Могут ли большинство пользователей-энтузиастов (даже если они не профессионалы) использовать общеизвестные методы для преодоления безопасности обычного домашнего маршрутизатора?
Некоторые основные параметры безопасности:
- надежный сетевой пароль с различными методами шифрования
- пользовательский пароль доступа к роутеру
- WPS
- нет SSID трансляции
- Фильтрация MAC-адресов
Некоторые из них скомпрометированы и что нужно сделать, чтобы сделать домашнюю сеть более безопасной?
wireless-networking
router
security
kvhadzhiev
источник
источник
Ответы:
Не оспаривая семантику, да утверждение верно.
Существует множество стандартов шифрования WIFI, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы используете его, даже с надежным паролем, он может быть тривиально взломан. Я считаю, что WPA намного сложнее взломать (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые это обходят), и с октября 2017 года WPA2 также предлагает сомнительную безопасность. Кроме того, даже достаточно надежные пароли могут быть подделаны - Moxie Marlinspike - известный хакер предлагает услугу для этого за 17 долларов США с помощью облачных вычислений - хотя это не гарантируется.
Надежный пароль маршрутизатора ничего не сделает для того, чтобы кто-то со стороны WIFI передавал данные через маршрутизатор, так что это не имеет значения.
Скрытая сеть - это миф: хотя существуют поля, чтобы сеть не отображалась в списке сайтов, клиенты передают сигнал WIFI-маршрутизатору, поэтому его присутствие обнаруживается тривиально.
Фильтрация MAC-адресов - это шутка, поскольку многие (большинство / все?) Устройства WIFI могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.
Сетевая безопасность - это большая тема, и она не подлежит решению вопроса суперпользователя, но в основном ее безопасность заключается в том, что безопасность строится по уровням, так что даже если некоторые из них скомпрометированы, не все - также любая система может быть взломана при наличии достаточного времени, ресурсов и знания, так что безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени потребуется», чтобы взломать. WPA и безопасный пароль защищают от «Joe Average».
Если вы хотите улучшить защиту вашей сети WIFI, вы можете рассматривать ее только как транспортный уровень, а также шифровать и фильтровать все, что происходит на этом уровне. Это избыточно для подавляющего большинства людей, но один из способов сделать это - настроить маршрутизатор так, чтобы он разрешал доступ только к определенному VPN-серверу под вашим контролем, и требовал, чтобы каждый клиент проходил аутентификацию через соединение WIFI через VPN - таким образом, даже если WIFI взломан, есть и другие [более сложные] уровни, которые нужно победить. Подмножество этого поведения весьма распространено в больших корпоративных средах.
Более простой альтернативой для лучшей защиты домашней сети является отказ от WIFI в целом, и для этого требуются только кабельные решения. Если у вас есть такие вещи, как мобильные телефоны или планшеты, это может быть непрактично. В этом случае вы можете уменьшить риски (конечно, не устранить их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом так, чтобы частота пропадала меньше - я этого не делал, но ходят слухи (исследованные), что даже алюминиевая сетка (например, экран от мух) через внешнюю сторону вашего дома с хорошим заземлением может сделать огромный разница в количестве сигнала, который выйдет. [Но, конечно, пока пока сотовый телефон покрытие]
Что касается защиты, другой альтернативой может быть получение вашего маршрутизатора (если он способен сделать это, большинство не способны, но я представляю, что маршрутизаторы, работающие с openwrt и, возможно, tomato / dd-wrt могут) регистрировать все пакеты, проходящие через вашу сеть. и следите за этим - черт, даже просто отслеживание аномалий с общим количеством байтов в различных интерфейсах и из них может дать вам хорошую степень защиты.
В конце дня, возможно, возникнет вопрос: «Что мне нужно сделать, чтобы случайные хакеры не потратили время на проникновение в мою сеть» или «Какова реальная стоимость взлома моей сети» и оттуда. Там нет быстрого и простого ответа.
Обновление - октябрь 2017
Большинству клиентов, использующих WPA2, если они не исправлены, трафик может быть открыт в незашифрованном виде с помощью «Атаки с переустановкой ключа - KRACK», что является недостатком стандарта WPA2. Примечательно, что это не дает доступа к сети или PSK только к трафику целевого устройства.
источник
Как уже говорили другие, сокрытие SSID тривиально сломать. Фактически, ваша сеть будет отображаться по умолчанию в списке сетей Windows 8, даже если она не передает свой SSID. Сеть все еще транслирует свое присутствие через фреймы маяка; он просто не включает SSID в кадр маяка, если отмечен этот параметр. SSID тривиально получить из существующего сетевого трафика.
Фильтрация MAC также не очень полезна. Это может на короткое время замедлить работу сценариста, загрузившего WEP-трещину, но это точно не остановит тех, кто знает, что они делают, поскольку они могут просто подделать действительный MAC-адрес.
