에 동의하지 않습니다.

각 포인트는 네트워크 사용이 허용 된 것과 사용이 허용되지 않은 사람들 사이에 분리가있는 상황에서만 유효합니다. 해당 조건자가 없으면 Iszi는 암호 사용에 대한 근거를 제공하지 않습니다.

무료 Wi-Fi를 제공하고 싶지만 최악의 상황이 무엇인지 생각해보십시오.

  • 업스트림 제공 업체와의 계약이 이러한 종류의 작업을 허용합니까?
  • wi-Fi 사용자의 행동으로부터 자신을 어떻게 보호합니까? 명예적인 의견 게시, 불법 P2P 공유 등.

이러한 문제는 공유 암호를 사용하여 식별 된 소규모 개인 그룹에 대한 액세스를 제한하는지 또는 공개 액세스를 제공하는지 여부에 따라 regardless가 존재하므로 암호 자체를 사용할 이유가 없습니다.

5
symcbean

Dd-wrt에는 무선 노드가 서로 통신하지 못하게하는 옵션이 있습니다. 트래픽은 TabletPC에서 라우터로 인터넷으로 만 이동할 수 있습니다. 따라서 두 개의 인증 된 무선 노드조차도 파일을 직접 공유 할 수 없습니다. 이로 인해 WLAN은 "hub like"보다 "switch like"가됩니다. 스위치가 제공하는 이더넷 격리를 무효화하기 위해 ARP 테이블 또는 기타 방법을 오버플로하여이 WLAN 격리에 플러딩이 발생하여 HUB로 전환되는지 여부를 모릅니다.

이 사이트의 또 다른 질문에 대한 AES의 WPA2-PSK는 모든 사용자가 동일한 PSK를 사용하더라도 다른 사용자의 트래픽을 암호화 할 수 없도록 무작위 화를 추가 할 수 있다고합니다. http://wiki.wireshark.org/HowToDecrypt802.11 패킷 캡처자가 PSK를 알면 WPA2-PSK가 쉽게 스니핑되어 있음을 분명히 나타내므로 확인을 원합니다.

핫스팟 및 반경으로 dd-wrt를 설정하지 않으면 각 사용자에게 LAN에서 고유 한 암호를 제공합니다.

2
rjt