Вопрос Действительно ли большинство энтузиастов могут взломать сети Wi-Fi?


Могут ли самые восторженные пользователи (даже если они не профессионалы) использовать хорошо известные методы, чтобы пробить среднюю безопасность домашнего маршрутизатора?

Некоторые основные параметры безопасности:

  • надежный сетевой пароль с различными методами шифрования
  • пароль доступа к пользовательскому маршрутизатору
  • WPS
  • нет SSID-трансляции
  • Фильтрация MAC-адресов

Некоторые из этих скомпрометированы и что делать, чтобы сделать домашнюю сеть более безопасной?


156
2018-03-24 22:56


происхождения


С правильными инструментами и достаточным временем все возможно. - joeqwerty
MAC-фильтрация абсолютно бессмысленна - Ramhound
@Mondrianaire Для доступа в Интернет моя сеть колледжа потребовала регистрации, а позже идентифицировала бы вас по MAC-адресу. Было тривиально обманывать адрес одного из моих соседей общежития. Если бы я сделал что-то плохое, используя эту связь, это было бы идентифицировано, как она это делала. Я бы сказал, что фильтрация MAC-адресов является одной из тех вещей, которые слишком легко создать ложное чувство безопасности. - Izkata
Ну, я говорю, что фильтрация MAC не является функцией безопасности - Ramhound
@Mondrianaire - Он вводит дыру. Если кто-то маскирует свой MAC-адрес в качестве адреса, принадлежащего ему, это еще один ключ к пониманию того, что кто-то, кто не должен быть там, был в вашей сети. Если вы не фильтруете MAC-адреса, они, вероятно, не захотят этого делать. - Compro01


ответы:


Не аргументируя семантику, да, утверждение верно.

Существует множество стандартов шифрования WIFI, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы его используете, даже с надежным паролем, это может быть тривиально нарушено. Я считаю, что WPA гораздо труднее взломать (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые обходят это), а по состоянию на октябрь 2017 года WPA2 также вызывает сомнительную безопасность. Кроме того, даже разумно жесткие пароли могут быть грубыми - Moxie Marlinspike - известный хакер предлагает услугу сделать это за 17 долларов США, используя облачные вычисления - хотя это и не гарантировано.

Сильный пароль маршрутизатора ничего не сделает, чтобы кто-то из WIFI-пользователей не передавал данные через маршрутизатор, поэтому это не имеет значения.

Скрытая сеть - это миф - в то время как есть ящики, чтобы сеть не отображалась в списке сайтов, клиенты маяком маршрутизатора WIFI, поэтому его присутствие тривиально обнаружено.

MAC-фильтрация - это шутка, поскольку многие (большинство / все?) Устройства WIFI могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.

Сетевая безопасность - большой вопрос, а не что-то, что поддается вопросу суперпользователя, но основы заключаются в том, что безопасность создается в слоях, так что даже если некоторые из них скомпрометированы, не все - кроме того, любая система может быть пропущена, учитывая достаточно времени, ресурсов и знания, поэтому безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени потребуется» для взлома. WPA и защищенный пароль для защиты от «Joe Average».

Если вы хотите улучшить защиту своей сети WIFI, вы можете просматривать ее только как транспортный уровень, а также шифровать и фильтровать все, что происходит через этот уровень. Это избыток для подавляющего большинства людей, но одним из способов, которым вы могли бы это сделать, было бы установить, чтобы маршрутизатор разрешал доступ только к данному VPN-серверу под вашим контролем и требовал от каждого клиента аутентификации через соединение WIFI через VPN - таким образом, даже если WIFI скомпрометирован, есть другие [более сложные] уровни для поражения. Подмножество такого поведения не является редкостью в крупных корпоративных средах.