Что касается WEP, он полностью сломан. Надежность вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое довольно быстро проникнет в вашу сеть, даже если у вас надежный пароль.
WPA значительно более безопасен, чем WEP, но все еще считается сломанным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но решительный пользователь, вероятно, сможет взломать его с помощью подходящих инструментов.
WPS (беспроводная защищенная настройка) является угрозой безопасности сети. Отключите его независимо от того, какую технологию шифрования сети вы используете.
WPA2 - в частности, версия, в которой используется AES - достаточно безопасна. Если у вас есть приличный пароль, ваш друг не сможет войти в вашу защищенную сеть WPA2 без получения пароля. Теперь, если АНБ пытается проникнуть в вашу сеть, это другое дело. Тогда вам следует просто полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но, вероятно, потребуется гораздо больше времени и гораздо больше возможностей, чем будет у вашего среднего любителя.
Как сказал Дэвид, реальный вопрос не в том, может ли это быть взломано? но, скорее, «Сколько времени потребуется кому-то с определенным набором способностей, чтобы взломать его?» Очевидно, что ответ на этот вопрос сильно различается в зависимости от того, что это за набор возможностей. Он также абсолютно прав, что безопасность должна быть сделана слоями. Вещи, которые вас интересуют, не должны передаваться по вашей сети без предварительного шифрования. Так что, если кто-то взломает вашу беспроводную связь, он не сможет в этом разобраться, кроме использования вашего интернет-соединения. Любая связь, которая должна быть безопасной, должна по-прежнему использовать надежный алгоритм шифрования (например, AES), возможно, настроенный через TLS или какую-либо подобную схему PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрован и что вы не
Обновление 17 октября 2017 г. - Этот ответ отражает ситуацию, возникшую до недавнего обнаружения новой серьезной уязвимости, которая затрагивает как WPA, так и WPA2. Функция переустановки ключей AttaCK (KRACK) использует уязвимость в протоколе квитирования связи для Wi-Fi. Не вдаваясь в грязные детали криптографии (о которых вы можете прочитать на связанном веб-сайте), все сети Wi-Fi следует считать сломанными, пока они не будут исправлены, независимо от того, какой конкретный алгоритм шифрования они используют.
Вопросы, связанные с InfoSec.SE относительно KRACK:
Последствия атаки KRACK на WPA2
Как я могу защитить себя от KRACK, когда я не могу позволить себе VPN?
источник
Поскольку другие ответы в этой теме хороши, я думаю, что для тех, кто запрашивает конкретный ответ (ну ... это SuperUser, не так ли?), Вопрос можно легко перевести как: «Что я должен знать, чтобы WiFi сеть безопасна? " ,
Не отрицая (и не подтверждая) ни один из других ответов, это мой короткий ответ:
Слова криптолога Брюса Шенье могут быть полезными советами для многих пользователей:
Это часто может быть применено к беспроводным сетям : нам постоянно нужно, чтобы это работало?
Многие маршрутизаторы имеют кнопку WiFi для включения / выключения беспроводной связи, например D-Link DSL-2640B .
Если нет, вы всегда можете автоматизировать включение / отключение беспроводной сети через Интернет, используя такие инструменты, как iMacros (доступно как расширение для Firefox или как отдельная программа) в Windows и многие другие в Linux.
И вот две уловки для создания пароля WPA (пожалуйста, забудьте WEP ) ( хороший пароль WPA сделает атаки очень трудными) ( не сохраняйте пароль по умолчанию ):
«У вас есть два сына и 3 кошки, и вы их любите. " -> "Yh2sa3c, айлт."
И ради Бога: отключите WPS прямо сейчас! Это совершенно некорректно .
источник
Yh2sa3c,aylt., он проработает примерно 10 лет, чтобы переборить (даже используя один из самых быстрых персональных компьютеров, которые вы можете себе позволить сегодня).Ничто из того, что вы упоминаете (кроме сетевого пароля), не влияет на взлом сети Wi-Fi. Так как фильтр MAC-адресов и скрытый SSID ничего не могут поделать с точки зрения безопасности.
Что действительно важно, так это тип шифрования, используемый в сети. Прервать шифрование старых сетей, таких как WEP, было тривиально, потому что, имея достаточно трафика, вы могли бы их декодировать и заставлять генерировать необходимый вам трафик.
Однако более новые, такие как WPA2, намного безопаснее. Теперь ничто не является «защищенным» от всех противников, но этого обычно достаточно для домашнего Wi-Fi.
Это большая тема, и это касается только вершины айсберга, но, надеюсь, это поможет.
