O que o WPA / WPA2 realmente criptografa?

O WPA (e o WPA2) criptografa o tráfego abaixo do nível que o Wireshark ou ferramentas semelhantes capturam. Essas ferramentas capturam na interface de soquete do sistema operacional, não no nível da mídia de rede real. Quando você envia um pacote por Wi-Fi protegido por WPA, a criptografia WPA não é adicionada até o último momento antes de os dados serem transmitidos.

Ainda pode haver outra criptografia - por exemplo, eu poderia aplicar criptografia PGP a um email e enviá-lo para o servidor SMTP por TLS, o que seria dois níveis de criptografia ... mas esses níveis seriam visíveis para (e de fato, criado por) o aplicativo (como meu cliente de email). Alguém farejando que o tráfego ainda seria capaz de ver coisas como qual protocolo está usando (TCP, sobre IP), de que porta ele vem e para onde está roteando, o endereço IP de destino e assim por diante.

No entanto, quando o pacote atinge o driver de interface WiFi, ele é criptografado com a chave AES que minha máquina está usando para WPA. Nesse ponto, as únicas coisas visíveis são o SSID da rede que estou usando (acho que os endereços MAC de origem e de destino também podem estar visíveis) e uma idéia vaga do tamanho. Alguém sem a chave WiFi farejando o tráfego de rede usando rádio definido por software ou uma placa WiFi em modo promíscuo não seria capaz de dizer a diferença entre meu e-mail e eu enviando um ping de rede ou conversando no Skype; eles nem seriam capazes de dizer onde os pacotes estavam indo além do ponto de acesso WiFi.

O que o WPA-Personal (também conhecido como WPA-PSK) faz é criptografar os pacotes que estão no ar, para que as pessoas que não estão conectadas a esta rede não possam ler suas mensagens (e WEP fez o mesmo a esse respeito , a propósito, só fez de uma maneira diferente, que sofreu com um buraco sério). Além disso, tenta dificultar / impossibilitar a conexão com a rede sem conhecer a senha secreta.

Sem essa criptografia (por exemplo, em redes abertas), qualquer um pode ler todos os pacotes que estão sendo trocados, sem estar "conectado" à rede: ele precisa estar perto o suficiente para "ouvir" o sinal.

Se você pensa em um idioma estrangeiro como um tipo de criptografia, o WPA é um pouco parecido com a situação em que todas as máquinas conectadas a essa rede WPA falam o mesmo idioma, mas é uma linguagem estranha a outras máquinas. Então, é claro, máquinas conectadas a esta rede podem atacar umas às outras e ouvir / ver todos os pacotes enviados / recebidos por todos os outros. A proteção é apenas contra hosts que não estão conectados à rede (por exemplo, porque não sabem a senha secreta).

Qual é a principal diferença entre WPA2-PSK (TKIP), WPA2-PSK (AES),  e WPA2-PSK (TKIP / AES)

2 segundos de pesquisando no Google :

TKIP and AES are two different types of encryption that can be used by a Wi-Fi network. TKIP stands for “Temporal Key Integrity Protocol.” It was a stopgap encryption protocol introduced with WPA to replace the very-insecure WEP encryption at the time. TKIP is actually quite similar to WEP encryption. TKIP is no longer considered secure, and is now deprecated. In other words, you shouldn’t be using it.

AES stands for “Advanced Encryption Standard.” This was a more secure encryption protocol introduced with WPA2, which replaced the interim WPA standard. AES isn’t some creaky standard developed specifically for Wi-Fi networks; it’s a serious worldwide encryption standard that’s even been adopted by the US government. For example, when you encrypt a hard drive with TrueCrypt, it can use AES encryption for that. AES is generally considered quite secure, and the main weaknesses would be brute-force attacks (prevented by using a strong passphrase) and security weaknesses in other aspects of WPA2.

In summary, TKIP is an older encryption standard used by the old WPA standard. AES is a newer Wi-Fi encryption solution used by the new-and-secure WPA2 standard. In theory, that’s the end of it. But, depending on your router, just choosing WPA2 may not be good enough.

While WPA2 is supposed to use AES for optimal security, it also has the option to use TKIP for backward compatibility with legacy devices. In such a state, devices that support WPA2 will connect with WPA2 and devices that support WPA will connect with WPA. So “WPA2” doesn’t always mean WPA2-AES. However, on devices without a visible “TKIP” or “AES” option, WPA2 is generally synonymous with WPA2-AES.

link

Quais são as diferenças nas criptografias para capturar o tráfego

Huh ??

qual é a melhor solução para rede doméstica / de trabalho? Obrigado.

Está tudo coberto no restante do artigo acima:

On most routers we’ve seen, the options are generally WEP, WPA (TKIP), and WPA2 (AES) — with perhaps a WPA (TKIP) + WPA2 (AES) compatibility mode thrown in for good measure.

If you do have an odd sort of router that offers WPA2 in either TKIP or AES flavors, choose AES. Almost all your devices will certainly work with it, and it’s faster and more secure. It’s an easy choice, as long as you can remember AES is the good one.

Conforme descrito aqui here a criptografia é feita na Camada 2 logo após o endereço MAC (frame payload) de modo a ver o tráfego criptografado você tem que usar um dispositivo com recursos sniff em L2 e tentar ler no pacote que você sniffed.