¿Son seguras las conexiones no SSL en una red inalámbrica local con protección por contraseña?

14

En breve: Estoy trabajando en un proyecto en el que varios dispositivos de IoT están conectados a una contraseña WPA2 y un punto de acceso protegido por filtrado de MAC. ¿Se puede filtrar la comunicación en esta red ya que no uso TLS?

No quiero usar TLS ya que los recursos de mis dispositivos de IoT son realmente limitados, y la implementación de TLS ocuparía gran parte de ellos. Por lo tanto, quiero crear una red WiFi privada, con protección de contraseña WPA2 y filtrado de direcciones MAC, por lo que puedo garantizar que solo los dispositivos que permito estén conectados. La única pregunta en mi mente es, ¿se puede robar la información enviada a través de esta red? ¿La protección con contraseña solo detiene los dispositivos extranjeros para unirse a la red o también encierra los datos?

PS: mi red WiFi privada no tiene conexión a Internet, solo son dispositivos Access Point + IoT.

    
pregunta jnbrq -Canberk Sönmez 17.07.2017 - 11:57
fuente

3 respuestas

24

Aunque los mensajes enviados a través de wi-fi están cifrados con una clave de sesión, un dispositivo que ya conoce la clave precompartida puede descifrar el tráfico. WPA no implementa el Secreto de reenvío, por lo tanto, al poseer la clave precompartida, cualquiera puede descifrar todo el tráfico que no está cifrado por los protocolos de capa OSI superior (por ejemplo, TLS).

Por lo tanto, al transferir datos confidenciales, debe utilizar un mecanismo de protección de datos externo, por ejemplo, TLS.

    
respondido por el Crypt32 17.07.2017 - 12:33
fuente
7

Entonces, todo lo que necesito para extraer algo de su red es la única clave de red que está almacenada en todos los dispositivos ...  Hace que sea bastante fácil interceptar y manipular sus dispositivos IoT. Mejor uso de TLS en una configuración de extremo a extremo.

Pero para responder a su pregunta sobre WiFi, la conexión que configure con su punto final tendrá algún nivel de cifrado. lo suficiente para prevenir la mayoría de los abusos. pero no lo suficiente como para evitar que determinadas personas descifren su comunicación. La fuerza de la codificación depende de la longitud de la clave utilizada para cifrar el canal (por lo que una contraseña más larga proporcionaría un canal mejor protegido)

El filtrado de MAC solo es útil en redes que rara vez se conectan (ya que cualquier mensaje en la red desde un dispositivo perderá su MAC).

Casi siempre es mejor invertir los pocos dólares necesarios para incluir un chip TLS o un módulo de software. como ejemplo, puede consultar este sitio dirigido a los creadores de IoT .

En conclusión, si bien WiFi emplea cifrado, no es lo suficientemente bueno como para confiar exclusivamente en la integridad o el abuso de los datos. su solución probablemente requerirá un componente TLS para su seguridad.

    
respondido por el LvB 17.07.2017 - 12:43
fuente
1

Cuando los datos del paciente están involucrados, HIPAA / HITECH (en los EE. UU., leyes similares en otros lugares) requiere que los datos en movimiento estén encriptados. Podría argumentar, razonablemente, que WiFi encripta la señal y, por lo tanto, está cubierto.

Si estuviera realizando una evaluación de su implementación personalmente, argumentaría que los datos solo se cifran a través de los segmentos WiFi de la red, lo que no es suficiente protección. Nada impide que los datos se enruten a través de segmentos de red que no son WiFi, por lo que no debe confiar únicamente en el cifrado de WiFi . También es posible desactivar (o hacer ineficaz) el cifrado de WiFi mientras que TLS definitivamente funcionará.

Como han dicho otros, obtener acceso a la red permitirá de manera trivial que un cliente no autorizado vea cualquier tráfico que no esté encriptado para ser capturado. El uso de TLS prohíbe este vector de ataque.

Si bien es posible que pueda sobrevivir a una demanda basada en la afirmación de que "WiFi está encriptada, entonces estamos bien", nunca pagaría por una solución que se basa únicamente en WiFi para el cifrado, y nunca permitiría que un cliente para utilizar dicha tecnología tampoco.

    
respondido por el Christopher Schultz 19.07.2017 - 00:23
fuente

Lea otras preguntas en las etiquetas