26Jun
Während sich die meisten von uns wahrscheinlich nie Sorgen machen müssen, dass jemand unser Wi-Fi-Netzwerk hackt, wie schwer wäre es für einen Enthusiasten, das Wi-Fi-Netzwerk einer Person zu hacken? Der heutige SuperUser Q & A Beitrag beantwortet die Fragen eines Lesers über die Sicherheit des WLAN-Netzwerks.
Die heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Foto mit freundlicher Genehmigung von Brian Klug( Flickr).
Die Frage
SuperUser Leser Sec möchte wissen, ob es für die meisten Enthusiasten wirklich möglich ist, Wi-Fi-Netzwerke zu hacken:
Ich hörte von einem vertrauenswürdigen Computer-Sicherheitsexperten, dass die meisten Enthusiasten( auch wenn sie keine Profis sind) nur Guides von derInternet und spezialisierte Software( zB Kali Linux mit den mitgelieferten Tools), können Ihre Heimrouter Sicherheit durchbrechen.
Leute behaupten, dass es sogar möglich ist, wenn Sie haben:
- Ein starkes Netzwerkpasswort
- Ein starkes Routerpasswort
- Ein verstecktes Netzwerk
- MAC-Filterung
Ich möchte wissen, ob das ein Mythos ist oder nicht. Wenn der Router ein starkes Passwort und eine MAC-Filterung hat, wie kann das umgangen werden( ich bezweifle, dass sie Brute-Force verwenden)?Oder, wenn es ein verborgenes Netzwerk ist, wie können sie es erkennen, und wenn es möglich ist, was können Sie tun, um Ihr Heimnetzwerk wirklich sicher zu machen?
Als Junior Informatik Student fühle ich mich schlecht, weil manchmal Bastler mit mir über solche Themen streiten und ich keine starken Argumente habe oder es technisch nicht erklären kann.
Ist es wirklich möglich, und wenn ja, was sind die "schwachen" Punkte in einem WLAN-Netzwerk, auf die sich ein Enthusiast konzentrieren würde?
Die Antwort
SuperUser Mitwirkende davidgo und Reirab haben die Antwort für uns. Zuerst, davidgo:
Ohne die Semantik zu streiten, ist die Aussage wahr.
Es gibt mehrere Standards für die Wi-Fi-Verschlüsselung, einschließlich WEP, WPA und WPA2.WEP ist kompromittiert, also wenn Sie es verwenden, selbst mit einem starken Passwort, kann es leicht kaputt gehen. Ich glaube, dass WPA und WPA2 viel schwieriger zu knacken sind( aber Sie haben möglicherweise Sicherheitsprobleme in Bezug auf WPS, die dies umgehen).Auch relativ harte Passwörter können rohe Gewalt sein. Moxy Marlispike, ein bekannter Hacker, bietet einen Service an, um dies mit Cloud Computing für etwa 30 US-Dollar zu tun - obwohl dies nicht garantiert ist.
Ein starkes Router-Passwort verhindert nicht, dass jemand auf der Wi-Fi-Seite Daten über den Router überträgt, was irrelevant ist.
Ein verstecktes Netzwerk ist ein Mythos. Während es Felder gibt, um ein Netzwerk nicht in einer Liste von Sites erscheinen zu lassen, beamen die Clients den WLAN-Router, daher wird seine Anwesenheit trivial erkannt.
MAC-Filterung ist ein Witz, da viele( die meisten / alle?) Wi-Fi-Geräte programmiert / neu programmiert werden können, um eine bestehende MAC-Adresse zu klonen und MAC-Filterung zu umgehen.
Netzwerksicherheit ist ein großes Thema und nicht etwas, das einer SuperUser-Frage zugänglich ist. Aber die Grundlagen sind, dass Sicherheit in Schichten aufgebaut ist, so dass, selbst wenn einige kompromittiert sind, nicht alle sind. Außerdem kann jedes System mit genügend Zeit, Ressourcen und Wissen durchdrungen werden;Sicherheit ist also nicht so sehr eine Frage von "kann es gehackt werden", sondern "wie lange wird es dauern" zu hacken. WPA und ein sicheres Passwort schützen vor "Joe Average".
Wenn Sie den Schutz Ihres Wi-Fi-Netzwerks verbessern möchten, können Sie es nur als Transportschicht anzeigen und dann alles verschlüsseln und filtern, was über diese Schicht geht. Dies ist für die überwiegende Mehrheit der Benutzer ein Overkill, aber eine Möglichkeit besteht darin, den Router so einzustellen, dass er nur den Zugriff auf einen bestimmten VPN-Server unter Ihrer Kontrolle erlaubt und jeden Client über die Wi-Fi-Verbindung authentifizieren mussVPN.Selbst wenn das Wi-Fi kompromittiert wird, gibt es andere( härtere) Ebenen, die es zu besiegen gilt. Eine Teilmenge dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.