Более простая альтернатива лучшей защите домашней сети - полностью отключить WIFI и потребовать только кабельные решения. Если у вас есть такие вещи, как мобильные телефоны или планшеты, это может быть не совсем практичным. В этом случае вы можете уменьшить риски (конечно, не устранить их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом, чтобы частота протекала меньше - я этого не делал, но сильный слух (исследуемый) показывает, что даже алюминиевая сетка (например, мухоморы) за пределами вашего дома с хорошим заземлением может сделать огромный разница в количестве сигнала, который будет сбежать. [Но, конечно, до свидания сотовый телефон]

На фронте защиты другой альтернативой может быть получение вашего маршрутизатора (если он способен это сделать, большинство из них не являются, но я бы предположил, что маршрутизаторы, работающие openwrt и, возможно, tomato / dd-wrt) могут регистрировать все пакеты, проходящие через вашу сеть и следить за ним - Черт, даже просто наблюдение за аномалиями с суммарными байтами в и из различных интерфейсов может дать вам хорошую степень защиты.

В конце дня может возникнуть вопрос: «Что мне нужно сделать, чтобы это не стоило случайным хакерам, чтобы проникнуть в мою сеть» или «Какова реальная стоимость срыва моей сети» и оттуда. Нет быстрого и легкого ответа.

Обновление - октябрь 2017 г.

Большинство клиентов, использующих WPA2 - если они не имеют патчей - могут показывать свой трафик в открытом виде, используя «Ключи переустановки - KRACK»  - что является слабостью стандарта WPA2. Примечательно, что это не дает доступа к сети или PSK только к трафику целевого устройства.


146
2018-03-24 23:23



Да, кто-то может изменить свой MAC-адрес на белый список, но не означает, что a) вызывает сразу заметные проблемы для первоначального владельца MAC-адреса, а б) не является ли это какой-то довольно неясной безопасностью безвестности? Когда компьютер передает свой MAC-адрес в режиме очистки по домашней сети? - bright-star
Наиболее частое время компьютер разоблачений это MAC-адрес, когда он использует сетевое соединение - не очень редко. Что касается неясности - это не является неясным относительно контекста вопроса, который может сделать энтузиаст, который предположительно включает веб-поиск эффективно. - Ram
@landroni - Нет, не так легко, однако, если пароль составлен из общих слов, натянутых вместе, все еще хорошо в пределах взлома. Трещины не должны выполняться машиной, пытающейся подключиться, - скорее, она может собрать необходимую информацию и отправить ее в облако, чтобы взломать больше энергии, ресурсов и даже радужных таблиц. Случайный пароль с 20 символами будет довольно пулевой. Посмотри на cloudcracker.com - davidgo
@clabacchio, потому что теперь вы сильно неудобства для своих пользователей? - Cruncher
@clabacchio, отключив сеть, также сделает ее более «безопасной». Будут ли пользователи довольны этим? - o0'.


Как говорили другие, скрытие SSID тривиально ломаться. Фактически, ваша сеть будет отображаться по умолчанию в сетевом списке Windows 8, даже если она не передает свой SSID. Сеть по-прежнему передает свое присутствие через кадры маяка в любом случае; он просто не включает SSID в кадре маяка, если эта опция отмечена галочкой. SSID тривиально для получения из существующего сетевого трафика.

MAC-фильтрация также не очень помогает. Это может вкратце замедлить сценарий kiddie, который загрузил WEP-трещины, но это определенно не остановит никого, кто знает, что они делают, поскольку они могут просто обмануть законный MAC-адрес.

Что касается WEP, то он полностью нарушен. Сила вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое быстро врывается в вашу сеть, даже если у вас есть сильный ключ доступа.

WPA значительно более безопасен, чем WEP, но по-прежнему считается нарушенным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но определенный пользователь может, вероятно, взломать его с помощью правильных инструментов.

WPS (беспроводная защищенная установка) - это ошибка сетевой безопасности. Отключите его независимо от используемой сетевой технологии шифрования.

