Wpa/wep והשאר.. מדוע זה חשוב בכלל אם רוב המידע שאנחנו מעבירים מוצפן בשכבת הייצוג?

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

Wpa/wep והשאר.. מדוע זה חשוב בכלל אם רוב המידע שאנחנו מעבירים מוצפן בשכבת הייצוג?

נושא שלא נקרא #1 

שלום לכולם,

עלתה לי השאלה שמופיעה בכותרת הנ"ל.

בנוסף, האתרנט הוא פרוטוקול שלא מוצפן. אז מה הקטע להצפין מידע שעובר באמצעות IEEE אם נניח יש עוד 2 מחשבים שמחוברים קווית לראוטר והמידע בינהם לבין הראוטר לא מוצפן?

בעצם עשו פה חצי עבודה לא? הצפנו חלק מהתעבורה ברשת אבל נשארת תעבורה שלא מוצפנת בחיבור קווי..

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #2 

א. ענית בעצמך - כדי להסניף תעבורה קווית שלך מישהו יצטרך להכנס פיזית אליך הביתה. לא סתם יש מנעול על ארונות רשת.
ב. כל סוויטצ' מינימלי ידאג שהפאקטים יגיעו רק ליעד הרצוי ולא בBROADCAST לכל הL2.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #3 

@Dor1992
·
כפי שכבר כתבו לך נכון לפני, אפילו ברשת ביתית קווית, כל המידע שנועד לעבור מהתקן רשת אחד להתקן רשת אחר ( UNICAST ) , במצב רגיל עובר כך שהוא זמין רק בשני הפורטים אלה שמשתתפים בשיחה זו. וכל מה שאחרים יכולים "לשמוע", זה רק מה שמשודר לכולם ( BROADCAST ).

מצד שני, ברשתות ארגוניות היכן שקיים מידע רגיש וחשוב שצריך להגן עליו, משתמשים במנגנונים של אבטחה רב שכבתיים שסופקו על ידי התקנים של IEEE כבר לפני שנים רבות ועברו כבר מספר דורות של שיפורים.

למשל, בכדי שגם, אם מישהו מביא את המחשב נייד שלו מהבית בשביל להתחבר לרשת הארגונית ללא רשות של מנמ''ר או את "הראוטר" שלו בכדי לעשות לעצמו ולחבר'ה "הוטספוט" מרשת ארגונית, לא יזרמו שום נתונים לאחר שהוא יחבר מחשב נייד זה או את אותה סבונייה ביתית. וזה מסיבה פשוטה שתקן IEEE מספק כלים לבקרת גישה לרשת הקווית. אחד מהכלים המוכרים, שנתמכים על ידי רוב היצרנים, ושבשימוש ברוב הארגונים שמשתמשים במנגנוני אבטחת מידע, הוא תקן IEEE802.1X או בשמו האחר PNAC. תקן זה מאפשר גם שיוך אוטומטי של ההתקן רשת כך שיהיה מחובר ל VLAN מתאים שהוקצה בשבילו בצורה דינאמית.

תקן נוסף של IEEE בו משתמשים ברשתות ארגוניות ורשתות של ספקי תשתית הוא תקן IEEE802.1ae או בשמו האחר MACSEC. תקן זה מאפשר את ההצפנה של התקשורת ETHERNET בין המתגים, נתבים ובין המחשבים, במקרים שמדובר על מידע רגיש ביותר.
http://www.ieee802.org/1/files/public/d ... 710-v2.pdf

כך ש IEEE חשבו על כל האפשרויות. וכל מי שנדרש להם יכול לבחור ממגוון שלם את מה שהוא צריך.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

נושא שלא נקרא #4 

@sys_admin
·

אז אתה אומר שמידע שעובר באתרנט יכול להיות מוצפן באמצעות ieee? אני מניח שלרוב האנשים הפרטיים אין את הכלי הזה. אז למה אומרים שחשוב ברשת ביתית(לא מדבר כרגע על Lan של ארגונים גדולים או סודיים) לעשות הצפנה לwifi? הרי גם ככה יהיה מידע שעובר באתרנט שהוא לא מוצפן. אתן לך דוגמא:

נניח מישהו הצליח מרחוק למצוא באג בשרת dhcp של הראוטר שלי והצליח כך לקבל גישה לכל התעבורה בראוטר. אז אמנם הוא יראה את התעבורה שעוברת בIEEE מוצפנת אבל כל מה שעובר בethernet ולא עבר הצפנה בשכבת הייצוג הוא יוכל לראות ללא שון בעיה לא?
אז בגלל זה אמרתי שעשו חצי עבודה.

