Действительно ли большинство энтузиастов могут взломать сети Wi-Fi?

Могут ли самые восторженные пользователи (даже если они не являются профессионалами) использовать известные методы для преодоления безопасности среднего домашнего маршрутизатора?

Некоторые основные параметры безопасности:

  • надежный сетевой пароль с различными методами шифрования.
  • пароль доступа к пользовательскому маршрутизатору
  • WPS
  • нет SSID-трансляции
  • Фильтрация MAC-адресов

Некоторые из этих скомпрометированы и что делать, чтобы сделать домашнюю сеть более безопасной?

156 голосов | спросил kvhadzhiev 25 MaramTue, 25 Mar 2014 02:56:12 +04002014-03-25T02:56:12+04:0002 2014, 02:56:12

9 ответов


146

Без аргументации семантики да, утверждение верно.

Существует множество стандартов шифрования WIFI, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы его используете, даже с надежным паролем, это может быть тривиально нарушено. Я считаю, что WPA гораздо труднее взломать (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые обходят это), а по состоянию на октябрь 2017 года WPA2 также вызывает сомнительную безопасность. Кроме того, даже достаточно жесткие пароли могут быть грубыми - Moxie Marlinspike - известный хакер предлагает услугу для сделайте это за 17 долларов США, используя облачные вычисления - хотя это и не гарантировано.

Сильный пароль маршрутизатора ничего не сделает, чтобы кто-то из WIFI-пользователей не передавал данные через маршрутизатор, поэтому это не имеет значения.

Скрытая сеть - это миф - в то время как есть ящики, чтобы сеть не отображалась в списке сайтов, клиенты маячат маршрутизатор WIFI, поэтому его присутствие обнаруживается тривиально.

MAC-фильтрация - это шутка, поскольку многие (большинство /все?) устройства WIFI могут быть запрограммированы /перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.

Сетевая безопасность - это большой вопрос, а не что-то, что может быть вызвано вопросом суперпользователя, но основы заключаются в том, что безопасность создается в слоях, так что даже если некоторые из них скомпрометированы не все - также любая система может быть пропущена достаточно времени, ресурсов и знаний, поэтому безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени потребуется» для взлома. WPA и защищенный пароль защищают от «Joe Average».

Если вы хотите усилить защиту своей сети WIFI, вы можете просматривать ее только как транспортный уровень, а также шифровать и фильтровать все, проходящее через этот уровень. Это избыток для подавляющего большинства людей, но одним из способов, которым вы могли бы это сделать, было бы установить, чтобы маршрутизатор разрешал доступ только к данному VPN-серверу под вашим контролем и требовал от каждого клиента аутентификации через соединение WIFI через VPN - таким образом, даже если WIFI скомпрометирован, есть другие [более сложные] уровни для поражения. Подмножество этого поведения не является редкостью в крупных корпоративных средах.

Простейшая альтернатива лучшей защите домашней сети - полностью отключить WIFI и требует только кабельных решений. Если у вас есть такие вещи, как мобильные телефоны или планшеты, это может быть не совсем практичным. В этом случае вы можете уменьшить риски (конечно, не устранить их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом, чтобы частота протекала меньше - я этого не делал, но сильный слух (исследуемый) показывает, что даже алюминиевая сетка (например, мухоморы) за пределами вашего дома с хорошим заземлением может сделать огромный разница в количестве сигнала, который будет сбежать. [Но, конечно, до свидания сотовый телефон]

На фронте защиты другой альтернативой может быть получение вашего маршрутизатора (если он способен это сделать, большинство из них нет, но я бы предположил, что маршрутизаторы, работающие openwrt и, возможно, tomato /dd-wrt) могут регистрировать все пакеты пересекая вашу сеть и следя за ней - Черт, даже просто наблюдение за аномалиями с суммарным байтом в разных интерфейсах и из них может дать вам хорошую степень защиты.

В конце дня может возникнуть вопрос: «Что мне нужно сделать, чтобы это не стоило случайным хакерам для проникновения в мою сеть» или «Какова реальная стоимость срыва моей сети», , и оттуда. Нет быстрого и легкого ответа.

Обновление - октябрь 2017

Большинство клиентов, использующих WPA2 - если они не имеют патчей, могут иметь свой трафик в открытом тексте, используя «Ключи переустановки - KRACK» - это слабость стандарта WPA2. Примечательно, что это не дает доступа к сети или PSK только к трафику целевого устройства.

