Czy większość entuzjastycznych użytkowników (nawet jeśli nie są profesjonalistami) może zastosować znane techniki, aby przebić się przez zabezpieczenia przeciętnego routera domowego?
Niektóre podstawowe opcje bezpieczeństwa to:
- silne hasło sieciowe z różnymi metodami szyfrowania
- niestandardowe hasło dostępu do routera
- WPS
- brak transmisji SSID
- Filtrowanie adresów MAC
Czy niektóre z nich są zagrożone i co zrobić, aby zwiększyć bezpieczeństwo sieci domowej?
wireless-networking
router
security
kvhadzhiev
źródło
źródło
Odpowiedzi:
Bez argumentowania semantyki, tak, stwierdzenie jest prawdziwe.
Istnieje wiele standardów szyfrowania WIFI, w tym WEP, WPA i WPA2. WEP jest zagrożone, więc jeśli go używasz, nawet przy silnym haśle można go trywialnie złamać. Uważam, że WPA jest o wiele trudniejsze do złamania (ale możesz mieć problemy z bezpieczeństwem związane z WPS, które go omijają), a od października 2017 r. WPA2 oferuje również wątpliwe zabezpieczenia. Również brutalnie wymuszone hasła mogą być brutalnie wymuszone - Moxie Marlinspike - znany haker oferuje usługę za 17 USD za pomocą przetwarzania w chmurze - choć nie jest to gwarantowane.
Silne hasło routera nie zrobi nic, aby uniemożliwić komuś po stronie WIFI przesyłanie danych przez router, więc nie ma to znaczenia.
Ukryta sieć to mit - chociaż istnieją pola, dzięki którym sieć nie pojawia się na liście witryn, klienci sygnalizują router WIFI, dzięki czemu jego obecność jest trywialnie wykrywana.
Filtrowanie MAC to żart, ponieważ wiele (większość / wszystko?) Urządzeń WIFI można zaprogramować / przeprogramować, aby sklonować istniejący adres MAC i ominąć filtrowanie MAC.
Bezpieczeństwo sieci jest dużym tematem i nie jest czymś, na co można odpowiedzieć na pytanie superużytkownika, ale podstawowe jest to, że bezpieczeństwo jest zbudowane warstwowo, więc nawet jeśli niektóre są zagrożone, nie wszyscy są - także każdy system może zostać penetrowany, mając wystarczająco dużo czasu, zasobów i wiedzy, więc bezpieczeństwo nie jest tak naprawdę pytaniem „czy można go zhakować”, ale „ile czasu zajmie” włamanie. WPA i bezpieczne hasło chronią przed „Joe Average”.
Jeśli chcesz zwiększyć ochronę swojej sieci WIFI, możesz postrzegać ją tylko jako warstwę transportową oraz szyfrować i filtrować wszystko, co przechodzi przez tę warstwę. Jest to nadmiar dla większości ludzi, ale jednym ze sposobów na to byłoby ustawienie routera tak, aby zezwalał tylko na dostęp do danego serwera VPN pod Twoją kontrolą i wymagał, aby każdy klient uwierzytelniał się przez połączenie WIFI przez VPN - dlatego nawet jeśli WIFI jest zagrożone, istnieją inne [trudniejsze] warstwy do pokonania. Podzbiór tego zachowania nie jest rzadki w dużych środowiskach korporacyjnych.
Prostszą alternatywą dla lepszego zabezpieczenia sieci domowej jest całkowite porzucenie WIFI i wymaganie tylko okablowanych rozwiązań. Jeśli masz takie rzeczy jak telefony komórkowe lub tablety, może to nie być praktyczne. W takim przypadku możesz zmniejszyć ryzyko (na pewno ich nie wyeliminować) poprzez zmniejszenie siły sygnału routera. Możesz również chronić swój dom, aby częstotliwość wyciekała mniej - nie zrobiłem tego, ale mocna plotka (zbadana) głosi, że nawet aluminiowa siatka (jak moskitiera) na zewnątrz domu, z dobrym uziemieniem może zrobić ogromny różnica w stosunku do ilości sygnału, który ucieknie. [Ale, oczywiście, żegnaj zasięg telefonu komórkowego]
Jeśli chodzi o ochronę, inną alternatywą może być uzyskanie routera (jeśli jest w stanie to zrobić, większość nie, ale wyobrażam sobie, że routery z uruchomionym oprogramowaniem openwrt i być może pomidor / dd-wrt mogą) rejestrować wszystkie pakiety w sieci i pilnowanie go - do diabła, nawet samo monitorowanie anomalii z całkowitą liczbą bajtów wchodzących i wychodzących z różnych interfejsów może zapewnić dobry stopień ochrony.
