Ich meine, mein WLAN ist geschützt, daher sollte die gesamte Kommunikation verschlüsselt sein, oder?

Es ist, aber nicht an der Stelle, an der Sie es lesen. Die Verschlüsselung erfolgt an einem bestimmten Punkt in der "Pipeline", und die Entschlüsselung muss dann auch an einem bestimmten Punkt in der "Pipeline" erfolgen (andernfalls sind die Daten unbrauchbar). Sie beobachten die Daten nach ihrer Entschlüsselung, was bei Verwendung von HTTPS (das stattdessen eine End-to-End-Verschlüsselung bietet, die am Server beginnt und am Browser endet) nicht möglich wäre.

Wenn Sie versuchen würden, den Inhalt einer HTTPS-Transaktion mit Wireshark zu erfassen, würde dies folgendermaßen aussehen:

  + -------- + (verschlüsselt) + --- ------- + (verschlüsselt) + -------- + | Server | ----------- > | Internet | ------------ > | Router | + -------- + + ---------- + + -------- + | | (verschlüsselt) + ------------------ + --- + | Ihr PC | | | + ----------- + (e) | | | | Browser | < --- + | | + ----------- + | | | + ----------- + (e) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +  

Hier weiß Ihr Browser, wie die Daten entschlüsselt werden, weil er "besitzt" "die HTTPS-Transaktion an erster Stelle; Ihre Wireshark-Instanz (die im Sinne der End-to-End-Verschlüsselung wie jeder andere Snooper in diesem Szenario behandelt wird) funktioniert nicht.

Ihre drahtlose Verschlüsselung beginnt jedoch am Router und endet am die Netzwerkkarte des PCs, daher ist das Ergebnis für Sie eher wie folgt:

  + -------- + (Klartext) + ---------- + (Klartext) + -------- + | Server | ----------- > | Internet | ------------ > | Router | + -------- + + ---------- + + -------- + | | (verschlüsselt) + ------------------ + --- + | Ihr PC | | | + ----------- + (p) | | | | Browser | < --- + | | + ----------- + | | | + ----------- + (p) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +  

Hier kann alles auf Ihrem PC die Daten lesen, da sie entschlüsselt wurden von Ihrer Netzwerkkarte. Welche Anwendung würde sonst die Daten entschlüsseln? Nichts würde funktionieren.

Es gibt fast keine Beziehung zwischen HTTPS und WPA2-PSK. Sie machen ganz andere Jobs.

Die Verwendung eines Routers mit WPA2-PSK (oder einem anderen Netzwerkverschlüsselungsalgorithmus) bedeutet nicht, dass alle Sites gezwungen sind, https zu verwenden. Dies bedeutet, dass der unverschlüsselte Datenverkehr für diejenigen nicht sichtbar ist, die nicht mit dem Netzwerk verbunden sind.

Betrachten Sie HTTPS als eine Beziehung zwischen Ihrem Browser und der Website.

Betrachten Sie WPA2-PSK als Beziehung zwischen Ihrem Gerät und Ihrem Zugangspunkt.

Wenn Sie Wireshark auf einem Computer ausführen, erfassen Sie den Datenverkehr, den der Computer "sehen" kann.

Wenn Sie Wireshark beim Surfen auf HTTP-Websites ausführen, "sieht" der Computer Daten im Klartext , weil die Wi-Fi-Verschlüsselung auf der Ebene des Routers / Zugriffspunkts erfolgt, die als "Verbindungsschicht" bezeichnet wird.

Wenn Sie andererseits Wireshark ausführen, während Sie HTTPS-Websites durchsuchen, sieht Wireshark " "verschlüsselte Daten, auch wenn Sie keine Wi-Fi-Verschlüsselung verwenden, da die HTTPS-Verschlüsselung (SSL / TLS) auf Browserebene oder genauer auf der" Anwendungsschicht "erfolgt.

Denken Sie daran Weg.

Über einen Zugangspunkt können mehrere Geräte eine Verbindung zum Internet herstellen. Ohne jede Art von Verschlüsselung kann jedes Gerät (ob innerhalb oder außerhalb des drahtlosen Netzwerks) den Datenverkehr im Klartext von und zu jedem mit dem Netzwerk verbundenen Gerät "sehen". Die Wi-Fi-Verschlüsselung verhindert, dass Geräte außerhalb des Netzwerks Ihren Datenverkehr sehen (dafür wird die Passphrase verwendet), und verhindert, dass Geräte innerhalb des Netzwerks sich gegenseitig ausspionieren (ein wenig vereinfacht, Daten werden für jedes Gerät mit unterschiedlichen Schlüsseln verschlüsselt). Wenn Alice und Bob mit dem Access Point AP verbunden sind, kann nicht nur Eve (die sich außerhalb des Netzwerks befindet) den mit Alice und Bob verbundenen Datenverkehr nicht sehen, sondern Bob kann auch nicht sehen, was Alice tut, und umgekehrt.