ответил davidgo 25 MaramTue, 25 Mar 2014 03:23:30 +04002014-03-25T03:23:30+04:0003 2014, 03:23:30
52

Как говорили другие, скрытие SSID тривиально прерывать. Фактически, ваша сеть будет отображаться по умолчанию в сетевом списке Windows 8, даже если она не передает свой SSID. Сеть по-прежнему передает свое присутствие через кадры маяка в любом случае; он просто не включает SSID в кадре маяка, если эта опция отмечена галочкой. SSID тривиально для получения из существующего сетевого трафика.

MAC-фильтрация также не очень помогает. Это может вкратце замедлить сценарий kiddie, который загрузил WEP-трещины, но это определенно не остановит никого, кто знает, что они делают, поскольку они могут просто обманывать законный MAC-адрес.

Что касается WEP, он полностью нарушается. Сила вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое будет быстро входить в вашу сеть, даже если у вас есть сильный ключ доступа.

WPA значительно более безопасен, чем WEP, но по-прежнему считается нарушенным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но определенный пользователь может, возможно, взломать его с помощью правильных инструментов.

WPS (беспроводная защищенная настройка) - это ошибка сетевой безопасности. Отключите его независимо от используемой технологии шифрования сети.

WPA2 - в частности, версия, использующая AES, - достаточно безопасна. Если у вас есть приличный пароль, ваш друг не войдет в вашу защищенную сеть WPA2, не получив пароль. Теперь, если NSA пытается проникнуть в вашу сеть, это другое дело. Тогда вы должны полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но это, скорее всего, потребует гораздо больше времени и возможностей, чем ваш средний любитель будет иметь в своем распоряжении.

Как сказал Дэвид, реальный вопрос не в том, «Можно ли его взломать?» но, скорее, «Сколько времени займет кто-то с определенным набором возможностей, чтобы взломать его?» Очевидно, что ответ на этот вопрос сильно различается в отношении того, что такое конкретный набор возможностей. Он также абсолютно прав, что безопасность должна выполняться слоями. Вещи, о которых вы заботитесь, не должны проходить через вашу сеть, не зашифрованные в первую очередь. Итак, если кто-то ворвался в вашу беспроводную сеть, они не должны были иметь возможность проникнуть в что-либо значимое, кроме, возможно, используя ваше интернет-соединение. Любая коммуникация, которая должна быть защищена, должна по-прежнему использовать сильный алгоритм шифрования (например, AES), возможно, настроенный через TLS или некоторую такую ​​схему PKI. Убедитесь, что ваше электронное письмо и любой другой конфиденциальный веб-трафик зашифрованы и что на ваших компьютерах не используются никакие службы (например, совместное использование файлов или принтеров) без надлежащей системы проверки подлинности.


Обновление 17 октября 2017 г. - Этот ответ отражает ситуацию до недавнего обнаружения серьезной новой уязвимости, которая влияет как на WPA, так и на WPA2. Повторная установка ключа AttaCK (KRACK) использует уязвимость в протоколе установления связи для Wi-Fi. Не вдаваясь в грязные детали криптографии (о которых вы можете прочитать на связанном веб-сайте), все сети Wi-Fi следует считать разбитыми до тех пор, пока они не будут исправлены, независимо от того, какой конкретный алгоритм шифрования они используют.

Связанные вопросы InfoSec.SE, касающиеся KRACK:
Последствия атаки WPA2 KRACK
Как я могу защитить себя от KRACK, когда я не могу позволить себе VPN?

ответил reirab 25 MaramTue, 25 Mar 2014 06:22:57 +04002014-03-25T06:22:57+04:0006 2014, 06:22:57
14

Поскольку другие ответы на эту тему хороши, я думаю, что для тех, кто запрашивает конкретный ответ (ну ... это SuperUser, это не так?), вопрос можно легко перевести как: «Что должен ли я знать, чтобы защитить мою сеть WiFi? .
Без отрицания (или подтверждения) каких-либо других ответов это мой короткий ответ:

Слова криптолога Брюса Шеньера могут быть полезными для многих пользователей:

  

Единственное реальное решение - отключить шнур питания.

Это часто можно применять к беспроводным сетям : постоянно ли мы работаем?
У многих маршрутизаторов есть кнопка WiFi , чтобы включить /отключить беспроводную связь, например, D-Link DSL-2640B .
Если нет, вы всегда можете автоматизировать веб-включение /отключение беспроводной связи с помощью таких инструментов, как iMacros (доступен как расширение для Firefox или как отдельная программа) для Windows и многих других в Linux.