Na koniec dnia może być pytanie, które należy zadać: „Co muszę zrobić, aby hakerzy nie mieli czasu na przeniknięcie do mojej sieci” lub „Jaki jest rzeczywisty koszt narażenia mojej sieci na atak” stamtąd. Nie ma szybkiej i łatwej odpowiedzi.
Aktualizacja - październik 2017 r
Większość klientów korzystających z WPA2 - o ile nie jest załatana - może ujawnić swój ruch w postaci zwykłego tekstu za pomocą „Ataków klucza przy ponownej instalacji - KRACK” - co jest słabością standardu WPA2. W szczególności nie zapewnia to dostępu do sieci ani PSK, a jedynie do ruchu docelowego urządzenia.
źródło
Jak powiedzieli inni, ukrywanie SSID jest trywialne do złamania. W rzeczywistości twoja sieć domyślnie pojawi się na liście sieci Windows 8, nawet jeśli nie rozgłasza swojego SSID. Sieć nadal transmituje swoją obecność za pośrednictwem ramek nawigacyjnych w obu kierunkach; po prostu nie zawiera SSID w ramce sygnału nawigacyjnego, jeśli ta opcja jest zaznaczona. Identyfikator SSID jest prosty do uzyskania z istniejącego ruchu sieciowego.
Filtrowanie adresów MAC również nie jest zbyt pomocne. Może to na chwilę spowolnić skrypciarza, który pobrał crack WEP, ale na pewno nie powstrzyma nikogo, kto wie, co robi, ponieważ może po prostu sfałszować prawdziwy adres MAC.
Jeśli chodzi o WEP, jest całkowicie zepsuta. Siła hasła nie ma tu większego znaczenia. Jeśli korzystasz z WEP, każdy może dość szybko pobrać oprogramowanie, które włamie się do Twojej sieci, nawet jeśli masz silny klucz dostępu.
WPA jest znacznie bezpieczniejszy niż WEP, ale nadal uważa się go za uszkodzony. Jeśli twój sprzęt obsługuje WPA, ale nie WPA2, jest lepszy niż nic, ale zdeterminowany użytkownik może prawdopodobnie złamać go za pomocą odpowiednich narzędzi.
WPS (konfiguracja chroniona bezprzewodowo) jest zmorą bezpieczeństwa sieci. Wyłącz ją niezależnie od używanej technologii szyfrowania sieci.
WPA2 - w szczególności wersja korzystająca z AES - jest dość bezpieczna. Jeśli masz przyzwoite hasło, znajomy nie dostanie się do zabezpieczonej sieci WPA2 bez otrzymania hasła. Teraz, jeśli NSA próbuje dostać się do twojej sieci, to inna sprawa. Następnie należy całkowicie wyłączyć sieć bezprzewodową. I prawdopodobnie także twoje połączenie internetowe i wszystkie komputery. Biorąc pod uwagę wystarczającą ilość czasu i zasobów, WPA2 (i cokolwiek innego) może zostać zhakowany, ale prawdopodobnie będzie wymagał dużo więcej czasu i więcej możliwości niż przeciętny hobbysta będzie miał do dyspozycji.
Jak powiedział David, prawdziwe pytanie nie brzmi: „Czy można to zhakować?” ale raczej: „Ile czasu zajmie ktoś mający określony zestaw możliwości, aby go zhakować?” Oczywiście odpowiedź na to pytanie różni się znacznie w zależności od tego, jaki jest ten konkretny zestaw możliwości. Ma również absolutną rację, że zabezpieczenia należy wykonywać warstwowo. Rzeczy, na których Ci zależy, nie powinny przechodzić przez sieć bez uprzedniego zaszyfrowania. Tak więc, jeśli ktoś włamie się na twoją sieć bezprzewodową, nie powinien być w stanie dostać się do niczego sensownego oprócz korzystania z twojego połączenia internetowego. Każda komunikacja, która musi być bezpieczna, powinna nadal korzystać z silnego algorytmu szyfrowania (takiego jak AES), prawdopodobnie skonfigurowanego za pośrednictwem TLS lub innego takiego schematu PKI. Upewnij się, że Twój e-mail i wszelki inny wrażliwy ruch internetowy są szyfrowane i że nie
Aktualizacja 17 października 2017 r. - Ta odpowiedź odzwierciedla sytuację sprzed niedawnego odkrycia poważnej nowej luki, która dotyczy zarówno WPA, jak i WPA2. Key Ponowny ataku (krack) wykorzystuje luki w protokole uzgadniania Wi-Fi. Bez wchodzenia w bałaganiarskie szczegóły kryptografii (o których można przeczytać na połączonej stronie), wszystkie sieci Wi-Fi należy uznać za zepsute, dopóki nie zostaną załatane, niezależnie od tego, jakiego konkretnego algorytmu szyfrowania używają.
