26Jun
Ενώ οι περισσότεροι από εμάς πιθανότατα δεν θα πρέπει ποτέ να ανησυχούν για κάποιον που χτυπάει το δίκτυό μας Wi-Fi, πόσο δύσκολο θα ήταν για έναν ενθουσιώδη να χάσει το δίκτυο Wi-Fi ενός ατόμου;Η σημερινή δημοσίευση Q & A της SuperUser έχει απαντήσεις σε ερωτήσεις ενός αναγνώστη σχετικά με την ασφάλεια δικτύου Wi-Fi.
Η σημερινή ερώτηση &Η συνάντηση απαντήσεων έρχεται με την ευγένεια του SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα-καθοδηγούμενη ομαδοποίηση Q & A ιστοσελίδες.
Φωτογραφία ευγένεια του Brian Klug( Flickr).
Η ερώτηση
SuperUser reader Sec θέλει να μάθει αν είναι πραγματικά δυνατό για τους περισσότερους λάτρεις να χάσουν τα δίκτυα Wi-Fi:
Έχω ακούσει από έναν αξιόπιστο εμπειρογνώμονα ασφάλειας υπολογιστών ότι οι περισσότεροι λάτρεις( ακόμα και αν δεν είναι επαγγελματίες) χρησιμοποιούν μόνο οδηγούςΤο Διαδίκτυο και το εξειδικευμένο λογισμικό( π.χ. Kali Linux με τα παρεχόμενα εργαλεία) μπορούν να σπάσουν την ασφάλεια του router σας στο σπίτι.
Οι άνθρωποι ισχυρίζονται ότι είναι δυνατή ακόμη και αν έχετε:
- Ένας ισχυρός κωδικός πρόσβασης δικτύου
- Ένας ισχυρός κωδικός πρόσβασης δρομολογητή
- Ένα κρυφό δίκτυο
- MAC φιλτράρισμα
Θέλω να μάθω αν πρόκειται για μύθο ή όχι.Εάν ο δρομολογητής έχει ισχυρό κωδικό πρόσβασης και φίλτρο MAC, πώς μπορεί να παρακαμφθεί( αμφιβάλλω ότι χρησιμοποιούν βίαιη δύναμη);Ή αν είναι ένα κρυφό δίκτυο, πώς μπορεί να το ανιχνεύσει και αν είναι δυνατόν, τι μπορείτε να κάνετε για να κάνετε το οικιακό σας δίκτυο πραγματικά ασφαλές;
Ως κατώτερος φοιτητής πληροφορικής, αισθάνομαι άσχημα γιατί μερικές φορές οι χομπίστες διαφωνούν μαζί μου σε τέτοια θέματα και δεν έχω ισχυρά επιχειρήματα ή δεν μπορώ να το εξηγήσω τεχνικά.
Είναι πραγματικά δυνατό, και αν ναι, ποια είναι τα «αδύνατα» σημεία ενός δικτύου Wi-Fi που θα επικεντρωθεί ένας ενθουσιώδης;
Οι απαντήσεις των απαντήσεων
SuperUser davidgo και reirab έχουν την απάντηση για εμάς.Πρώτα επάνω, davidgo:
Χωρίς να υποστηρίζουμε τη σημασιολογία, ναι, η δήλωση είναι αλήθεια.
Υπάρχουν πολλά πρότυπα κρυπτογράφησης Wi-Fi, συμπεριλαμβανομένων των WEP, WPA και WPA2.Το WEP διακυβεύεται, οπότε αν τον χρησιμοποιείτε, ακόμα και με ισχυρό κωδικό πρόσβασης, μπορεί να παραβιαστεί ασήμαντα.Πιστεύω ότι το WPA και το WPA2 είναι πολύ πιο δύσκολο να σπάσουν( αλλά μπορεί να έχετε προβλήματα ασφαλείας σχετικά με το WPS που παρακάμπτουν αυτό).Επίσης, ακόμη και εύλογα σκληροί κωδικοί πρόσβασης μπορούν να εξαναγκαστούν.Ο Moxy Marlispike, ένας γνωστός χάκερ, προσφέρει μια υπηρεσία για να κάνει αυτό για περίπου 30 δολάρια χρησιμοποιώντας cloud computing - αν και δεν είναι εγγυημένη.
Ένας ισχυρός κωδικός πρόσβασης δρομολογητή δεν θα κάνει τίποτα για να εμποδίσει κάποιον στην πλευρά Wi-Fi να μεταδίδει δεδομένα μέσω του δρομολογητή, οπότε αυτό είναι άσχετο.
Ένα κρυφό δίκτυο είναι ένας μύθος.Ενώ υπάρχουν κουτιά για να μην εμφανίζεται ένα δίκτυο σε μια λίστα με τους ιστότοπους, οι πελάτες μιλούν για το δρομολογητή WIFI, οπότε η παρουσία του εντοπίζεται ασήμαντα.Το φιλτράρισμα MAC
είναι ένα αστείο, καθώς πολλές συσκευές Wi-Fi( περισσότερες / όλες;) μπορούν να προγραμματιστούν / επαναπρογραμματιστούν για να κλωνοποιήσουν μια υπάρχουσα διεύθυνση MAC και να παρακάμψουν το φιλτράρισμα MAC.