И вот два трюка для WPA (пожалуйста, забудьте WEP ) пароль ( хороший пароль WPA сделает атаки очень трудными) создание ( не сохраняйте пароль по умолчанию ):

  1. Используйте несуществующие и /или иностранные слова : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (так как для их поиска нет простого словаря).
  2. Создайте свое собственное легко запоминающееся (для вас как минимум) предложение и определите свой пароль, взяв первый символ каждого слова. Результатом будет труднодоступный (минимум 8 символов), но легко запоминающийся пароль, который включает прописные и строчные буквы , номера и некоторые другие символы без алфавита :
    «У вас есть два сына и 3 кошки, и вы их любите». - > "Yh2sa3c, aylt."

И, ради Бога: отключить WPS прямо сейчас! Это полностью недостаток .

ответил Sopalajo de Arrierez 25 MaramTue, 25 Mar 2014 06:51:15 +04002014-03-25T06:51:15+04:0006 2014, 06:51:15
7

Ничто из того, что вы упоминаете (кроме сетевого пароля), действительно влияет на взлом сети Wi-Fi. Поскольку фильтр MAC-адресов и скрытый SSID ничего не делают, чтобы помочь с точки зрения безопасности.

Что действительно важно, так это тип шифрования, используемый в сети. Старые сетевые шифровки, такие как WEP, были тривиальны для разрыва, потому что с достаточным трафиком вы могли их декодировать, и вы могли бы заставить их генерировать необходимый вам трафик.

Более новые, такие как WPA2, гораздо более безопасны. Теперь ничего не «защищено» от всех противников, но этого обычно достаточно для домашнего Wi-Fi.

Это большая тема, и это касается только верхушки айсберга, но, надеюсь, это помогает.

ответил Sirex 25 MaramTue, 25 Mar 2014 03:05:36 +04002014-03-25T03:05:36+04:0003 2014, 03:05:36
6

WEP и WPA1 /2 (с включенным WPS) могут быть взломаны тривиально; первый - с использованием захваченных IV, а второй - с помощью штурмовой команды WPS PIN (всего 11 000 возможных комбинаций из 3-х контактных точек, 4 цифры [10000 возможных] + 3 цифры [1000 возможных] + контрольная сумма 1 разряд [рассчитана из остальной]) .

WPA1 /2 жестче с надежным паролем, но использование трещин графического процессора и техника грубой силы могут разрушить некоторые из более слабых.

Я лично взломал WEP и WPS в своей рабочей сети (с разрешения, я демонстрировал уязвимости для своих работодателей), но мне еще предстоит успешно взломать WPA.

ответил The NetZ 26 MaramWed, 26 Mar 2014 05:03:34 +04002014-03-26T05:03:34+04:0005 2014, 05:03:34
5

Это отличный вопрос, и рекомендации по обеспечению надежной беспроводной связи должны быть хорошо известны. Настройте маршрутизатор /шлюз /AP так, чтобы:

  • Безопасность беспроводной сети - только WPA2
  • шифрование только AES
  • используйте предварительно открытый ключ, содержащий несколько слов (например, IloveSuperUser)
  • отключить WPS
  • отключить удаленное администрирование

Вот и все! Для всех практических целей теперь у вас есть полностью безопасная беспроводная связь.

ответил Jason 27 MaramThu, 27 Mar 2014 01:26:54 +04002014-03-27T01:26:54+04:0001 2014, 01:26:54
3

На форуме Cisco Learning Network стартовый пульт спросил:

  

Можно ли взломать WPA /TKIP? Либо кто-то в моем гостевом доме использовал 80 гигов данных, либо кто-то рядом, взломав пароль и использовал его. Я подозреваю кого-то в гостевом доме, потому что мне трудно поверить, что WPA /TKIP может быть взломан, и даже если его можно сломать, это будет непросто сделать. Насколько сложно, если это вообще взломать WPA /TKIP? Я все равно хочу изменить пароль для них, могу ли я использовать - и _ и? символы?

Очевидно, очень умный парень по имени «Зак» сделал эту публикацию , который должен быть прочитан нить-стартер, здесь (и другие, здесь, если они заинтересованы).

В частности, прочитайте примерно две трети пути его публикации, где он начинает со слов «Решения:».

Я использую настройку « WPA-PSK (TKIP) /WPA2-PSK (AES) ) моего шлюза. В соответствии с этим публикацией Заха ...

  

Измените имя своего маршрутизатора на нечто уникальное. Ваш ESSID используется вашим просителем wlan в качестве криптографической соли по PMK. Изменение этого параметра устранит атаки перед вычислением.

... Я уже давно использовал свой собственный уникальный ESSID. Кроме того, в соответствии с его ...