WPA2 - в частности, версия, использующая AES, - достаточно безопасна. Если у вас есть приличный пароль, ваш друг не войдет в вашу защищенную сеть WPA2, не получив пароль. Теперь, если NSA пытается проникнуть в вашу сеть, это другое дело. Тогда вы должны полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но это, скорее всего, потребует гораздо больше времени и возможностей, чем ваш средний любитель будет иметь в своем распоряжении.

Как сказал Дэвид, реальный вопрос заключается не в том, «Можно ли его взломать?» но, скорее, «Сколько времени займет кто-то с определенным набором возможностей, чтобы взломать его?» Очевидно, что ответ на этот вопрос сильно различается в отношении того, что такое конкретный набор возможностей. Он также абсолютно прав, что безопасность должна выполняться слоями. Вещи, о которых вы заботитесь, не должны проходить через вашу сеть, не зашифрованные в первую очередь. Итак, если кто-то ворвался в вашу беспроводную сеть, они не должны были иметь возможность проникнуть в что-либо значимое, кроме, возможно, используя ваше интернет-соединение. Любая коммуникация, которая должна быть защищена, должна по-прежнему использовать сильный алгоритм шифрования (например, AES), возможно, настроенный через TLS или некоторую такую ​​схему PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрованы, и что на ваших компьютерах нет каких-либо служб (например, совместного использования файлов или принтеров) без надлежащей системы проверки подлинности.


Обновление 17 октября 2017 г. - Этот ответ отражает ситуацию до недавнего открытия новой новой уязвимости, которая затрагивает как WPA, так и WPA2. Повторная установка ключа AttaCK (KRACK) использует уязвимость в протоколе установления связи для Wi-Fi. Не вдаваясь в грязные детали криптографии (о которых вы можете прочитать на связанном веб-сайте), все сети Wi-Fi следует считать разбитыми до тех пор, пока они не будут исправлены, независимо от того, какой конкретный алгоритм шифрования они используют.

Связанные с этим вопросы InfoSec.SE, касающиеся KRACK:
Последствия атаки WPA2 KRACK
Как я могу защитить себя от KRACK, когда я не могу позволить себе VPN? 


52
2018-03-25 02:22



Хороший ответ, особенно бит о WPA2-AES. Я бы добавил, что SSID используется, чтобы соединить ключ WPA, поэтому, если вы не хотите, чтобы ваш WPA-ключ был включен радугой, лучше всего переключить его на нечто, отличное от «NETGEAR». - zigg
Насколько сложно обманывать MAC-адрес, так как вам нужно будет получить тот, который находится в белом списке. Я знаю все, что передается Можно быть подняты вручную, но не так ли много работы? - Seth
Нет, это невероятно просто. Он отправляется простым текстом в начале буквально каждого кадра, поэтому все, что вам нужно сделать, это захватить один единственный законный пакет в сети, чтобы найти MAC в белом списке. Как я сказал в своем ответе, для всех, кто знает, что они делают, тривиально. - reirab


Поскольку другие ответы на эту тему хороши, я думаю, что для тех, кто запрашивает конкретный ответ (ну ... это SuperUser, это не так?), Вопрос можно легко перевести как: «Что я должен знать, чтобы защитить мою сеть WiFi?»,
Без отрицания (и подтверждения) каких-либо других ответов это мой короткий ответ:

Слова криптолога Брюса Шеньеера могли бы быть полезными для многих пользователей:

Единственное реальное решение - отключить шнур питания.

Это часто можно применить к беспроводная сеть: постоянно ли мы работаем?
Многие маршрутизаторы имеют Кнопка Wi-Fi для включения / отключения беспроводной связи, например D-Link DSL-2640B ,
Если нет, вы всегда можете автоматизировать веб-включение / отключение беспроводной связи с помощью таких инструментов, как iMacros  (доступный как расширение для Firefox или как отдельная программа) для Windows и многих других в Linux.