Η ασφάλεια δικτύων είναι ένα μεγάλο θέμα και όχι κάτι που μπορεί να υποβληθεί σε μια ερώτηση SuperUser.Αλλά τα βασικά είναι ότι η ασφάλεια δημιουργείται σε στρώματα, έτσι ώστε ακόμα και αν ορισμένοι είναι συμβιβασμένοι, δεν είναι όλοι.Επίσης, οποιοδήποτε σύστημα μπορεί να διεισδύσει δίνοντας αρκετό χρόνο, πόρους και γνώση.οπότε η ασφάλεια στην πραγματικότητα δεν είναι τόσο θέμα "μπορεί να είναι hacked", αλλά "πόσο καιρό θα πάρει" για να χαράξει.Το WPA και ένας ασφαλής κωδικός πρόσβασης προστατεύουν το "Joe Average".
Αν θέλετε να βελτιώσετε την προστασία του δικτύου Wi-Fi, μπορείτε να το δείτε μόνο ως επίπεδο μεταφοράς, στη συνέχεια να κρυπτογραφήσετε και να φιλτράρετε όλα όσα περνούν σε αυτό το επίπεδο.Αυτό είναι υπερβολικό για τη συντριπτική πλειοψηφία των ανθρώπων, αλλά ένας τρόπος που θα μπορούσατε να κάνετε αυτό θα ήταν να ρυθμίσετε το δρομολογητή να επιτρέπει μόνο πρόσβαση σε ένα δεδομένο διακομιστή VPN υπό τον έλεγχό σας και να απαιτεί από κάθε πελάτη να πιστοποιεί την ταυτότητα σε όλη τη σύνδεση Wi-FiVPN.Έτσι, ακόμη και αν το Wi-Fi είναι κατεστραμμένο, υπάρχουν άλλα( σκληρότερα) στρώματα για να νικήσουμε.Ένα υποσύνολο αυτής της συμπεριφοράς δεν είναι ασυνήθιστο σε μεγάλα εταιρικά περιβάλλοντα.
Μια απλούστερη εναλλακτική λύση για την καλύτερη διασφάλιση ενός οικιακού δικτύου είναι να αποκολλήσετε το Wi-Fi εντελώς και να απαιτήσετε μόνο καλωδιακές λύσεις.Αν έχετε πράγματα όπως κινητά τηλέφωνα ή ταμπλέτες, αυτό μπορεί να μην είναι πρακτικό όμως.Σε αυτή την περίπτωση μπορείτε να μετριάσετε τους κινδύνους( βεβαίως να μην τις εξαλείψετε) μειώνοντας την ισχύ του σήματος του δρομολογητή σας.Μπορείτε επίσης να προστατεύσετε το σπίτι σας έτσι ώστε η συχνότητά σας να διαρρέει λιγότερο.Δεν το έχω κάνει, αλλά η ισχυρή φήμη( που έχει ερευνηθεί) έχει ότι ακόμη και το αλουμινένιο πλέγμα( όπως η οθόνη πετάγματος) στο εξωτερικό του σπιτιού σας με καλή γείωση μπορεί να κάνει μια τεράστια διαφορά στο ποσό του σήματος που θα διαφύγει.Αλλά βέβαια, κάλυψη τηλεφώνου κυριολεκτικά.
Στο μέτωπο προστασίας, μια άλλη εναλλακτική λύση είναι να πάρετε το δρομολογητή σας( αν είναι σε θέση να το κάνει, οι περισσότεροι δεν είναι, αλλά θα φανταζόμουν τους δρομολογητές που τρέχουν openwrt και ενδεχομένως ντομάτα / dd-wrt μπορούν να καταγράφουν όλα τα πακέτα που διασχίζουν το δίκτυό σαςκαι παρακολουθώντας το.Ακόμα και μόνο η παρακολούθηση για ανωμαλίες με συνολικά bytes μέσα και έξω από διάφορες διεπαφές θα μπορούσε να σας δώσει ένα καλό βαθμό προστασίας.
Στο τέλος της ημέρας, ίσως το ερώτημα που πρέπει να τεθεί είναι "Τι πρέπει να κάνω για να μην αξίζει τον περιστασιακό χάκερ να διαπεράσει το δίκτυό μου;" ή "Ποιο είναι το πραγματικό κόστος που έχει το συμβιβασμό του δικτύου μου";, και από εκεί.Δεν υπάρχει γρήγορη και εύκολη απάντηση.
