26Jun
Dok se većina nas najvjerojatnije nikad ne treba brinuti o tome da netko hakira našu Wi-Fi mrežu, koliko je teško za entuzijasta da hacki osobnu Wi-Fi mrežu? Danas SuperUser Q & A post ima odgovore na pitanja jednog čitatelja o sigurnosti Wi-Fi mreže.
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, grupiranjem zajednice Q & A web stranica.
Fotografija ljubaznošću Brian Klug( Flickr).
Pitanje
SuperUser čitač Sec želi znati je li za većinu entuzijasta moguće doći do Wi-Fi mreža:
Čuo sam od pouzdanog stručnjaka za računalnu sigurnost da većina entuzijasta( čak i ako nisu profesionalci) koriste samo vodiče izInternet i specijalizirani softver( npr. Kali Linux s uključenim alatima) mogu proći kroz sigurnost vašeg kućnog usmjerivača.
Ljudi tvrde da je to moguće čak i ako imate:
- Jaka mrežna lozinka
- Jaka usmjerivač lozinka
- Skrivena mreža
- MAC filtriranje
Želim znati je li to mit ili ne. Ako usmjerivač ima snažnu lozinku i MAC filtriranje, kako se to može zaobići( sumnjam da koriste brutalnu silu)?Ili ako je to skrivena mreža, kako to mogu otkriti, a ako je moguće, što možete učiniti da bi vaša kućna mreža stvarno bila sigurna?
Kao mladi student računarstva, osjećam se loše jer se ponekad hobisti raspravljaju sa mnom o takvim temama i nemam snažne argumente niti ih tehnički mogu objasniti.
Je li moguće, a ako je tako, koje su "slabe" točke u Wi-Fi mreži na kojoj bi se entuzijasta usredotočila?
Odgovor
SuperUser suradnici davidgo i reirab imaju odgovor za nas. Prvo, davidgo:
Bez argumenata semantike, da, izjava je istinita.
Postoji više standarda za Wi-Fi enkripciju, uključujući WEP, WPA i WPA2.WEP je ugrožen, pa ako ga koristite, čak i uz snažnu lozinku, može se trivijalno slomiti. Vjerujem da je WPA i WPA2 puno teže ispucati( ali možda imate sigurnosne probleme vezane uz WPS koji to zaobiđete).Također, čak i razumno teške lozinke mogu biti brutalno prisiljene. Moxy Marlispike, poznati haker nudi uslugu za to oko 30 dolara pomoću cloud computinga - iako to nije zajamčeno.
Jaka routera lozinka neće učiniti ništa kako bi spriječio nekoga na Wi-Fi strani da prenosi podatke putem usmjerivača, tako da je irelevantan.
Skrivena mreža je mit. Iako postoje okviri za stvaranje mreže koja se ne pojavljuje na popisu stranica, klijenti nadgledaju WIFI usmjerivač, stoga njegova prisutnost je trivijalno otkrivena.
MAC filtriranje je šala jer se mnogi( većini / svi?) Wi-Fi uređaji mogu programirati / reprogramirati za kloniranje postojeće MAC adrese i zaobići MAC filtriranje.
Mrežna sigurnost je veliki predmet, a ne nešto prikladno za SuperUser pitanje. No, osnove su da se sigurnost gradi u slojevima tako da čak i ako su neki ugroženi, nisu svi. Također, svaki sustav može biti prodoran s obzirom na dovoljno vremena, resursa i znanja;tako da sigurnost zapravo nije toliko pitanje "može li biti sjeckan", nego "koliko dugo će to" hackirati. WPA i sigurna lozinka štite od "Joe Average".
Ako želite poboljšati zaštitu vaše Wi-Fi mreže, možete je pregledati samo kao transportni sloj, a zatim šifrirati i filtrirati sve što ide preko tog sloja. To je prevelika količina za veliku većinu ljudi, ali jedan od načina na koji biste to mogli učiniti jest postavljanje usmjerivača da dopusti pristup određenom VPN poslužitelju pod vašom kontrolom i zahtijeva od svakog klijenta autentifikaciju preko Wi-Fi vezeVPN.Dakle, čak i ako je Wi-Fi ugrožen, postoje drugi( teži) slojevi da bi porazili. Podskup tog ponašanja nije neuobičajen u velikim korporativnim okruženjima.