Der Besitzer des Wi-Fi-Netzwerks kann jedoch leicht sehen, was Alice und Bob tun.

Die Analogie

Stellen Sie sich Verschlüsselung (im Moment) als eine Reihe von Röhren vor und Daten als Buchstaben, die durch diese Röhren gesendet werden.

Das drahtlose Netzwerk ist ein riesiger Raum, in dem Sie Nachrichten lesen, schreiben und übertragen können, da es auch ein Postamt (Zugangspunkt) enthält.

Über die Post können Ihre Briefe mit einer anderen Box an jemanden gesendet werden, vielleicht auf der anderen Seite der Welt. Dazu wird die auf dem Brief angegebene Adresse überprüft und an diesen gesendet.

Wenn Wi-Fi-Verschlüsselung verwendet wird, ist der Raum gesperrt und jeder Benutzer verfügt über eine eigene Röhre, über die er Nachrichten senden und empfangen kann.

Das Internet ist alles, was sich außerhalb des riesigen Raums befindet . Alice und Bob sind im Raum, Eve ist außerhalb des Raums.

Haftungsausschluss: Der Kürze halber in diesem Zusammenhang sprechen = schreiben und lesen

1) Wenn der Raum nicht ohne Röhren verschlossen wäre und Sie Klartext-Postkarten senden würden ( keine Wi-Fi-Verschlüsselung, kein HTTPS ), hätten Sie ein funktionierendes Postamt (korrektes Senden und Briefe erhalten), aber eine sehr unsichere. Alice konnte die Briefe von Bob und umgekehrt greifen. Außerdem konnte jeder die Post betreten und sich einen beliebigen Brief schnappen. Mit anderen Worten, es wäre ein großes Durcheinander.

2) Wi-Fi-Verschlüsselung, kein HTTPS entspricht einem verschlossenen Raum mit einer Röhre pro Person, sodass Alice nicht greifen kann die von Bob gesendeten oder empfangenen Briefe. Offensichtlich kann Eva, die nicht einmal im Raum ist, nichts sehen. Diese Buchstaben sind jedoch Klartextpostkarten, was bedeutet, dass der Inhalt nicht verschlüsselt ist. Dies bedeutet, dass die Post alles sehen kann, was Sie senden und empfangen.

Nun mag Ihnen dies möglicherweise nicht. Warum sollte die Post Ihre Nachrichten lesen können, wenn sie nur versendet werden müssen? Sie stimmen dann den Personen zu, mit denen Sie kommunizieren, und entscheiden sich dafür, verschlüsselte oder verschlüsselte Postkarten zu schreiben. Zum Beispiel würde HI MIKE zu FJSDJHDNFSJ.

Auf diese Weise kann die Post nicht verstehen, worüber Sie und Ihre Freunde sprechen.

3) Ein System mit verschlüsselten Karten und einem nicht gesperrten Raum ohne eindeutige Röhren ähnelt keiner Wi-Fi-Verschlüsselung, sondern HTTPS . Die Post weiß also nicht, was Sie schreiben und lesen, und Eve (die sich außerhalb des verschlossenen Raums befindet, aber Ihre Briefe beim Verlassen des Raums sehen kann) kann Ihre Nachrichten sammeln oder kopieren, sie jedoch nicht verstehen. Alles ist gut, oder? Nun, nein. Bob, Eve und andere Personen (sowohl innerhalb als auch außerhalb des Netzwerks) können weiterhin sehen, mit wem Sie sprechen.

4) Wenn das System einen verschlossenen Raum mit unterschiedlichen Röhren und verschlüsselte Postkarten, es ähnelt Wi-Fi-Verschlüsselung + HTTPS , was ziemlich nett ist. Niemand weiß, wovon Sie sprechen, und nur die Post weiß, mit wem Sie sprechen.

TL; DR. HTTP auf passwortgeschütztem WLAN ermöglicht Sie und der Access Point-Eigentümer können Ihren Datenverkehr lesen, auch wenn andere Personen im selben Netzwerk dies nicht können.

HTTPS in passwortgeschütztem Wi-Fi bedeutet, dass nur Sie Ihren Datenverkehr lesen können und nur der Access Point-Eigentümer weiß, welche Websites Sie besuchen.

