Je res mogoče za večino navdušencev, da Hack Wi-Fi omrežja?
Medtem ko večina od nas najbrž nikoli ne bo treba skrbeti, da bo nekdo zlomil naše Wi-Fi omrežje, kako težko bi bilo za navdušence, da bi vdrl v Wi-Fi omrežje osebe? Današnja objava za vprašanja in odgovori SuperUser ima odgovore na vprašanja bralca o varnosti omrežja Wi-Fi.
Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.
Fotografija je odobrena z Brianom Klugom (Flickr).
Vprašanje
Bralnik SuperUser Sec želi vedeti, ali je za večino navdušencev res mogoče, da vdrejo Wi-Fi omrežja:
Iz zaupanja vrednega strokovnjaka za računalniško varnost sem slišal, da večina navdušencev (tudi če niso strokovnjaki), ki uporabljajo samo vodnike iz interneta in specializirane programske opreme (npr. Kali Linux z vključenimi orodji), lahko prebijejo varnost vašega domačega usmerjevalnika.
Ljudje trdijo, da je to mogoče, tudi če imate:
- Močno geslo za omrežje
- Močno geslo usmerjevalnika
- Skrita mreža
- Filtriranje MAC
Želim vedeti, če je to mit ali ne. Če ima usmerjevalnik močno geslo in filtriranje MAC, kako se to lahko izogne (dvomim, da uporabljajo brutalno silo)? Ali pa, če je to skrito omrežje, kako ga lahko zaznajo, in če je mogoče, kaj lahko storite, da bo vaše domače omrežje resnično varno?
Kot mlajši študent računalništva se počutim slabo, ker se včasih hobisti spopadajo z mano o takšnih temah in nimam trdnih argumentov ali jih tehnično ne morem razložiti..
Ali je res mogoče, in če je, kakšne so "šibke" točke v omrežju Wi-Fi, ki bi jih navdušenec osredotočil na?
Odgovor
SuperUser prispevki davidgo in reirab imajo odgovor za nas. Prvič, davidgo:
Da ne bi trdili, da je semantika trditev resnična.
Za šifriranje Wi-Fi je vključenih več standardov, vključno z WEP, WPA in WPA2. WEP je ogrožen, zato ga lahko uporabljate, tudi če imate geslo, ki ga lahko uporabljate. Verjamem, da je WPA in WPA2 veliko težje, čeprav (morda imate varnostna vprašanja v zvezi z WPS, ki to obidejo). Tudi razumno trdna gesla so lahko brutalna. Moxy Marlispike, znani heker ponuja storitev za približno 30 USD z uporabo računalništva v oblaku - čeprav ni zagotovljena.
Močno geslo usmerjevalnika ne bo storilo ničesar, da bi preprečilo, da bi nekdo na strani Wi-Fi prenašal podatke prek usmerjevalnika, zato to ni pomembno..
Skrita mreža je mit. Čeprav obstajajo polja, ki omogočajo, da se omrežje ne prikaže na seznamu mest, odjemalci zasledujejo WIFI usmerjevalnik, zato je njegova prisotnost trivialno zaznana..
Filtriranje MAC je šala, saj je mogoče številne (najbolj / vse?) Wi-Fi naprave programirati / reprogramirati za kloniranje obstoječega naslova MAC in obhodnega filtriranja MAC..
Omrežna varnost je velika tema in ni nekaj, kar bi bilo mogoče uporabiti pri vprašanju SuperUser. Toda osnove so, da je varnost zgrajena v slojih, tako da tudi če so nekateri ogroženi, niso vsi. Prav tako je mogoče prodreti v vsak sistem, ki ima dovolj časa, virov in znanja; zato varnost ni pravzaprav vprašanje „ali je lahko vdrto“, ampak „kako dolgo bo trajalo“, da kramp. WPA in varno zaščito z geslom pred »Joe Average«.
Če želite izboljšati zaščito omrežja Wi-Fi, si ga lahko ogledate samo kot transportni sloj, nato šifrirate in filtrirate vse, kar poteka po tem sloju. To je za večino ljudi pretirano, vendar bi to lahko naredili tako, da nastavite usmerjevalnik tako, da bo pod vašim nadzorom dovolil dostop do določenega strežnika VPN, in od vsakega odjemalca zahtevati preverjanje pristnosti prek povezave Wi-Fi VPN. Torej, tudi če je Wi-Fi ogrožena, obstajajo druge (težje) plasti za poraz. Podmnožica tega vedenja ni neobičajna v velikih poslovnih okoljih.