И вот два трюка для WPA (пожалуйста, забыть WEP) пароль (a хороший пароль WPA очень затруднит атаки) создание (не сохраняйте пароль по умолчанию):

  1. использование несуществующие и / или иностранные слова: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (так как простой словарь не может быть использован для их поиска).
  2. Создайте свое собственное легко запоминающееся (для вас как минимум) предложение и определите свой пароль, взяв первый символ каждого слова. Результаты будут труднодоступные щели (Минимум 8 символов) легко вспомнить пароль, который включает прописные и строчные буквы, чисел и некоторые другие неалфавитный персонажи:
    «У вас есть два сына и 3 кошки, и вы их любите». -> «Yh2sa3c, aylt».

И, ради Бога: отключить WPS прямо сейчас! Это полностью недостатки,


14
2018-03-25 02:51



Пожалуйста, забудьте WPA и WPA2-TKIP, Используйте свои трюки WPA2-AES, - Darth Android
В чем смысл легко запоминающегося пароля wifi? В конце концов, вы очень редко подключаете устройства. Просто используйте хороший длинный случайный пароль - например, Lm, -TMzQ7cf \ 6. OwhAnpqC *. - Hans-Peter Störr
Если у вас есть статический набор устройств, которые редко меняются, нажмите OK. У людей есть друзья с гаджетами, которые им нужно включить, а случайные пароли здесь проблематичны. (Могут быть другие решения, такие как гостевая сеть, но это все равно позволит получить доступ к гостям, не являющимся гостями, которые хотят использовать ваши ресурсы) - davidgo
@hstoerr, по моему опыту в качестве конечного пользователя и корпоративного консультанта, я (почти) всегда обнаружил, что сложный пароль раздражает и окончательно отбрасывается. Вам нужно компромиссное решение. - Sopalajo de Arrierez
Вы правы, @IQAndreas: это более запоминающееся и сложнее взломать. Но не легче печатать. И, в моих тестах с HashCat, только для кратчайшего режима Yh2sa3c,aylt., это будет длиться время оценки более 10 лет для brutforce (даже с использованием одного из самых быстрых персональных компьютеров, которые вы можете себе позволить сегодня). - Sopalajo de Arrierez


Ничто из того, что вы упоминаете (кроме сетевого пароля), действительно влияет на взлом сети Wi-Fi. Поскольку фильтр MAC-адресов и скрытый SSID ничего не делают, чтобы помочь с точки зрения безопасности.

Что действительно важно, так это тип шифрования, используемый в сети. Старые сетевые шифры, такие как WEP, были тривиальны для разрыва, потому что с достаточным трафиком вы могли их декодировать, и вы могли бы заставить их генерировать необходимый вам трафик.

Но более новые, такие как WPA2, гораздо более безопасны. Теперь ничто не защищено от всех противников, но этого обычно достаточно для домашнего Wi-Fi.

Это большая тема, и это касается только верхушки айсберга, но, надеюсь, это помогает.


7
2018-03-24 23:05





WEP и WPA1 / 2 (с включенным WPS) могут быть взломаны тривиально; первый - с использованием захваченных IV, а второй - с помощью штурмовой команды WPS PIN (всего 11 000 возможных комбинаций из 3-х контактных точек, 4 цифры [10000 возможных] + 3 цифры [1000 возможных] + контрольная сумма 1 разряд [рассчитана из остальной]) ,

WPA1 / 2 жестче с надежным паролем, но использование трещин в графическом процессоре и метод грубой силы могут испортить некоторые из слабых.

Я лично взломал WEP и WPS в своей рабочей сети (с разрешения, я показывал уязвимости для своих работодателей), но мне еще предстоит успешно взломать WPA.


6
2018-03-26 01:03





Это отличный вопрос, а также рекомендации по обеспечению надежной беспроводной связи должен быть хорошо известными. Настройте маршрутизатор / шлюз / AP так, чтобы:

  • Безопасность беспроводной сети - только WPA2
  • шифрование - только AES
  • используйте предварительно разделяемый ключ, который содержит несколько слов (например, IloveSuperUser)
  • отключить WPS
  • отключить удаленное администрирование

Это оно! Для всех практических целей теперь у вас есть полностью безопасная беспроводная связь.