Nebenbei, wenn Wenn Sie nicht möchten, dass der AP-Besitzer weiß, welche Websites Sie besuchen, sollten Sie andere Lösungen verwenden, einschließlich VPNs und Tor.

Dass Ihr WLAN WPA2-geschützt ist, bedeutet nur, dass die über Funk von Ihrem Computer an den Router gesendeten Signale verschlüsselt sind, sonst nichts. Von da an (vom Router zum nächsten Hop Ihres ISP und schließlich zum Webserver, der Ihre Anfrage bearbeitet) ist der Datenverkehr unverschlüsselt.
https bietet jedoch eine End-to-End-Verschlüsselung. Ein Ende ist Ihr Browser (auf Ihrer Seite), das andere Ende ist der Webserver, der die Anfrage bedient. Ende-zu-Ende bedeutet, dass keine Entität zwischen diesen beiden Enden den Klartext sehen kann. Überprüfen Sie eine beliebige https-Website und Sie werden sehen: Wireshark kann nichts sehen, da wireshark auf der Netzwerkschnittstelle lauscht und die Daten erst abruft, nachdem der Browser sie bereits verschlüsselt hat. Andererseits ist WPA2 nicht durchgängig. Das Netzwerkgerät übernimmt die Verschlüsselung (und Wireshark fängt die Daten ab, bevor das Gerät dies tut). Aus diesem Grund können Sie Klartextdaten anzeigen.
Ein wichtiger Punkt hierbei ist, dass Sie auf Ihrem Computer alle anderen Funktionen auf jedem Internet-Router ausführen können, der die Daten zwischen Ihrem WLAN-Router und dem Webserver abruft. Betrachten Sie WPA2 daher als Mittel zum Schutz der Privatsphäre des über Funk gesendeten Teils Ihres Heimnetzwerks. Wenn Sie die Vertraulichkeit der Kommunikation über das Internet wünschen, sind End-to-End-Verschlüsselungsprotokolle (wie https) die Methode der Wahl.

Hier rollen viele Ideen mit unterschiedlichem Grad an Ungenauigkeit herum.

WPAx verschlüsselt den drahtlosen Verkehr zwischen Ihrem Gerät und Ihrem drahtlosen Zugangspunkt (AP) und Nirgendwo sonst (einschließlich des Routers).

Selbst wenn Sie nur ein Gerät haben, das Sie als "Router" oder "Modem" bezeichnen, haben Sie tatsächlich (normalerweise) 4 Geräte. Sie sind alle nur in dieselbe Box integriert, um die Netzwerkkonfiguration für Privatanwender zu vereinfachen. In meinen eigenen Netzwerken sind dies buchstäblich alle physisch getrennte Geräte.

Sie haben:

• Ein Modem: normalerweise Kabel oder DSL, das Ethernet-Pakete überbrückt Ihr Heimnetzwerk ins Internet
• Ein Router: Dieser leitet Pakete zwischen verschiedenen Netzwerken weiter und verfügt im Allgemeinen über Firewall-Sicherheitsfunktionen.
• Ein Ethernet-Switch: Alles, mit dem verbunden ist Ein Switch befindet sich im selben lokalen Netzwerk (LAN).
• Ein drahtloser Zugangspunkt (AP): Dies ist, was Ihre drahtlosen Geräte mit

WPAx verbinden nur verschlüsselt Pakete zwischen Ihren Geräten und dem AP.

Der AP entschlüsselt die Pakete, wandelt sie in normale alte Ethernet-Pakete um und leitet sie an den Switch weiter. Alles andere, was an diesen Switch angeschlossen ist, kann Ihre Pakete möglicherweise im Klartext lesen.

Ihr Router ist auch mit dem Switch verbunden, und das Modem ist entweder mit dem Router oder mit dem verbunden switch.

Der Verkehrspfad sieht folgendermaßen aus:

  [Gerät ----- AP] ---- Switch ---- Router ---- Modem -> Internet WPAx | | Computer, Drucker?  

WPAx ist ein ausschließlich drahtloses Sicherheitsprotokoll. Es ist Teil des Pfades zwischen Ihren Geräten und Ihrem Zugangspunkt. Wenn Sie einen Computer mit einem Kabel an Ihren Switch angeschlossen haben, kann dieser Computer Ihren "drahtlosen" Datenverkehr unverschlüsselt sehen, und auch alle Pakete, die über Ihren Router und Ihr Modem ins Internet gelangen, sind unverschlüsselt.