Enostavnejša alternativa boljšemu varovanju domačega omrežja je popolnoma izločiti Wi-Fi in zahtevati samo kabelske rešitve. Če imate stvari, kot so mobilni telefoni ali tablični računalniki, to morda ni praktično. V tem primeru lahko zmanjšate tveganja (zagotovo jih ne odpravite) z zmanjšanjem moči signala usmerjevalnika. Prav tako lahko svoj dom zaščitite tako, da bo vaša frekvenca manj uhajala. Nisem storil, ampak močne govorice (raziskane) je, da celo aluminijasto mrežo (kot muhe zaslon) po zunaj vaše hiše z dobro ozemljitev lahko veliko razliko na količino signala, ki bo pobegnil. Seveda, pokritost z mobilnim telefonom.
Na sprednji strani zaščite je druga možnost, da dobite usmerjevalnik (če je sposoben to narediti, večina jih ni, vendar bi si zamislil usmerjevalnike, ki tečejo OpenWRT in morda paradižnik / dd-wrt) za beleženje vseh paketov, ki prečkajo vaše omrežje in pazi na to. Tudi samo spremljanje anomalij s skupnimi bajti v in iz različnih vmesnikov vam lahko zagotovi dobro stopnjo zaščite.
Na koncu lahko vprašanje, ki si ga zastavljate, glasi: "Kaj moram storiti, da ne bi bilo vredno, da bi priložnostni hekerski čas prodrl v moje omrežje?" Ali "Kakšni so dejanski stroški zaradi ogrožanja mojega omrežja?", in od tam. Ni hitrega in enostavnega odgovora.
Sledi odgovor reirab:
Kot so dejali drugi, je skrivanje SSID trivialno za prekinitev. Dejansko se bo vaše omrežje privzeto prikazalo na seznamu omrežij Windows 8, čeprav ne oddaja SSID-ja. Omrežje še vedno oddaja svojo prisotnost preko svetlobnih okvirjev v obe smeri; samo ne vključuje SSID v okvirju za svetilnike, če je ta možnost označena. SSID je nepomemben za pridobitev iz obstoječega omrežnega prometa.
Tudi filtriranje MAC ni zelo koristno. To bi lahko na kratko upočasnilo kiddie skript, ki je prenesel razpoko WEP, vendar zagotovo ne bo ustavil nikogar, ki ve, kaj počnejo, saj lahko samo zmotijo zakonit naslov MAC..
Kar zadeva WEP, je popolnoma pokvarjen. Moč vašega gesla tukaj ni pomembna. Če uporabljate WEP, lahko vsakdo prenese programsko opremo, ki bo hitro prešla v vaše omrežje, tudi če imate močno geslo.
WPA je bistveno bolj varna kot WEP, vendar še vedno velja za pokvarjeno. Če vaša strojna oprema podpira WPA, ne pa WPA2, je boljša od nič, toda določen uporabnik jo bo verjetno razbil z ustreznimi orodji.
WPS (Wireless Protected Setup) je zaščita omrežja. Onemogočite ga, ne glede na to, katero tehnologijo šifriranja omrežja uporabljate.
WPA2, zlasti njena različica, ki uporablja AES, je precej varna. Če imate geslo za spust, vaš prijatelj ne bo prišel v vaąe varovano omreľje WPA2 brez gesla. Če NSA poskuša priti v vaše omrežje, je to druga stvar. Nato morate izključiti brezžično omrežje. In verjetno tudi vaša internetna povezava in vsi vaši računalniki. Ker je dovolj časa in sredstev, lahko WPA2 (in vse ostalo) vdrli, vendar bo verjetno potreboval veliko več časa in veliko več zmogljivosti, kot jih bo imel povprečni ljubitelj na voljo..
Kot je rekel David, pravo vprašanje ni "Ali je to mogoče vdreti?", Ampak "Kako dolgo bo trajalo, da bo nekdo z določeno vrsto zmožnosti, da ga vdre?". Očitno je, da se odgovor na to vprašanje zelo razlikuje glede na to, kaj je ta določena zmožnost. Prav tako je popolnoma prepričan, da je treba varnost opraviti v plasteh. Stvari, ki so vam všeč, ne bi smele presegati vašega omrežja, ne da bi bile najprej šifrirane. Torej, če nekdo ne vdre v vašo brezžično povezavo, ne bi smeli priti v kaj pomembnega, razen uporabe internetne povezave. Vsaka komunikacija, ki mora biti varna, mora še vedno uporabljati močan šifrirni algoritem (kot je AES), po možnosti nastavljen prek TLS ali kakšne take PKI sheme. Poskrbite, da bo e-pošta in kateri koli drug občutljiv spletni promet šifriran in da v računalnikih ne uporabljate nobene storitve (kot je skupna raba datotek ali tiskalnikov) brez ustreznega sistema za preverjanje pristnosti.
Imate kaj dodati pojasnilu? Zvok v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.