En mi casa tengo un enrutador protegido con WPA2-PSK (WPA2 Personal), usando la frase de contraseña.
Cuando intento iniciar sesión en una página a través de Internet (esta página no usa HTTPS para iniciar sesión), todos mis datos se envían en texto sin cifrar (ya que puedo ver la contraseña que ingresé en Wireshark).
¿Por qué es eso? Quiero decir, mi WiFi está protegido, por lo que toda la comunicación debería estar cifrada, ¿no?
Quiero decir, mi WiFi está protegido, por lo que toda la comunicación debería estar cifrada, ¿no?
Lo es, pero no en el lugar donde lo estás leyendo. El cifrado se produce en un cierto punto de la "tubería", y el descifrado también debe ocurrir en un punto determinado de la "tubería" (de lo contrario, los datos son inútiles). Usted está observando los datos después de que se hayan descifrado, lo que no sería posible si estuviera usando HTTPS (que en su lugar proporciona un cifrado de extremo a extremo, que comienza en el servidor y termina en el navegador).
Si intentara usar Wireshark para capturar el contenido de una transacción HTTPS, sería así:
+--------+ (encrypted) +----------+ (encrypted) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (e)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (e)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
Aquí, su navegador sabe cómo descifrar los datos, porque "posee" la transacción HTTPS en primer lugar; su instancia de Wireshark (que, por el propósito mismo del cifrado de extremo a extremo, se trata como cualquier otro detonador en este escenario) no lo hace.
Pero su cifrado inalámbrico comienza en el enrutador y termina en la tarjeta de red de la PC, por lo que el resultado es más como este:
+--------+ (plaintext) +----------+ (plaintext) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (p)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (p)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
Aquí, cualquier cosa en su PC puede leer los datos, ya que fueron descifrados por su tarjeta de red. De lo contrario, ¿qué aplicación descifraría los datos? Nada funcionaría.
Casi no hay relación entre HTTPS y WPA2-PSK; hacen trabajos completamente diferentes.
El uso de un enrutador con WPA2-PSK (o cualquier otro algoritmo de cifrado de red) no significa que todos los sitios estén obligados a usar https. Significa que el tráfico no cifrado no es visible para aquellos que no están conectados a la red.
Considere HTTPS como una relación entre su navegador y el sitio web.
Considere WPA2-PSK como la relación entre su dispositivo y su punto de acceso.
Cuando ejecutas Wireshark en una computadora, estás capturando el tráfico que la computadora puede "ver".
Si ejecuta Wireshark mientras navega por sitios web HTTP, la computadora "ve" los datos en texto sin cifrar, ya que el cifrado de Wi-Fi se produce a nivel de enrutador / punto de acceso, lo que se conoce como "capa de enlace".
Si, por otro lado, ejecuta Wireshark mientras navega por sitios web HTTPS, Wireshark "ve" datos encriptados, incluso si no está usando encriptación Wi-Fi, porque la encriptación HTTPS (SSL / TLS) ocurre en el nivel del navegador o, más precisamente, en la "capa de aplicación".
Piensa de esta manera.
Un punto de acceso permite que varios dispositivos se conecten a Internet. Sin ningún tipo de cifrado, cualquier dispositivo (ya sea dentro o fuera de la red inalámbrica) podría "ver" el tráfico en texto sin cifrar desde y hacia cualquier dispositivo conectado a la red. El cifrado de Wi-Fi evita que los dispositivos fuera de la red vean su tráfico (para eso se usa la frase de contraseña) y evita que los dispositivos dentro de la red se espíen entre sí (simplificando un poco, los datos se cifran con claves diferentes para cada dispositivo). Por lo tanto, si Alice y Bob están conectados al punto de acceso AP, no solo Eve (que está fuera de la red) no puede ver el tráfico relacionado con Alice y Bob, sino que Bob no puede ver lo que Alice está haciendo y viceversa.
Sin embargo, el propietario de la red Wi-Fi puede ver fácilmente lo que Alice y Bob están haciendo.
La analogía
Piense en el cifrado (por el momento) como una serie de tubos, y en los datos como cartas enviadas a través de esos tubos.
La red inalámbrica es una sala enorme donde se pueden leer, escribir y transmitir mensajes, ya que también incluye una oficina postal (punto de acceso).
La oficina de correos permite que sus cartas se envíen a alguien que usa otra casilla, quizás en la otra parte del mundo. Lo hace comprobando la dirección escrita en la carta y enviándola.
Si se usa el cifrado Wi-Fi, la sala se bloquea y cada usuario tiene un tubo distinto, a través del cual puede enviar y recibir mensajes.