אז אמנם השכנים שלי או אדם זר שמגיע שנמצא בסביבת הבית שלי לא יוכלו להאזין למידע שעובר באמצעות IEEE אבל אדם שהצליח מרחוק לפרוץ לרשת שלי יוכל לראות חלק מהתעבורה שעוברת בethernet.

ואני אסכם את המסקנה שלי לא יודע אם היא נכונה:
הצפנת wifi נועדה בעיקר כנגד שכנים או אנשים שנמצאים בסביבתי.
הרי לפי הבנתי גם ככה המידע שכבר יוצא מהראוטר הלאה הוא לא מוצפן בwpa או הצפנה אחרת של wifi. אני הבנתי שהראוטר מפענח את ההצפנה ומעביר הלאה לספק לא?

הרי מומחה סייבר לא באמת יצטרך להגיע לסביבת הבית שלי כדי להאזין לתעבורה.. הוא יוכל לעשות את זה מרחוק גם ככה.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

נושא שלא נקרא #5 

@sys_admin
·

ערכתי את התגובה שמעל.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #6 

@Dor1992
·

תקרא שוב את התגובה של sys_admin לא הבנת אותה.

אנסה לעשות סדר בדברים היותר בסיסיים שלא בטוח עד כמה אתה שולט בהם:

מקובל להתייחס לכל המידע שיוצא ונכנס אל הראוטר אל/מכיוון האינטרנט כחשוף ולא מאובטח (ולכן נדרשת הצפנה לדוגמא כשאתה פונה לאתר של הבנק שלך). הקו הגנה הראשון והעיקרי של כמעט כל רשת פרטית זה הראוטר ובמקרה שפורצים לראוטר יש גישה לכל הרשת הפנימית ללא קשר לאבטחה ברמת ethernet/wifi (הרי אבטחה כזו היא לדוגמא בין הראוטר למכשיר ברשת ומי שפונה מתוך הראוטר "עוקף" אותה לחלוטין). התפקיד של אבטחה ברמות האלה היא להגן נגד איומים שנמצאים פיזית בתוך או בקרבת הרשת המקומית (ראה המשך). כהערת אגב, אני מקווה שברור שלמי שחשוב נושא האבטחה חובה להשתמש בראוטר פרטי עם רמת אבטחה גבוה, כולל עדכונים שותפים וכו'.

לעומת זאת, התקשורת ברשת המקומית כרגיל נחשבת כמאובטחת. לדוגמא אם אתה שומר את כל המסמכים שלך ב-NAS, אתה מניח שאם אתה ניגש מהמחשב לקובץ בשרת NAS זה מאובטח. במקרה של גישה דרך wifi זה די ברור שללא הצפנה כל שכן ובמקרים רבים אפילו מישהו שיושב מתחת לבית יכול להאזין לכל המידע ברשת האלחוטית (כולל לדוגמא גישה קבצים שאתה קורא מה-NAS). מעבר לזה, אותם הגדרות בראוטר (WPA לדוגמא) גם כרגיל משמשות למנוע התחברות של גורמים לא רצויים (שכן, מי שיושב מתחת לבית וכו'). זה גם מאד חשוב, כי אחרת סתם מישהו ברחוב פשוט מתחבר לרשת הביתית ויכול לדוגמא לנצל פירצת אבטחה במחשב/NAS/מכשיר רשת אחר בשביל לקבל גישה מלאה ולעשות כל שעולה ברוחו.

