it-swarm.com.de

Sind Nicht-SSL-Verbindungen in einem lokalen drahtlosen Netzwerk mit Kennwortschutz sicher?

Kurz: Ich arbeite an einem Projekt, in dem mehrere IoT-Geräte mit einem WPA2-Passwort und einem durch MAC-Filter geschützten Hotspot verbunden sind. Kann die Kommunikation in diesem Netzwerk unterbrochen werden, da ich kein TLS verwende?

Ich möchte TLS nicht verwenden, da die Ressourcen meiner IoT-Geräte sehr begrenzt sind und die Implementierung von TLS einen Großteil davon beanspruchen würde. Daher möchte ich ein privates WiFi-Netzwerk mit WPA2-Kennwortschutz und MAC-Adressfilterung erstellen, damit ich sicherstellen kann, dass nur Geräte verbunden sind, die ich zulasse. Die einzige Frage in meinem Kopf ist, ob die über dieses Netzwerk gesendeten Informationen gestohlen werden können. Stoppt der Kennwortschutz nur fremde Geräte, um sich dem Netzwerk anzuschließen, oder verschlüsselt er auch die Daten?

PS: Mein privates WiFi-Netzwerk hat keine Internetverbindung, es sind nur Access Point + IoT-Geräte.

Obwohl über WLAN gesendete Nachrichten mit einem Sitzungsschlüssel verschlüsselt werden, kann ein Gerät, das den vorinstallierten Schlüssel bereits kennt, den Datenverkehr entschlüsseln. WPA implementiert keine Vorwärtsgeheimnis, daher kann jeder durch den Besitz des vorinstallierten Schlüssels den gesamten Datenverkehr entschlüsseln, der nicht durch Protokolle der oberen OSI-Schicht (z. B. TLS) verschlüsselt ist.

Daher sollten Sie bei der Übertragung sensibler Daten einen externen Datenschutzmechanismus verwenden, z. B. TLS.

25
Crypt32

Alles, was ich brauche, um etwas aus Ihrem Netzwerk zu extrahieren, ist der einzelne Netzwerkschlüssel, der auf allen Geräten gespeichert ist. Dies erleichtert das Abfangen und Bearbeiten Ihrer IoT-Geräte. Verwenden Sie TLS besser in einer End-to-End-Konfiguration.

Um Ihre Frage zu WLAN zu beantworten, verfügt die Verbindung, die Sie mit Ihrem Endpunkt einrichten, über eine gewisse Verschlüsselungsstufe. genug, um die meisten Arten von Drive-by-Missbrauch zu verhindern. aber nicht genug, um entschlossene Personen daran zu hindern, Ihre Kommunikation zu entschlüsseln. Die Stärke der Verschlüsselung hängt von der Länge des Schlüssels ab, der zum Verschlüsseln des Kanals verwendet wird (längere Passwörter würden also einen besser geschützten Kanal ergeben).

Die MAC-Filterung ist nur in Netzwerken nützlich, die nur selten eine Verbindung herstellen (da jede Nachricht im Netzwerk eines Geräts seinen MAC verliert).

Es ist fast immer besser, die wenigen Dollar zu investieren, die für die Aufnahme eines TLS-Chips oder eines Softwaremoduls erforderlich sind. als Beispiel können Sie sich diese Site ansehen, die sich an IoT-Hersteller richtet .

Zusammenfassend lässt sich sagen, dass WiFi zwar Verschlüsselung verwendet, jedoch nicht gut genug ist, um sich für die Datenintegrität oder den Missbrauch allein zu verlassen. Ihre Lösung benötigt höchstwahrscheinlich eine TLS-Komponente für ihre Sicherheit.

8
LvB

Wenn es sich um Patientendaten handelt, verlangt HIPAA/HITECH (in den USA ähnliche Gesetze an anderer Stelle), dass Daten in Bewegung verschlüsselt werden. Sie könnten vernünftigerweise argumentieren, dass WiFi das Signal verschlüsselt und Sie daher abgesichert sind.

Wenn ich persönlich eine Bewertung Ihrer Bereitstellung durchführen würde, würde ich argumentieren, dass die Daten nur über die WiFi-Segmente des Netzwerks verschlüsselt werden, was keinen ausreichenden Schutz bietet. Nichts hindert die Daten daran, durch Nicht-WiFi-Netzwerksegmente geleitet zu werden, und daher müssen Sie dürfen sich nicht nur auf die WiFi-Verschlüsselung verlassen. Es ist auch möglich, die WiFi-Verschlüsselung zu deaktivieren (oder unwirksam zu machen), während TLS definitiv funktioniert.

Wie andere bereits gesagt haben, kann ein nicht autorisierter Client durch den Zugriff auf das Netzwerk auf einfache Weise sehen, dass ansonsten unverschlüsselter Datenverkehr erfasst wird. Die Verwendung von TLS verbietet diesen Angriffsvektor.

Während Sie möglicherweise in der Lage sind, eine Klage zu überleben, die auf der Behauptung basiert, dass "WiFi verschlüsselt ist, also geht es uns gut", würde ich niemals für eine Lösung bezahlen, die ausschließlich auf WiFi für die Verschlüsselung beruht, und ich würde einem Kunden niemals erlauben, eine solche zu verwenden Technologie auch.

2