5
2018-03-26 21:26



@ Джейсон Один вопрос сразу; что у вас есть против пробелов? - deworde
@ryyker, я сказал для практических целей. - Jason
@deworde Я этого не делаю, но некоторые дешевые маршрутизаторы и менеджеры соединений делают. - Jason


В Cisco Learning Network форум, нить-стартер спросил:

Может ли WPA / TKIP быть взломан? Либо кто-то в моем гостевом доме использовал 80 гигов данных, либо кто-то рядом, взломав пароль и использовал его. Я подозреваю кого-то в гостевом доме, потому что мне трудно поверить, что WPA / TKIP может быть взломан, и даже если его можно сломать, это будет непросто сделать. Насколько сложно, если это вообще взломать WPA / TKIP? Я все равно хочу изменить пароль для них, могу ли я использовать - и _ и? персонажи?

Очевидно, очень умный парень по имени «Зак» сделал это сообщение которые нить-стартер, здесь (и другие, здесь тоже, если они заинтересованы), должны читать.

В частности, прочитайте примерно две трети пути его публикации, где он начинает со слов «Решения:».

Я использую мой шлюз "WPA-PSK (TKIP) / WPA2-PSK (AES)В соответствии с этим из публикации Заха ...

Измените имя своего маршрутизатора на нечто уникальное. Ваш ESSID используется вашим просителем wlan в качестве криптографической соли по PMK. Изменение этого приведет к устранению атак с предварительными вычислениями.

... Я давно использовал свой собственный уникальный ESSID. Кроме того, в соответствии с его ...

Создайте уникальный пароль, включающий уникальные символы, цифры, капиталы. несколько слов и строчные буквы. Это важнее длины. Увеличение длины пароля будет только увеличивать силу паролей, но это не должно быть неприлично   длинный. Сила лежит в дисперсия потенциала, Это устранит атаки словаря и сделает грубую силу невозможной без суперкомпьютера.

... у меня есть 25 символов, которые состоят из букв, цифр, верхнего и нижнего регистра и специальных символов. Ни одна часть этого не говорит ничего.

Я делаю несколько других вещей, которые делает Зак и не перечисляет там; но в дополнение к вышесказанному, и сказал другие вещи, и, по крайней мере, в духе того, что он написал здесь ...

Включить подробное ведение журнала и, если возможно, переслать его по электронной почте.

... Я давно написал немного кода сценариев, который автоматически запускается при запуске Windows и просто запускается в системном трее; какой код периодически, в течение дня, постоянно обновляется, а затем анализирует веб-страницу в моем шлюзе, в которой перечислены все подключенные устройства; и затем он говорит мне, что это как динамик со звуковым экраном (не обычные звуковые колонки, на всякий случай, когда они приглушены, или что-то еще) на моем ноутбуке-замене ноутбука экран, а также через текст на мой телефон (который находится либо в сумке на моем поясе, либо, по крайней мере, не более чем в пяти футах от меня, 24/7/365), если что-то новое появилось.

Для тех, у кого нет этого навыка, есть несколько приложений «кто на моем WI-FI», некоторые из них бесплатные. Хорошим и простым является [этот badboy] [3]. Просто запустите его с помощью Windows, дайте ему посидеть в системном трее и скажите «звуковой сигнал на новом устройстве», и у вас будет что-то похожее на то, что делает мой скрипт (за исключением того, что он не будет с вами). Однако, используя [простой инструмент для создания сценариев] [5], вы можете отправить SMS или электронную почту на свой телефон, когда новое устройство в локальной сети сделает звуковой сигнал приложения.

Надеюсь, это поможет.


3
2018-03-29 20:53



В последнем абзаце вашего ответа, по-видимому, отсутствуют две ссылки. - Twisty Impersonator