בסביבה הביתית ה-ethernet לא מאובטח והנקודה השניה לעיל נכונה לגמרי, לדוגמא מישהו יכול לבוא עם לפטופ, להתחבר קווית לראוטר שלך והוא ברשת הפנימית שלך. אבל בניגוד למקרה של wifi, כאן הוא חייב שתהיה לו גישה פיזית לנקודת רשת אצלך בבית, שזה אומר שהוא פרץ פיזית לבית שלך ויכול גם פשוט לגשת פיזית ל-NAS או לגנוב את כל הקופסא וכו'. לכן בסביבה הביתית כמעט תמיד אין שום צורך באבטחה/הצפנה ברמת ה-ethernet. בקשר לנקודה הראשונה של האזנה, זה אפשרי גם ב-ethernet אבל יותר מסובך מאשר ל-wifi (סתם להתחבר לפורט בסוויץ לא יתן לך להאזין למידע העובר בין פורטים אחרים), אבל אם יש גישה פיזית לכבל אז יש פתרונות.

לבוסף לגבי סביבה עסקית, ההגבלה הפיזית על גישה לרשת ה-ethernet כבר הרבה פחות ברורה (האם אתה רוצה לאפשר למנקה לחבר לפטופ פרטי לנקודה בקיר אחרי שעות העבודה ולעשות כל העולה על רוחו?). לכן לסביבית אילו יש מנגנוני אבטחה הרבה יותר רציניים כולל ברמת ה-ethernet. תקרא שוב את התגובה של sys_admin שפירט על כל זאת.

Batnun
חבר מביא חבר
חבר מביא חבר
הודעות: 3448
הצטרף: מאי 2005
נתן תודות: 107 פעמים
קיבל תודות: 428 פעמים

נושא שלא נקרא #7 

Dor1992 כתב:אז אתה אומר שמידע שעובר באתרנט יכול להיות מוצפן באמצעות ieee? אני מניח שלרוב האנשים הפרטיים אין את הכלי הזה. אז למה אומרים שחשוב ברשת ביתית(לא מדבר כרגע על Lan של ארגונים גדולים או סודיים) לעשות הצפנה לwifi? הרי גם ככה יהיה מידע שעובר באתרנט שהוא לא מוצפן. אתן לך דוגמא:

נניח מישהו הצליח מרחוק למצוא באג בשרת dhcp של הראוטר שלי והצליח כך לקבל גישה לכל התעבורה בראוטר. אז אמנם הוא יראה את התעבורה שעוברת בIEEE מוצפנת אבל כל מה שעובר בethernet ולא עבר הצפנה בשכבת הייצוג הוא יוכל לראות ללא שון בעיה לא?
אז בגלל זה אמרתי שעשו חצי עבודה.

אז אמנם השכנים שלי או אדם זר שמגיע שנמצא בסביבת הבית שלי לא יוכלו להאזין למידע שעובר באמצעות IEEE אבל אדם שהצליח מרחוק לפרוץ לרשת שלי יוכל לראות חלק מהתעבורה שעוברת בethernet.

ואני אסכם את המסקנה שלי לא יודע אם היא נכונה:
הצפנת wifi נועדה בעיקר כנגד שכנים או אנשים שנמצאים בסביבתי.
הרי לפי הבנתי גם ככה המידע שכבר יוצא מהראוטר הלאה הוא לא מוצפן בwpa או הצפנה אחרת של wifi. אני הבנתי שהראוטר מפענח את ההצפנה ומעביר הלאה לספק לא?

הרי מומחה סייבר לא באמת יצטרך להגיע לסביבת הבית שלי כדי להאזין לתעבורה.. הוא יוכל לעשות את זה מרחוק גם ככה.
...
הצפנת WiFi נועדה לכך שלא יוכלו להתחבר לרשת האלחוטית שלך או להאזין למידע שעובר ברשת האלחוטית.
שרת ה-DHCP עובד ברשת הפנימית בלבד, אם מישהו הצליח להגיע אליו אז הוא כבר בתוך הרשת.
כן, הספק שלך יכול להאזין לתעבורת האינטרנט שלך, כי חיבור האינטרנט שלך עובר דרכו. אם אתה מודאג מזה, השתמש בשירות VPN אמין בתשלום.
מומחה סייבר כן יצטרך להגיע לסביבת הבית שלך כדי לנסות להתחבר דרך הרשת האלחוטית. אם השארת חיבור Ethernet מחוץ לדירה אין ספק שהעבודה שלו תהיה הרבה יותר קלה.