Powiązane pytania InfoSec.SE dotyczące KRACK:
Konsekwencje ataku WPA2 KRACK
Jak mogę chronić się przed KRACK, gdy nie stać mnie na VPN?
źródło
Ponieważ inne odpowiedzi w tym wątku są dobre, myślę, że dla tych, którzy proszą o konkretną odpowiedź (no cóż ... to jest SuperUser, prawda?), Pytanie można łatwo przetłumaczyć jako: „Co powinienem wiedzieć, aby zrobić mój Czy sieć Wi-Fi jest bezpieczna? ” .
Bez negowania (ani potwierdzania) innych odpowiedzi, oto moja krótka odpowiedź:
Słowa kryptologa Bruce'a Scheniera mogą być cenną wskazówką dla wielu użytkowników, aby pamiętać:
Można to często zastosować do sieci bezprzewodowych : czy stale potrzebujemy, aby działał?
Wiele routerów ma przycisk Wi-Fi do włączania / wyłączania łączności bezprzewodowej, na przykład D-Link DSL-2640B .
Jeśli nie, zawsze możesz zautomatyzować włączanie / wyłączanie sieci bezprzewodowej za pomocą narzędzi takich jak iMacros (dostępne jako rozszerzenie dla przeglądarki Firefox lub jako samodzielny program) w systemie Windows i wielu innych w systemie Linux.
A oto dwie sztuczki dotyczące hasła WPA (proszę zapomnij WEP ) ( dobre hasło WPA bardzo utrudni ataki) tworzenie ( nie zachowuj domyślnego hasła ):
„Masz dwóch synów i 3 koty i je kochasz. „ -> „Yh2sa3c, aylt.”
I na miłość boską: wyłącz WPS już teraz! Jest całkowicie wadliwy .
źródło
Yh2sa3c,aylt., okaże się, że bruteforce potrwa ponad 10 lat (nawet przy użyciu jednego z najszybszych komputerów osobistych, na jaki Cię dziś stać).Żadna z wymienionych przez Ciebie rzeczy (oprócz hasła sieciowego) nie wpływa na włamanie do sieci Wi-Fi. O ile filtr adresów MAC i ukryty SSID tak naprawdę nie pomagają pod względem bezpieczeństwa.
Najważniejszy jest typ szyfrowania używany w sieci. Starsze szyfrowania sieciowe, takie jak WEP, były trywialne do złamania, ponieważ przy wystarczającym ruchu można je zdekodować i zmusić je do wygenerowania potrzebnego ruchu.
Nowsze, takie jak WPA2, są jednak znacznie bezpieczniejsze. Teraz nic nie jest „zabezpieczone” przed wszystkimi przeciwnikami, ale zwykle wystarcza to do domowego Wi-Fi.
To duży temat, który dotyka tylko wierzchołka góry lodowej, ale mam nadzieję, że to pomaga.
źródło
WEP i WPA1 / 2 (z włączonym WPS) mogą być hakowane w trywialny sposób; pierwsze z wykorzystaniem przechwyconych IV, a drugie z brutalną siłą WPS PIN (tylko 11 000 możliwych kombinacji, z 3-częściowego pinu; 4 cyfry [10 000 możliwych] + 3 cyfry [1000 możliwych] + 1 cyfra suma kontrolna [obliczona od reszty]) .
WPA1 / 2 są trudniejsze z silnym hasłem, ale użycie łamania GPU i techniki bruteforce może zniszczyć niektóre słabsze.
Osobiście złamałem WEP i WPS w mojej sieci służbowej (za pozwoleniem demonstrowałem podatności moim pracodawcom), ale jeszcze nie udało mi się złamać WPA.
źródło
To świetne pytanie, a wytyczne dotyczące posiadania bardzo bezpiecznego połączenia bezprzewodowego powinny być dobrze znane. Skonfiguruj router / bramę / punkt dostępowy, aby:
Otóż to! Do wszystkich praktycznych celów masz teraz całkowicie bezpieczne połączenie bezprzewodowe.
źródło
Na forum Cisco Learning Network osoba rozpoczynająca wątek zapytała:
Najwyraźniej bardzo inteligentny człowiek o imieniu „Zach” opublikował ten post, który powinien przeczytać wątek rozpoczynający wątek, tutaj (i inni również tutaj, jeśli są zainteresowani).