  

Сделайте уникальный пароль, включающий уникальные символы, цифры, капиталы. несколько слов и строчные буквы. Это важнее длины. Увеличение длины пароля будет только увеличивать силу паролей, но это не должно быть неприлично   длинный. Сила лежит в дисперсии потенциала . . Это устраняет атаки словаря и делает невозможным грубую силу без суперкомпьютера.

... mine - это 25 символов, которые состоят из букв, цифр, символов верхнего и нижнего регистра и специальных символов. Никакая часть этого не говорит ничего.

Я делаю несколько других вещей, которые делает Зак и не перечисляет там; но в дополнение к вышесказанному, и сказал другие вещи, и, по крайней мере, в духе того, что он написал здесь ...

  

Включить подробное ведение журнала и, если возможно, переслать его по электронной почте.

... Я давно написал немного кода сценариев, который автоматически запускается при запуске Windows, и просто запускается в системном трее; какой код периодически, в течение дня, постоянно обновляется, а затем анализирует веб-страницу в моем шлюзе, в которой перечислены все подключенные устройства; и затем он говорит мне, что это как динамик со звуковым экраном (не обычные звуковые колонки, на всякий случай, когда они приглушены, или что-то еще) на моем ноутбуке-замене ноутбука экран, а также через текст на мой телефон (который находится либо в сумке на моем поясе, либо, по крайней мере, не более чем в пяти футах от меня, 24/7/365), если что-то новое появилось.

Для тех, у кого нет этого навыка, есть несколько приложений типа «кто на моем WI-FI», некоторые из них бесплатны. Хорошим и простым является [этот badboy] [3]. Просто запустите его с помощью Windows, дайте ему посидеть в системном трее и скажите «звуковой сигнал на новом устройстве», и у вас будет что-то похожее на то, что делает мой скрипт (за исключением того, что он не будет с вами). Однако, используя [простой инструмент создания сценариев] [5], вы можете отправить SMS или электронную почту на свой телефон, когда новое устройство в локальной сети сделает звуковой сигнал приложения.

Надеюсь, что это поможет.

ответил Gregg DesElms 30 MaramSun, 30 Mar 2014 00:53:31 +04002014-03-30T00:53:31+04:0012 2014, 00:53:31
2

Другим соображением для любого анализа безопасности являются активы, которые нуждаются в защите, и ценность этих активов для владельца и потенциального злоумышленника. Я бы предположил, что ваш банковский логин, номер кредитной карты и другие учетные данные для входа, вероятно, являются самой ценной информацией, проходящей через домашнюю сеть, и большинство из них должно быть покрыто зашифрованием TLS /SSL через соединение https. Таким образом, похоже, что если вы используете ключ WPA2 на своем маршрутизаторе wifi и убедитесь, что ваш браузер использует https, когда это возможно (с помощью инструмента, такого как https на htps везде), вы довольно безопасны. (Потенциальному злоумышленнику придется столкнуться с проблемой взлома ключа WPA2, чтобы возможно получить пароль, который не переливается через https или страницы http, которые вы просматриваете.)

ответил user119824 28 MarpmFri, 28 Mar 2014 21:22:57 +04002014-03-28T21:22:57+04:0009 2014, 21:22:57
2

Сомнительные .

Я не согласен с ответом Давидго. Хотя он хорошо изучен, и я согласен с большей частью его информации, я думаю, что это немного пессимистично.

В WPA2 есть уязвимости, описанные в других ответах. Однако никто из них не является неизбежным.

В частности, следует отметить, что атака грубой силы, упомянутая давидго, является атакой на слабость в MS-CHAPv2. См. Ссылку цитируемого автора [ https: //www .cloudcracker.com /blog /2012/07/29 /cracking-ms-chap-v2 /]. Если Ms-CHAP не используется, эта слабость не может быть использована. (удалено на основе комментария автора - неправильная ссылка)

С правильной фразой, SSID и предотвращением взломанной технологии я не вижу причин, по которым защищенная сеть WPA2 с использованием AES256 не была бы безопасной на данный момент. Атаки грубой силы на такие сети нецелесообразны, и даже Мокси Марлинспик предлагает это.

Однако, когда я согласен с ответом Дэвидго, большинство пользователей не предпринимают этих усилий. Я знаю, что моя собственная домашняя сеть может быть использована, и хотя я знаю, как ее исправить, это просто не стоит моего времени и усилий.

ответил timbo 30 MaramSun, 30 Mar 2014 01:54:39 +04002014-03-30T01:54:39+04:0001 2014, 01:54:39

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132