בכל מקרה, רוב האתרים והשירותים באינטרנט כיום משתמשים ב-TLS, כך שהמידע שלך מוצפן מהדפדפן ועד לשרת הווב של האתר או לשרת ה-Backend של האפליקציה.


Batnun

.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

נושא שלא נקרא #8 

@Batnun
·
@eran405

בכוונה דילגתי על tls. אני מתייחס רק למידע שלא עובר הצפנה בשכבת הייצוג.

אבל למה הלכתם כל כך רחוק למצב שבו צריך שלתוקף יהיה חיבור פיזי לרשת.

אם הוא מצליח להתחבר לwifi הוא לא יכול להאזין לתעבורה שעוברת באטרנט? היא הרי לא מוצפנת והוא פשוט בתוך הרשת הפנימית אז כבר יהיה לו הרבה יותר קל להאזין לתעבורה שעוברת בethernet מאשר לעשות את זה ממחשב מרחוק שנמצא בinternet ומהמחשב הזה לנסות להגיע לתעבורה של הרשת הפנימית.


כלומר הכוונה שלי היא שאם הוא הצליח לפרוץ לwifi הוא יראה עדיין את התעבורה שעוברת הדרך 802.11 מוצפנת אם יאזין לה. לעומת זאת הוא עדיין יכול להאזין לתעבורה הלא מוצפנת שעוברת בethernet באמצעות העובדה שהוא מחובר לLAN על גבי הwifi.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #9 

@Dor1992
·
אם מישהו הצליח לפרוץ ל WIFI שמוגן בהצפנה שמשתמשים בה ברשת ביתית, אז הוא יכול להאזין כבר ממילא לכל התעבורה שעוברת ב WIFI של רשת זו. אבל לא לכל התעבורה שעוברת ב ETHERNET , גם, אם היא לא מוצפנת והסיבה לכך כבר הסברתי בהתחלה.
את הקישורים למאמרים אני צירפתי לא סתם ליופי, אם אתה לא קורא אותם, אתה לא תצליח להבין את היסודות אלה. כדאי גם לקרוא על שרת DHCP, כי גם מי שמצליח למצאו בו "באג" זה עוד לא עומר שהוא על ידי כך יכול לקבל גישה לאיזושהי תעבורה. את שרת DHCP מנסים לפרוץ לצורך השגת דברים אחרים לגמרי.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #10 

sys_admin - לא מדוייק. גם אם מישהו משיג את סיסמת הרשת האלחוטית שלך הוא יוכל להתחבר לרשת אבל לא לתעבורה של תחנות אחרות ברשת.
כמובן שאחרי שהוא מתחבר לרשת הרבה יורת קל לנצל אקספלויטים כאלו ואחרים אבל זה לא אומר אוטמטית ששאר התעבורה האלחוטית ניתנת לפענוח.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #11 

@ag43
·
אחרי שתוקף כבר השיג את המפתח המשותף של רשת WIFI ביתית, שמוגנת בהצפנה של WPA2 PSK הוא כבר יכול בקלות עם כלים מתאימים גם לפענח בשלב הבא את כל התעבורה של רשת WIFI זאת.
כמובן שברשת WIFI ארגונית, שבה ההצפנה היא WPA2 ENTERPRISE הוא לא יכול לעשות את זה בניגוד לרשת הביתית.

MrYair
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3677
הצטרף: אוקטובר 2011
נתן תודות: 8 פעמים
קיבל תודות: 345 פעמים

נושא שלא נקרא #12 

נתחיל מזה שכל משצריך כדי לפרוץ את הסיסמה של ה WIFI שלך בבית זה מחשב נייד אם קאלי
חמש עשר דקות וה WIFI שלך נפרץ,כמו סיס אדמין אמר כדי לתגבר על החולשה הזאת אפשר להגדיר
MAC ACCESS LIST ולהגדיר איזה התקן אם איזה MAC יכול להיתחבר ל WIFI שלך כנ''ל לגבי רשת
קווית בהנחה ומדובר באותו ראוטר שנותן רשת אלחוטית וקווית ביחד.