W szczególności przeczytano z około dwóch trzecich drogi od jego publikacji, gdzie zaczyna się od słów „Rozwiązania:”.
Używam ustawienia „ WPA-PSK (TKIP) / WPA2-PSK (AES) ” mojej bramy . Zgodnie z tym postem Zacha ...
... Od dawna używam własnego unikalnego ESSID. Dodatkowo, zgodnie z jego ...
... moja ma 25 znaków, które składają się z liter, cyfr, wielkich i małych liter oraz znaków specjalnych. Żadna jego część niczego nie przeliteruje.
Robię kilka innych rzeczy, które Zach zachowuje i nie wymienia tam; ale oprócz powyższego i powiedział inne rzeczy, a przynajmniej w duchu tego, co tu napisał ...
... Dawno temu napisałem trochę kodu skryptowego, który uruchamia się automatycznie przy starcie systemu Windows i po prostu działa w zasobniku systemowym; który kod okresowo, w ciągu dnia, odświeża, a następnie analizuje stronę w mojej bramie, która zawiera listę wszystkich podłączonych urządzeń; i mówi mi to jednocześnie jako wyskakujący z potrójnym sygnałem dźwiękowym przez głośnik płyty głównej (nie zwykłe głośniki audio, na wypadek, gdyby były wyciszone lub coś w tym stylu) na moim laptopie zastępującym komputer stacjonarny ekran, a także przez SMS na mój telefon (który jest albo w etui na pasku, albo przynajmniej nigdy więcej niż pięć stóp ode mnie, 24/7/365), jeśli pojawiło się coś nowego.
Dla osób bez tych umiejętności istnieje kilka aplikacji typu „kto jest na mojej Wi-Fi”, niektóre z nich są bezpłatne. Dobrym i prostym jest [ten badboy] [3]. Po prostu uruchom go automatycznie w systemie Windows, pozwól mu usiąść w zasobniku systemowym i powiedz mu, aby „wydał sygnał dźwiękowy na nowym urządzeniu”, a będziesz mieć coś podobnego do tego, co robi mój skrypt (z wyjątkiem tego, że nie wyśle Ci SMS-a). Jednak za pomocą [prostego narzędzia skryptowego] [5] możesz spowodować wysłanie wiadomości SMS lub e-mail na Twój telefon, gdy nowe urządzenie w sieci LAN wyda sygnał dźwiękowy.
Mam nadzieję, że to pomaga.
źródło
Innym aspektem każdej analizy bezpieczeństwa są zasoby wymagające ochrony oraz wartość tych zasobów dla właściciela i potencjalnego napastnika. Domyślam się, że Twój login bankowy, numer karty kredytowej i inne dane logowania są prawdopodobnie najcenniejszymi informacjami przechodzącymi przez sieć domową i większość z nich powinna być objęta szyfrowaniem TLS / SSL przez połączenie https. Wygląda więc na to, że jeśli używasz klucza WPA2 na routerze Wi-Fi i upewnij się, że Twoja przeglądarka używa https, gdy tylko jest to możliwe (za pomocą narzędzia takiego jak https wszędzie wszędzie), jesteś raczej bezpieczny. (Potencjalny napastnik będzie musiał się trudzić pękania klucz WPA2 do może uzyskać hasło, które nie przejść przez HTTPS lub stronach http jesteś przeglądania).
źródło
Wątpliwe .
Nie zgadzam się z odpowiedzią Davidgo. Chociaż jest dobrze zbadany i zgadzam się z większością jego informacji, myślę, że jest to trochę pesymistyczne.
W WPA2 są luki w zabezpieczeniach omówione już w innych odpowiedziach. Jednak żadnego z nich nie da się uniknąć.
W szczególności należy zauważyć, że atak brutalnej siły wspomniany przez davidgo jest atakiem na słabość MS-CHAPv2. Zobacz odniesienie cytowanego autora [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Jeśli Ms-CHAP nie jest używany, słabości tej nie można wykorzystać.(usunięty na podstawie komentarza autora - nieprawidłowe odniesienie)Dzięki właściwemu hasłu, identyfikatorowi SSID i unikaniu zagrożonej technologii nie widzę powodu, dla którego zabezpieczona sieć WPA2 korzystająca z AES256 nie byłaby w tej chwili bezpieczna. Ataki typu brute force na takie sieci nie są możliwe, a sugeruje to nawet Moxy Marlinspike.
Jednak zgadzam się z odpowiedzią davidgo, że większość użytkowników nie podejmuje tych wysiłków. Wiem, że moją własną sieć domową można wykorzystać i chociaż wiem, jak to naprawić, to po prostu nie jest to warte mojego czasu i wysiłku.
źródło