Eine einfachere Alternative, um ein Heimnetzwerk besser zu sichern, ist es, Wi-Fi komplett zu streichen und nur verkabelte Lösungen zu benötigen. Wenn Sie Dinge wie Handys oder Tablets haben, ist das vielleicht nicht praktisch. In diesem Fall können Sie die Risiken mindern( sicher nicht eliminieren), indem Sie die Signalstärke Ihres Routers reduzieren. Sie können Ihr Haus auch schützen, so dass Ihre Frequenz weniger leckt. Ich habe es nicht getan, aber starkes Gerücht( recherchiert) hat es, dass sogar Aluminiumgitter( wie Fliegengitter) über die Außenseite Ihres Hauses mit guter Erdung einen großen Unterschied für die Menge des Signals machen können, das entkommt. Aber natürlich, by-bye Handy-Abdeckung.
Auf der Schutzfront kann eine andere Alternative sein, Ihren Router zu bekommen( wenn es dazu in der Lage ist, die meisten nicht, aber ich würde mir Router vorstellen, die openwrt und möglicherweise tomate / dd-wrt können), um alle Pakete zu protokollieren, die Ihr Netzwerk durchlaufenund es im Auge behalten. Selbst die Überwachung auf Anomalien mit Gesamtbytes innerhalb und außerhalb von verschiedenen Schnittstellen kann Ihnen einen guten Schutz bieten.
Am Ende des Tages stellt sich vielleicht die Frage, "Was muss ich tun, damit sich ein Gelegenheits-Hacker nicht in mein Netzwerk eindrängen kann?" Oder "Was sind die wirklichen Kosten, wenn mein Netzwerk kompromittiert wird?"und von dort gehen. Es gibt keine schnelle und einfache Antwort.
Gefolgt von der Antwort von Reirab:
Wie andere schon gesagt haben, ist das Verstecken von SSID trivial. Tatsächlich wird Ihr Netzwerk standardmäßig in der Windows 8-Netzwerkliste angezeigt, auch wenn es seine SSID nicht sendet. Das Netzwerk sendet immer noch seine Präsenz über Beacon-Frames in beide Richtungen;Es enthält nur die SSID im Beacon-Frame, wenn diese Option aktiviert ist. Die SSID ist aus dem vorhandenen Netzwerkverkehr leicht zu erhalten.
MAC-Filterung ist auch nicht sehr hilfreich. Es könnte den Skript-Kiddie, der einen WEP-Crack heruntergeladen hat, kurz verlangsamen, aber es wird definitiv niemanden aufhalten, der weiß, was sie tun, da sie nur eine legitime MAC-Adresse fälschen können.
Bei WEP ist es komplett kaputt. Die Stärke Ihres Passwortes spielt hier keine Rolle. Wenn Sie WEP verwenden, kann jeder eine Software herunterladen, die ziemlich schnell in Ihr Netzwerk einbricht, auch wenn Sie ein starkes Passwort haben.
WPA ist wesentlich sicherer als WEP, wird aber immer noch als defekt angesehen. Wenn Ihre Hardware WPA, aber nicht WPA2 unterstützt, ist es besser als nichts, aber ein entschlossener Benutzer kann es wahrscheinlich mit den richtigen Tools knacken.
WPS( Wireless Protected Setup) ist der Schwachpunkt der Netzwerksicherheit. Deaktivieren Sie es unabhängig davon, welche Netzwerkverschlüsselungstechnologie Sie verwenden.
WPA2, insbesondere die Version, die AES verwendet, ist ziemlich sicher. Wenn Sie ein Abstiegspasswort haben, wird Ihr Freund nicht in Ihr WPA2-gesichertes Netzwerk gelangen, ohne das Passwort zu erhalten. Jetzt, wenn die NSA versucht, in Ihr Netzwerk zu gelangen, ist das eine andere Sache. Dann sollten Sie Ihr WLAN nur ganz ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und all Ihre Computer. Wenn genügend Zeit und Ressourcen zur Verfügung stehen, kann WPA2( und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und viel mehr Fähigkeiten erfordern, als ein durchschnittlicher Bastler zur Verfügung haben wird.
Wie David sagte, ist die wirkliche Frage nicht "Kann das gehackt werden?", Sondern "Wie lange wird jemand mit bestimmten Fähigkeiten brauchen, um es zu hacken?".Offensichtlich ist die Antwort auf diese Frage sehr unterschiedlich in Bezug auf die jeweiligen Fähigkeiten. Er ist auch absolut richtig, dass die Sicherheit in Schichten erfolgen sollte. Dinge, die Ihnen wichtig sind, sollten nicht ohne vorherige Verschlüsselung über Ihr Netzwerk gehen. Also, wenn jemand in Ihr WLAN einbricht, sollten Sie nicht in der Lage sein, irgendetwas sinnvolles zu tun, abgesehen davon, dass Sie vielleicht Ihre Internetverbindung benutzen. Jede Kommunikation, die sicher sein muss, sollte immer noch einen starken Verschlüsselungsalgorithmus( wie AES) verwenden, der möglicherweise über TLS oder ein solches PKI-Schema eingerichtet wird. Stellen Sie sicher, dass Ihre E-Mails und andere vertrauliche Internetdaten verschlüsselt sind und keine Dienste( z. B. Datei- oder Druckerfreigabe) auf Ihren Computern ausgeführt werden, ohne dass das richtige Authentifizierungssystem vorhanden ist.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.