החסרון פה שכל התקן צריך להכניס ידנית לרשימה היתרון הוא שגם אם השכן שלך פרץ לך ל WIFI
כדי לא לשלם על האינטרנט שלו הוא לא יוכל להיתחבר כי הראוטר מזהה שכתובת MAC לא נמצאת
ברשימה של התקנים שמותר להם להיתחבר לרשת.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #13 

בהנחה שהסיסמה שלך היא לא מספר הפלאפון שלך או 12345 (כלומר סיסמה נורמלית) והראוטר שלך עדכני מספיק כדי להתגבר על נוזקות krack יקח לשכן שלך בערך 35 מיליון שנה לפרוץ את הסיסמה שלך.
mac address spoofing עושים בשניה. אני מאוד מקווה שאתה לא מתייחס לMAC בתור משהו שקשור לאבטחה בכל צורה שהיא.
sysadmin - גם בWPa2 ביתי המפתח משתנה בכל התחברות (וגם בתוכה) כך שידיעת המפתח לא אומרת אוטומטית פריצת התעבורה של תחנה אחרת. זה נכון שיש מספר אקספלוייטים שעלולים לאפשר לך להתחזות לתחנה אחרת בתנאים מסויימים.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #14 

כפי שכבר הסברתי לפני זה, לא משנה מה המורכבות או אורך של המפתח המשותף ברשת ביתית אלחוטית שמוגנת ב WPA2-PSK, או, אם קיימת חולשה KRACK ( ולא נוזקות, כי נוזקות, זה דבר אחר לגמרי ) או שכבר מדובר על FIRMWARE בנתב שבה כבר טיפלו בחולשה זו. אם אותו מפתח משותף, אפילו הכי מורכב יהיה ידוע ותוקף כבר התחבר איתו לרשת ביתית, אז הוא עם כלים הכי פשוטים גורם לכל הלקוחות מיד להתנתק מנקודת גישה ובהתחברות חוזרת שלהם הוא מקבל את כל ה EAPOL-Messages שכוללות את כל השלבים וכל הפרטים של four way handshake של כל אחד מהלקוחות אחרים ומשם הוא משיג את כל המפתחות PTK של כל SESSION של כל לקוח ומפענח את התעבורה on the fly.

כל זה מתבצע, אפילו עם כלים הכי פשוטים ולא מצריך שום זמן, מאמץ או ידע.

והבעיה של חולשת KRACK הייתה אחרת לגמרי. אם לפשט את הנושא לגמרי, אז במסגרת החולשה ההיא, היה מדובר שהתוקף יכול גם לשתול מידע לתוך התעבורה של לקוחות אחרים, כך שהם וגם נקודת גישה יחשבו שמדובר על מידע שמתקבל בצורה לגיטימית.

כמובן שברשתות WIFI שמוגנות עם WPA2 ENTERPRISE כל זה לא אפשרי.

mescaline
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #15 

אצלי במשרד יש רדיוס וגם מי שמחבר מכשיר קווי צריך שם משתמש וססמא כדי להתחבר לרשת

ל wifi צריך גם את ססמאת ה WIFI וגם שם ממשתמש וססמא

המשתמש מראש מוגדר לאיזה VLAN הוא מתחבר

ברגע שהוא הכניס אותה היא תעבוד לו רק על המכשיר הראשון שהתחבר גם לפי הה MAC, זיהוי מערכת הפעלה, שם מחשב ואולי עוד פרמטר ששכחתי, אז זיוף MAC לא מספיק.

קרה שעובדת איבדה את המכשיר שלה, היוזר נמחק ולמעשה גם מי שיש לו את המכשיר ואפילו את פרטי הגישה לא יכול להתחבר לרשת למרות שסיסמת ה WIFI עדיין תקפה

קרה שעובד שנגיד מורשה להתחבר לכל הרשתות ניתק מדפסת וחיבר את המחשב שלו, הוא לא יצליח להתחבר ואני מקבל מייל ואני רואה בדיוק איזה משתמש עשה זאת, חוץ מ ה MAC שלה המערכת הפעלה שלה מזוהה בשם xilinix v3.1 או משהו כזה ועוד פרטים שקשה להתחקות אחריהם
נערך לאחרונה על ידי mescaline ב 18/05/2020 11:18, נערך פעם 1 בסך הכל.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”