În timp ce majoritatea dintre noi, cel mai probabil, nu va trebui niciodată să ne facem griji cu privire la faptul că cineva ne-a hackat rețeaua Wi-Fi, cât de greu ar fi pentru un entuziast să spargă o rețea Wi-Fi a unei persoane? Mesajul de răspuns Q & A de la SuperUser are răspunsuri la întrebările unui cititor despre securitatea rețelei Wi-Fi.
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.
Fotografie prin amabilitatea lui Brian Klug (Flickr).
Cititorul de aplicații SuperUser vrea să știe dacă este foarte posibil ca majoritatea entuziaștilor să hackeze rețele Wi-Fi:
Am auzit de la un expert de securitate în domeniul calculatoarelor că majoritatea entuziaștilor (chiar dacă nu sunt profesioniști) folosesc doar ghiduri de pe Internet și software specializat (de ex., Kali Linux cu instrumentele incluse), pot rupe securitatea routerului de acasă.
Oamenii susțin că este posibil chiar dacă aveți:
- O parolă puternică de rețea
- O parolă puternică a routerului
- O rețea ascunsă
- Filtrarea MAC
Vreau să știu dacă acesta este un mit sau nu. Dacă routerul are o parolă puternică și o filtrare MAC, cum poate fi ocolită (mă îndoiesc că utilizează forța brute)? Sau dacă este o rețea ascunsă, cum o pot detecta și dacă este posibil, ce puteți face pentru a vă face siguranța rețelei de domiciliu?
În calitate de student în domeniul informaticii, mă simt rău, pentru că uneori amatorii de oameni mă susțin cu privire la astfel de subiecte și nu am argumente puternice sau nu pot explica din punct de vedere tehnic.
Este cu adevărat posibil și, dacă da, care sunt punctele "slabe" dintr-o rețea Wi-Fi pe care un entuziast se va concentra?
Utilizatorii SuperUser davidgo și reirab au răspunsul pentru noi. În primul rând, davidgo:
Fără a argumenta semantica, da, afirmația este adevărată.
Există mai multe standarde pentru criptarea Wi-Fi, inclusiv WEP, WPA și WPA2. WEP este compromis, deci dacă o utilizați, chiar și cu o parolă puternică, aceasta poate fi ruptă trivial. Cred că WPA și WPA2 sunt mult mai greu de pornit (dar este posibil să aveți probleme de securitate referitoare la WPS care o ocolește). De asemenea, parolele greu de greu pot fi forțate. Moxy Marlispike, un hacker bine cunoscut, oferă un serviciu pentru a face acest lucru pentru aproximativ 30 USD folosind cloud computing - deși nu este garantat.
O parolă puternică a routerului nu va face nimic pentru a împiedica pe cineva din partea Wi-Fi să transmită date prin router, deci este irelevant.
O rețea ascunsă este un mit. În timp ce există casete pentru a face o rețea să nu apară într-o listă de site-uri, clienții se află la bordul ruterului WIFI, astfel prezența sa este detectată trivial.
Filtrarea MAC este o glumă, deoarece multe dintre dispozitivele Wi-Fi (majoritatea / toate?) Pot fi programate / reprogramate pentru a clona o adresă MAC existentă și pentru a ocoli filtrarea MAC.
Securitatea rețelei este un subiect important, și nu ceva care poate fi supus unei întrebări despre SuperUser. Dar elementele de bază sunt că securitatea este construită în straturi, astfel încât, chiar dacă unele sunt compromise, nu toate sunt. De asemenea, orice sistem poate fi pătruns având suficient timp, resurse și cunoștințe; astfel încât securitatea nu este de fapt o chestiune de "poate fi hacked", dar "cât timp va dura" pentru a hack. WPA și o parolă sigură protejează împotriva "Joe Average".
Dacă doriți să îmbunătățiți protecția rețelei Wi-Fi, o puteți vizualiza numai ca un strat de transport, apoi puteți cripta și filtra tot ce se întâmplă peste acest strat. Acest lucru este suprasolicitat pentru marea majoritate a oamenilor, dar un mod în care puteți face acest lucru ar fi să setați ca ruterul să permită accesul la un anumit server VPN aflat sub controlul dvs. și să solicite fiecărui client să se autentifice pe întreaga conexiune Wi-Fi VPN. Astfel, chiar dacă Wi-Fi este compromis, există și alte (mai greu) straturi de înfrânat. Un subset al acestui comportament nu este neobișnuit în mediile corporative mari.