Die WPA2-PSK-Verschlüsselung schützt die Funkemission zwischen der PC-Funkkarte und dem WLAN-Router. Die zwischen dem PC-Client (d. H. Dem Webbrowser) und dem Remote-Server übertragenen Nutzdaten können verschlüsselt werden (SSL usw.) oder nicht - dies ist eine weitere Schicht. Ohne WPA2-PSK kann jeder in der Nähe (~ 50 Meter) Ihren gesamten Verkehr ausspionieren. Stellen Sie sich zum einfachen Vergleich vor, dass Wifi mit WPA2-PSK ein Enthernet-Kabel ist, das in Ihr Haus führt, wo externe Personen keinen Zugang haben, und ohne WPA2-PSK dasselbe Kabel durch öffentliche Stellen (Straße, Dach usw.) führt

Obwohl es ein sogenanntes "Internetprotokoll" gibt, gibt es kein einziges Protokoll, aus dem das Internet besteht. Vielmehr besteht das Internet aus vielen verschiedenen Protokollen, von denen mehrere gleichzeitig zusammen verwendet werden, um einen sogenannten Stapel zu bilden.

Die unterste Schicht im Stapel wird als Verbindungsschicht bezeichnet und behandelt die Frage, wie ein Signal zwischen zwei Maschinen empfangen werden kann, die irgendwie direkt verbunden sind. Ethernet ist ein Beispiel für ein Link-Layer-Protokoll. Dies gilt auch für Wi-Fi und PPP (das am häufigsten von Modems verwendet wird, aber DSL und Mobiltelefone verwenden es auch hinter den Kulissen).

Die nächste Ebene wird als Internet-Schicht bezeichnet em>, und es wird die Frage behandelt, wie ein Signal zwischen zwei Maschinen, die nicht direkt verbunden sind, mithilfe einer Reihe von Maschinen empfangen werden kann. IP (das "Internet Protocol", das ich oben erwähnt habe) lebt hier. Beachten Sie, dass die Verbindungsschicht nicht wissen oder sich darum kümmern muss, wie die Maschinen verbunden sind: Es ist theoretisch möglich, dass Ihre Daten über Wi-Fi, Ethernet, PPP und exotischere Arten von Verbindungen übertragen werden Auf dem Weg zum Ziel macht es keinen Unterschied.

Darüber befindet sich die Transportschicht , die das Signal aufnimmt und es in aussagekräftige Daten umwandelt . Hier lebt TCP, das diese Signale sammelt und in länger anhaltende "Verbindungen" umwandelt. Dies gilt auch für UDP, das sich weniger um Verbindungen kümmert und nur Datenbits hin und her sprengt. Wie auch eine Reihe anderer Dinge.

Zuletzt kommt die Anwendungsschicht , in der die Daten aus der Transportschicht für bestimmte Zwecke interpretiert werden. HTTP lebt hier ebenso wie verschiedene Messaging-Protokolle, die meisten Spielprotokolle und die meisten anderen Dinge, an die wir denken, wenn wir an das Internet denken.

Der Grund dafür ist, dass die Verschlüsselung des Webverkehrs nur die Ebenen auf oder unter der Ebene betrifft, auf der die Verschlüsselung erfolgt . WPA schützt Wi-Fi, ein Link-Layer-Protokoll: Der Datenverkehr wird zwar verschlüsselt, jedoch nur zwischen den beiden direkt verbundenen Computern, da auf diese Weise Link-Layer-Protokolle funktionieren. Wireshark sieht den Klartext, da der Datenverkehr zu dem Zeitpunkt, zu dem er jemals ankommt, bereits entschlüsselt wurde.

Damit Wireshark den Inhalt einer Verbindung nicht mehr abhören kann, Sie müssen es in einer höheren Ebene verschlüsseln, als es bei Wireshark funktioniert, damit es nicht entschlüsselt wird, wenn Wireshark es sieht . Dafür ist SSL / TLS gedacht. Es funktioniert in der Anwendungsschicht (obwohl es sich wie eine andere Transportschicht verhält, daher der Name "Transport Layer Security"). Wenn Sie also Wireshark darauf ausführen, wird verschlüsselter Text angezeigt. Es gibt tatsächlich Möglichkeiten , um Wireshark zu umgehen, aber sie beinhalten eine grundlegende Änderung der Verbindung, damit Wireshark als Mann in der Mitte agieren kann. Dies können Sie nur tun, wenn Sie bereits wissen, welche Verschlüsselungsschlüssel die Verbindung verwenden wird.