источник
WEP и WPA1 / 2 (с включенным WPS) можно взломать тривиально; первый с использованием захваченных IV, а второй с помощью грубой силы WPS PIN (только 11 000 возможных комбинаций, из 3-х частей; 4 цифры [10 000 возможных] + 3 цифры [1000 возможных] + 1 цифра контрольной суммы [вычислено из остальных]) ,
WPA1 / 2 сложнее с надежным паролем, но использование взлома GPU и техника грубой силы могут разрушить некоторые из более слабых.
Я лично взломал WEP и WPS в своей рабочей сети (с разрешения я демонстрировал уязвимости своим работодателям), но мне еще предстоит успешно взломать WPA.
источник
Это отличный вопрос, и правила хорошо защищенной беспроводной сети должны быть хорошо известны. Настройте свой маршрутизатор / шлюз / AP так, чтобы:
Это оно! Для всех практических целей у вас теперь есть полностью безопасная беспроводная связь.
источник
На форуме Cisco Learning Network автор темы спросил:
Явно очень умный парень по имени Зак сделал эту публикацию, которую должен прочитать новичок здесь (и другие, здесь, если они заинтересованы).
В частности, прочитайте примерно две трети пути его публикации, где он начинается со слов «Решения:».
Я использую настройки своего шлюза " WPA-PSK (TKIP) / WPA2-PSK (AES) ". В соответствии с этим из сообщения Зака ...
... Я давно использовал свой собственный уникальный ESSID. Кроме того, в соответствии с его ...
... у меня 25 символов, которые состоят из букв, цифр, прописных и строчных букв и специальных символов. Ничто из этого не означает ничего.
Я делаю несколько других вещей, которые Зак делает и не перечисляет там; но в дополнение к вышесказанному и сказано другое, и хотя бы в духе того, что он здесь написал ...
... Я давно написал немного скриптового кода, который автоматически запускается при запуске Windows и просто запускается в системном трее; этот код периодически, в течение дня, жестко обновляет, а затем анализирует веб-страницу в моем шлюзе, в которой перечислены все подключенные устройства; и затем он говорит мне обоим как озвучивание с тройным звуковым сигналом через материнскую плату (не обычные звуковые колонки, на случай, если они отключены или что-то в этом роде) на моем настольном ноутбуке-замене экран, а также через текст на мой телефон (который находится либо в сумке на моем поясе, либо, по крайней мере, не более чем в пяти футах от меня, 24/7/365), если появилось что-то новое.
Для тех, у кого нет этого навыка, есть несколько приложений типа «кто на моем WI-FI», некоторые из них бесплатные. Хорошим и простым является [этот плохой парень] [3]. Просто автоматически запустите его с Windows, дайте ему сесть в системный трей и скажите, что он «подаст звуковой сигнал на новом устройстве», и вы получите нечто похожее на то, что делает мой скрипт (за исключением того, что он не будет отправлять вам SMS). Однако, используя [простой инструмент создания сценариев] [5], вы можете заставить SMS или электронное письмо отправляться на ваш телефон, когда новое устройство в локальной сети издает звуковой сигнал приложения.
Надеюсь, это поможет.
источник
Другим соображением при любом анализе безопасности являются активы, которые нуждаются в защите, и ценность этих активов для владельца и потенциального злоумышленника. Я полагаю, что ваш банковский логин, номер кредитной карты и другие учетные данные, вероятно, являются наиболее ценной информацией, передаваемой по домашней сети, и большая часть этого должна быть защищена шифрованием TLS / SSL через соединение https. Таким образом, похоже, что если вы используете ключ WPA2 на своем маршрутизаторе Wi-Fi и убедитесь, что ваш браузер использует https всякий раз, когда это возможно (с помощью такого инструмента, как eff https везде), вы достаточно защищены. (Потенциальный злоумышленник должен пойти на проблемы взлома ключа WPA2 , чтобы , возможно , получить пароль , который не проходит через HTTPS или HTTP - страницы , которые вы просматриваете.)
источник
Сомнительно .
Я не согласен с ответом Давидго. Хотя это хорошо исследовано, и я согласен с большей частью его информации, я думаю, что это немного пессимистично.
В WPA2 есть уязвимости, о которых уже говорилось в других ответах. Однако ни один из них не является неизбежным.
В частности, следует отметить, что атака грубой силы, упомянутая Давидго, является атакой на слабость в MS-CHAPv2. См. Ссылку цитируемого автора [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Если Ms-CHAP не используется, эта слабость не может быть использована.(удалено по комментарию автора - неправильная ссылка)С правильной парольной фразой, SSID и отказом от скомпрометированной технологии я не вижу причин, по которым защищенная сеть WPA2, использующая AES256, в настоящий момент не будет безопасной. Атаки грубой силой на такие сети невозможны, и даже Мокси Марлинспайк предлагает это.
Однако, где я согласен с ответом davidgo, большинство пользователей не предпринимают эти усилия. Я знаю, что моя собственная домашняя сеть может быть использована, и хотя я знаю, как это исправить, она просто не стоит моих сил и времени.
источник