O alternativă mai simplă pentru o mai bună asigurare a unei rețele de domiciliu este de a șterge complet Wi-Fi și necesită numai soluții cablate. Dacă aveți lucruri cum ar fi telefoane mobile sau comprimate, acest lucru nu poate fi practic, totuși. În acest caz, puteți reduce riscurile (cu siguranță nu le eliminați) reducând puterea semnalului routerului. Puteți, de asemenea, să vă protejați casa, astfel încât frecvența dvs. să scadă mai puțin. Nu am facut-o, insa un zvon puternic (cercetat) arata ca si plasa de aluminiu (cum ar fi ecranul de zbura) dincolo de casa ta, cu o buna punere la pamant, poate face o diferenta uriasa fata de cantitatea de semnal care va scapa. Dar, desigur, acoperirea prin telefon mobil.
Pe frontul de protecție, o altă alternativă ar putea fi să iei router-ul (dacă este capabil să o facă, majoritatea nu sunt, dar mi-aș imagina că routerele rulează openwrt și eventual tomato / dd-wrt pot) pentru a loga toate pachetele care traversează rețeaua ta și cu ochii pe el. Chiar și monitorizarea pentru anomalii cu octeți totali în și din diferite interfețe vă poate oferi un grad bun de protecție.
La sfârșitul zilei, poate că întrebarea este "Ce trebuie să fac pentru a nu merita un timp hackerului ocazional să pătrundă în rețeaua mea?" Sau "Care este costul real al compromiterii rețelei mele?", și de acolo. Nu există un răspuns rapid și ușor.
Urmat de răspunsul de la reirab:
După cum au spus și ceilalți, ascunderea SSID este banală pentru a se rupe. De fapt, rețeaua dvs. va apărea în mod prestabilit în lista de rețele Windows 8, chiar dacă nu difuzează SSID. Rețeaua își transmite încă prezența prin rame de baliză în orice fel; acesta nu include SSID-ul în rama de baliză dacă această opțiune este bifată. SSID-ul este trivial pentru a obține de la traficul de rețea existent.
Filtrarea MAC nu este deloc de folos. S-ar putea încetini pentru scurt timp copilul scenariului care a descărcat o crack-ul WEP, dar cu siguranță nu va opri pe cineva care știe ce fac, deoarece poate doar să păcălească o adresă legitimă MAC.
În ceea ce privește WEP, este complet spart. Puterea parolei dvs. nu contează prea mult aici. Dacă utilizați WEP, oricine poate descărca software care se va rupe în rețeaua dvs. destul de repede, chiar dacă aveți o parolă puternică.
WPA este mult mai sigur decât WEP, dar este încă considerat a fi rupt. Dacă hardware-ul dvs. acceptă WPA, dar nu WPA2, este mai bine decât nimic, dar un utilizator determinat îl poate sparge probabil cu instrumentele potrivite.
WPS (Wireless Protected Setup) este bastonul de securitate a rețelei. Dezactivați-o indiferent de tehnologia de criptare a rețelei pe care o utilizați.
WPA2, în special versiunea care utilizează AES, este destul de sigură. Dacă aveți o parolă de coborâre, prietenul dvs. nu va intra în rețeaua securizată WPA2 fără a obține parola. Acum, dacă ANS încearcă să intre în rețeaua dvs., este o altă problemă. Apoi ar trebui să opriți wireless complet. Și, probabil, și conexiunea la internet și toate computerele. Datând suficient timp și resurse, WPA2 (și orice altceva) poate fi hacked, dar probabil că va fi nevoie de mult mai mult timp și mult mai multe capabilități decât va avea la dispoziție un hobbyist mediu.
După cum a spus David, adevărata întrebare nu este "Poate fi hacked?", Ci mai degrabă: "Cât timp va dura cineva cu un anumit set de capabilități pentru a-l sparge?". Evident, răspunsul la această întrebare variază foarte mult în ceea ce privește acel set special de capabilități. De asemenea, este absolut corect că securitatea ar trebui făcută în straturi. Lucrurile pe care iti pasa nu ar trebui sa treaca peste reteaua ta fara a fi criptate mai intai. Deci, dacă cineva nu se încadrează în wireless, nu ar trebui să poată intra în ceva semnificativ în afară de utilizarea conexiunii la internet. Orice comunicare care trebuie să fie sigură ar trebui să utilizeze în continuare un algoritm de criptare puternic (cum ar fi AES), eventual setat prin TLS sau o astfel de schemă PKI. Asigurați-vă că e-mailul dvs. și orice alt trafic web sensibil sunt criptate și că nu executați niciun serviciu (cum ar fi partajarea de fișiere sau imprimante) pe computerele dvs. fără ca sistemul de autentificare să fie instalat corespunzător.
Aveți ceva de adăugat la explicație? Sunați în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.