Ακολούθησε η απάντηση από το reirab:
Όπως είπαν και άλλοι, η κρυπτογράφηση SSID είναι ασήμαντη για να σπάσει.Στην πραγματικότητα, το δίκτυό σας θα εμφανίζεται από προεπιλογή στη λίστα των Windows 8, ακόμη και αν δεν εκπέμπει το SSID του.Το δίκτυο εξακολουθεί να μεταδίδει την παρουσία του μέσω πλαισίων φάρων με κάθε τρόπο.απλώς δεν περιλαμβάνει το SSID στο πλαίσιο φάρου, αν έχει επιλεγεί αυτή η επιλογή.Το SSID είναι ασήμαντο για να αποκτήσετε από την υπάρχουσα κυκλοφορία δικτύου.Το φιλτράρισμα MAC
δεν είναι εξαιρετικά χρήσιμο.Μπορεί να επιβραδύνει σύντομα το παιδί του σεναρίου που κατεβάσει μια ρωγμή WEP, αλλά σίγουρα δεν πρόκειται να σταματήσει κανέναν που ξέρει τι κάνουν, αφού μπορούν απλά να συγχωρήσουν μια νόμιμη διεύθυνση MAC.
Όσον αφορά το WEP, είναι εντελώς σπασμένο.Η ισχύς του κωδικού πρόσβασης σας δεν έχει μεγάλη σημασία εδώ.Εάν χρησιμοποιείτε WEP, οποιοσδήποτε μπορεί να κατεβάσει λογισμικό που θα σπάσει στο δίκτυό σας αρκετά γρήγορα, ακόμα κι αν έχετε ισχυρό κωδικό πρόσβασης.Το
WPA είναι σημαντικά πιο ασφαλές από το WEP, αλλά εξακολουθεί να θεωρείται ότι είναι σπασμένο.Εάν το υλικό σας υποστηρίζει WPA αλλά όχι WPA2, είναι καλύτερο από το τίποτα, αλλά ένας αποφασισμένος χρήστης μπορεί πιθανώς να το σπάσει με τα σωστά εργαλεία.Το
WPS( Ασύρματη Προστασία Προστασίας) είναι ο ελάχιστος χαρακτήρας της ασφάλειας του δικτύου.Απενεργοποιήστε το ανεξάρτητα από την τεχνολογία κρυπτογράφησης δικτύου που χρησιμοποιείτε.Το
WPA2, ιδιαίτερα η έκδοση του που χρησιμοποιεί AES, είναι αρκετά ασφαλής.Αν έχετε κωδικό πρόσβασης, ο φίλος σας δεν πρόκειται να εισέλθει στο ασφαλισμένο σας δίκτυο WPA2 χωρίς να πάρει τον κωδικό πρόσβασης.Τώρα, εάν ο NSA προσπαθεί να μπείτε στο δίκτυό σας, αυτό είναι ένα άλλο θέμα.Στη συνέχεια, απλά πρέπει να απενεργοποιήσετε το ασύρματο σας.Και μάλλον τη σύνδεσή σας στο internet και όλους τους υπολογιστές σας επίσης.Δεδομένου ότι υπάρχει αρκετός χρόνος και πόροι, το WPA2( και οτιδήποτε άλλο) μπορεί να χτυπηθεί, αλλά πιθανόν να χρειαστεί πολύ περισσότερο χρόνο και περισσότερες δυνατότητες από ό, τι ο μέσος σας χομπίστας πρόκειται να έχει στη διάθεσή του.
Όπως είπε ο David, το πραγματικό ερώτημα δεν είναι "Μπορεί αυτό να χαραχτεί;", αλλά μάλλον, "Πόσο καιρό θα πάρει κάποιον με ένα συγκεκριμένο σύνολο δυνατοτήτων για να το χάσει;".Προφανώς, η απάντηση στο ερώτημα αυτό ποικίλλει σε μεγάλο βαθμό σε σχέση με το τι είναι αυτό το συγκεκριμένο σύνολο δυνατοτήτων.Είναι επίσης απολύτως σωστό ότι η ασφάλεια πρέπει να γίνεται σε στρώματα.Τα πράγματα που σας ενδιαφέρουν δεν πρέπει να πηγαίνουν πάνω από το δίκτυό σας χωρίς να κρυπτογραφηθούν πρώτα.Έτσι, αν κάποιος κάνει σπάσιμο στο ασύρματο σας, δεν θα πρέπει να είναι σε θέση να πάρει σε κάτι νόημα εκτός από ίσως χρησιμοποιώντας τη σύνδεσή σας στο internet.Οποιαδήποτε επικοινωνία πρέπει να είναι ασφαλής θα πρέπει να χρησιμοποιεί έναν ισχυρό αλγόριθμο κρυπτογράφησης( όπως AES), ενδεχομένως εγκατεστημένο μέσω TLS ή κάποιου τέτοιου συστήματος PKI.Βεβαιωθείτε ότι το ηλεκτρονικό σας ταχυδρομείο και οποιαδήποτε άλλη ευαίσθητη διαδικτυακή κυκλοφορία είναι κρυπτογραφημένη και ότι δεν εκτελείτε υπηρεσίες( όπως κοινή χρήση αρχείων ή εκτυπωτών) στους υπολογιστές σας χωρίς να υπάρχει το κατάλληλο σύστημα ελέγχου ταυτότητας.
Έχετε κάτι να προσθέσετε στην εξήγηση;Απενεργοποιήστε τα σχόλια.Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange;Δείτε το πλήρες νήμα συζήτησης εδώ.