在家里,我有一个简单的 ISP 提供的路由器,我为我们的笔记本电脑和其他设备设置了 WPA2-PSK 无线网络。当我在玩 Wireshark 时,我注意到我可以使用我的笔记本电脑查看我的平板电脑在互联网上做什么,而平板电脑不会注意到任何事情。
我认为这是可行的,因为所有设备都具有相同的无线密钥,并且无法将包裹发送给一个收件人。收件人通常很友善,可以忽略所有未发给他们的包裹。
当人们访问时,我会给他们钥匙,因为我相信他们足以进行非法活动(至少是在知情的情况下)或窃听我的流量。但是,他们可以在技术上。我想出了一个极端的例子,Eve 会拿一部旧智能手机,输入 Alice 网络的密钥,然后在一些家具后面给它充电。它会记录部分流量(如 HTTP 中的 DNS 请求和密码)并将其发送到某个服务器。爱丽丝不会注意到这一点,即使她找到了电话,伊芙也可以说她只是忘记了她在那里给电话充电。
设置 WPA2-Enterprise 是否会缓解这种嗅探问题,至少跨不同的身份?
除非您碰巧捕获了包含其会话密钥的初始 EAPOL 注册,否则无法在您的无线网络上看到来自其他用户的单播流量。否则,即使在监控模式下,您也只会看到他们的广播流量,这些流量旨在被其他所有设备接收,不应构成安全风险。我相信您已经注意到了这种广播流量,并假设您可以看到来自网络上其他设备的所有通信。
这是 WPA2 的一个特性,而不是 WPA2-Enterprise。堆栈中更高级别发生的任何其他事情(例如 ARP)对这种情况没有影响。您可以将 WPA2 视为类似于有线网络交换机。
如果我理解正确(无线网络不是我的专业领域之一),WPA2-Enterprise 会为每个客户端协商一个唯一的加密密钥,这将使被动嗅探 WiFi 变得更加困难。
另一方面,如果用户能够加入网络,他就不需要关心您的计算机如何与接入点通信。他总是可以尝试使用ARP 中毒来路由所有流量通过他的机器。
是的,WPA2-Enterprise 可以防止您描述的嗅探。由于每个客户端都会为每个会话获取一个新的和不同的 PMK,因此客户端无法解密其他客户端的流量。
可以通过打开客户端分离来防止 ARP 中毒(这样客户端将无法相互连接,只能通过有线网络连接)。尽管我认为大多数较新的接入点甚至不允许任何 ARP 通过,但它本身会向有线网络和无线客户端回复 ARP,剥离他们看不到或可能看不到的东西。
我认为解决这个问题的更简单的方法是广播多个 SSID。大多数 SoHo 路由器都支持多个 SSID。
使用多个 SSID,您可以指定 1 个供个人/家庭使用,1 个供客人使用。每个 SSID 上的流量通过 VLAN 标记与另一个隔离,但是仔细检查是谨慎的,因为我遇到了一些自动桥接网络的路由器,并且没有禁用桥接的选项。
更多信息在这里:https ://superuser.com/questions/354958/how-do-multiple-ssids-provide-security
使用 WPA2-Enterprise,您需要一个具有内置半径服务器的路由器,或者在单独的机器上运行您自己的半径服务器。内置半径仅在某些商务路由器上可用。