Internet es todo lo que está fuera de la enorme sala. Alice y Bob están dentro de la habitación, Eve está afuera.
Descargo de responsabilidad: en aras de la brevedad, habla = escribe y lee en este contexto
1) Si la habitación no estuviera cerrada, sin tubos, y estuviera enviando postales con texto claro ( sin cifrado Wi-Fi, sin HTTPS ), tendría una oficina postal que funcionaba (correctamente enviando y recibiendo cartas), pero muy insegura. Alice pudo agarrar las cartas enviadas por Bob, y viceversa. Además, cualquiera podría entrar en la oficina de correos y tomar cualquier carta. En otras palabras, sería un gran lío.
2) Cifrado Wi-Fi, sin HTTPS corresponde a una habitación cerrada con un tubo por persona, por lo que Alice no puede tomar las cartas enviadas o recibidas por Bob. Claramente, Eve, que ni siquiera está en la habitación, no puede ver nada. Sin embargo, esas cartas son postales de texto claro, lo que significa que el contenido no está cifrado. Esto significa que la oficina de correos puede ver todo lo que envía y recibe.
Ahora, puede que no te guste esto. ¿Por qué debería la oficina de correos leer sus mensajes si solo necesitan enviarlos? Luego está de acuerdo con las personas con las que se está comunicando y decide escribir tarjetas postales codificadas o cifradas. Por ejemplo, HI MIKE se convertiría en FJSDJHDNFSJ.
De esta manera, la oficina de correos no puede entender de qué hablan usted y sus amigos.
3) Un sistema con tarjetas cifradas y una sala desbloqueada sin tubos distintos es similar a sin cifrado Wi-Fi, pero HTTPS . Así que la oficina de correos no sabe lo que estás escribiendo y leyendo, y Eve (quien está fuera de la sala cerrada, pero puede ver tus cartas cuando salen de la sala) puede recopilar o copiar tus mensajes pero no puede entenderlos. Todo está bien, ¿verdad? Bueno no. Bob, Eve y otras personas (tanto dentro como fuera de la red) aún pueden ver con quién estás hablando.
4) Si el sistema incluye una sala cerrada con tarjetas cifradas con tubos distintos y , es similar a encriptación Wi-Fi + HTTPS , lo cual es bastante bueno. Nadie sabe de qué está hablando, y solo la oficina de correos sabe con quién está hablando.
TL; DR. HTTP en Wi-Fi protegido por contraseña le permite a usted y al propietario del punto de acceso leer su tráfico, incluso si otras personas en la misma red no pueden.
HTTPS en Wi-Fi protegido por contraseña significa que solo usted puede leer su tráfico, y solo el propietario del punto de acceso sabe qué sitios web está visitando.
Además, si no desea que el propietario de AP sepa qué sitios web está visitando, debe usar otras soluciones, incluidas VPN y Tor.
El hecho de que su wifi esté protegido con WPA2 significa que las señales enviadas por aire desde su computadora al enrutador están encriptadas, nada más. De ahí en adelante (desde el enrutador hasta el próximo salto de su ISP y luego hasta el servidor web que atiende su solicitud) el tráfico no se encripta.
https, sin embargo, proporciona encriptación de extremo a extremo. Un extremo es su navegador (de su lado), el otro es el servidor web que atiende la solicitud. De extremo a extremo significa que ninguna entidad entre esos dos extremos puede ver el texto sin formato. Verifique un sitio web https arbitrario y verá: Wireshark no puede ver nada porque Wirehark escucha en la interfaz de la red y solo obtiene los datos después de que el navegador ya los haya cifrado. Por otro lado, WPA2 no es de extremo a extremo. El dispositivo de red maneja el cifrado (y Wireshark intercepta los datos antes de que el dispositivo lo haga). Es por eso que puede ver datos de texto claro. Un punto importante que debe hacer aquí es que lo que puede hacer en su computadora que todos los demás pueden hacer en cada enrutador de Internet que obtiene los datos entre su enrutador wifi y el servidor web. Por lo tanto, considere WPA2 como un medio para proteger la privacidad de la parte aérea de su red doméstica. Si desea la confidencialidad de la comunicación que se transmite a través de Internet, los protocolos de cifrado de extremo a extremo (como https) son el método de elección.
Hay muchas ideas aquí, con diversos grados de inexactitud.
WPAx cifra el tráfico por aire, entre su dispositivo y su punto de acceso inalámbrico (AP), y en ningún otro lugar (incluido el enrutador).
Incluso si tiene un solo dispositivo al que llama "enrutador" o "módem", en realidad (normalmente) tiene 4 dispositivos. Todas están integradas en la misma caja para mayor comodidad y para facilitar la configuración de la red para los usuarios domésticos. En mi (s) red (es), literalmente, todos estos son dispositivos físicamente separados.
Tienes:
WPAx only cifra los paquetes entre tus dispositivos y el AP.
El AP descifra los paquetes, los transforma en viejos paquetes de Ethernet normales y los reenvía al conmutador. Cualquier otra cosa conectada a ese interruptor podría leer sus paquetes en texto sin formato.
Su enrutador está también conectado al conmutador, y el módem está conectado al enrutador o al conmutador.
La ruta del tráfico se ve así:
[device ----- AP] ---- switch ---- router ---- modem -> Internet
WPAx |
|
computer, printer?
WPAx es un protocolo de seguridad solo inalámbrico. Es parte de la ruta entre sus dispositivos y su punto de acceso. Si tiene una computadora conectada a su interruptor con un cable, esa computadora podría ver su tráfico "inalámbrico" sin encriptar, y también cualquier paquete que salga a Internet a través de su enrutador y módem tampoco estará encriptado.
El cifrado WPA2-PSK es para proteger la emisión de radio inalámbrica entre la tarjeta inalámbrica de la PC y el enrutador Wifi. La carga útil (datos) transferida entre el cliente de PC (es decir, el navegador web) y el servidor remoto puede estar encriptada (SSL, etc.) o no, esta es otra capa. Sin WPA2-PSK, cualquier persona que se encuentre cerca de su alcance (~ 50 metros) puede espiar todo su tráfico. Para una comparación simple, imagine que el Wifi con WPA2-PSK es un cable enthernet que va dentro de su casa donde las personas externas no tienen acceso y sin el WPA2-PSK, el mismo cable pasa por un lugar público (calle, techo, etc.)
Aunque existe una cosa llamada "Protocolo de Internet", no existe un protocolo único que componga Internet. Más bien, Internet está formado por muchos protocolos diferentes, varios de los cuales se usan juntos en un momento dado para formar lo que se llama un stack .
La capa más baja de la pila se llama capa de enlace , y trata la cuestión de cómo obtener una señal entre dos máquinas que están conectadas directamente de alguna manera. Ethernet es un ejemplo de un protocolo de capa de enlace. Lo mismo ocurre con Wi-Fi, y PPP (usado más famoso por los módems, pero DSL y los teléfonos celulares también lo usan entre bastidores).
La siguiente capa se llama capa de Internet , y trata la cuestión de cómo obtener una señal entre dos máquinas que no están conectadas directamente, usando una serie de las máquinas que son. La IP (el "Protocolo de Internet" que mencioné anteriormente) vive aquí. Tenga en cuenta que la capa de enlace no tiene que saber o importar cómo las máquinas están conectadas: es teóricamente posible que sus datos pasen por Wi-Fi, Ethernet, PPP y otros tipos de enlaces más exóticos. de camino a su destino, y no hará ninguna diferencia.
Por encima de esto está la capa de transporte , que toma la señal y la convierte en datos significativos de algún tipo. TCP, que recopila estas señales y las convierte en "conexiones" de mayor duración, vive aquí. Lo mismo ocurre con UDP, que está menos preocupado por las conexiones y simplemente dispara fragmentos de datos de un lado a otro. al igual que una serie de otras cosas.
Por último, aparece la capa de aplicación , donde los datos de la capa de transporte se interpretan para fines particulares. HTTP vive aquí, al igual que varios protocolos de mensajería, la mayoría de los protocolos de juegos y la mayoría de las otras cosas en las que pensamos cuando pensamos en Internet.
La razón por la que todo lo anterior es importante es que cifrar el tráfico web solo afecta a las capas en o debajo de la capa donde ocurre el cifrado . WPA protege a Wi-Fi, que es un protocolo de capa de enlace: el tráfico está encriptado, pero solo entre las dos máquinas que están conectadas directamente, porque así es como funcionan los protocolos de capa de enlace. Wireshark ve el texto en claro porque cuando el tráfico llega a él, ya se ha descifrado .
Para que Wireshark no pueda oler el contenido de una conexión, debes cifrarla en una capa más alta de la que Wireshark trabaja, para que no se haya descifrado cuando Wireshark la ve . Esto es para lo que SSL / TLS es. Funciona en la capa de la aplicación (aunque actúa como otra capa de transporte, por lo tanto, el nombre "Seguridad de la capa de transporte"), por lo que si ejecuta Wireshark en él, verá texto cifrado. En realidad, hay formas de hacer que Wireshark se ocupe de esto, pero implican alterar fundamentalmente la conexión para que Wireshark pueda actuar como un hombre en el medio. No es algo que pueda hacer a menos que ya sepa las claves de cifrado que utilizará la conexión.