Jednostavnija alternativa za bolje osiguravanje kućne mreže je potpuno Wi-Fi i zahtijevaju samo cabled rješenja. Ako imate stvari poput mobitela ili tableta, to možda neće biti praktično. U tom slučaju možete ublažiti rizike( sigurno ih ne eliminirati) smanjivanjem jačine signala vašeg usmjerivača. Također možete zaštititi svoj dom kako bi se vaša frekvencija smanjila. Nisam to učinio, ali jaka glasina( istražena) ima da čak i aluminijska mreža( poput letačkog zaslona) preko vanjskog dijela vaše kuće s dobrim uzemljenjem može napraviti veliku razliku od količine signala koji će pobjeći. Ali, naravno, pokrivenost mobitela.
Na prednjoj strani zaštite, drugu alternativu može biti da dobijete usmjerivač( ako to može, većina ne, ali zamisliti da routeri koji rade na openwrt i eventualno rajčica / dd-wrt mogu) zapisivati sve pakete koji prolaze kroz vašu mrežui paziti na to.Čak i praćenje anomalija s ukupnim bajtovima ui izvan različitih sučelja može vam dati dobar stupanj zaštite.
Na kraju dana, možda je postaviti pitanje: "Što trebam učiniti kako ne bi bilo vrijedno slučajnog hakerskog vremena prodrijeti u moju mrežu?" Ili "Koji je stvarni trošak da moja mreža bude ugrožena?", i ide odande. Ne postoji brz i jednostavan odgovor.
Slijedi odgovor reirab:
Kao što su drugi rekli, skrivanje SSID-a je trivijalno da se prekine. U stvari, mreža će se prema zadanim postavkama prikazati na popisu mreža sustava Windows 8 čak i ako ne emitira SSID.Mreža i dalje odašilje svoju prisutnost putem beacon okvira bilo kojim putem;to jednostavno ne uključuje SSID u beacon okvir ako je ta opcija označena. SSID je trivijalan za dobivanje iz postojećeg mrežnog prometa.
MAC filtriranje nije od velike pomoći. To bi moglo nakratko usporiti scenarij skriptu koji je preuzeo WEP ispucati, ali definitivno neće zaustaviti nikoga tko zna što rade, budući da mogu samo varati legitimnu MAC adresu.
Što se tiče WEP-a, to je posve prekršeno. Snaga lozinke ovdje nije važna. Ako koristite WEP, svatko može preuzeti program koji će brzo upasti u vašu mrežu, čak i ako imate jaku zaporku.
WPA je znatno sigurniji od WEP-a, ali se i dalje smatra prekidima. Ako vaš hardver podržava WPA, ali ne WPA2, to je bolje od ničega, ali određeni korisnik vjerojatno ga može slomiti pravim alatima.
WPS( bežično zaštićeno podešavanje) je zastoj mrežne sigurnosti. Onemogućite ga bez obzira na tehnologiju šifriranja mreže koju koristite.
WPA2, posebice inačica koja koristi AES, prilično je sigurna. Ako imate zaporku za spuštanje, vaš prijatelj neće ući u vašu sigurnu mrežu WPA2 bez dobivanja zaporke. Sada, ako NSA pokušava ući u vašu mrežu, to je još jedna stvar. Zatim trebate isključiti bežičnu vezu. A vjerojatno i vaša internetska veza i sva vaša računala. S obzirom na dovoljno vremena i resursa, WPA2( i bilo što drugo) može biti hakiran, ali vjerojatno će zahtijevati puno više vremena i puno više mogućnosti od vašeg prosječnog hobistanta koji će imati na raspolaganju.
Kao što je David rekao, pravo pitanje nije "Može li se to sjeckati?", Već, "Koliko dugo će netko s određenim skupom sposobnosti da ga hakira?".Očito, odgovor na to pitanje uvelike se razlikuje s obzirom na to što je to određeni skup mogućnosti. Također je apsolutno točan da se sigurnost treba obaviti u slojevima. Stavke koje vas zanimaju ne bi trebale prelaziti vašu mrežu bez prethodno kriptirane. Dakle, ako netko upadne u vašu bežičnu mrežu, ne bi smjela biti u mogućnosti ući u bilo što smisleno, osim možda putem internetske veze. Svaka komunikacija koja mora biti sigurna trebala bi još uvijek koristiti snažan algoritam šifriranja( kao što je AES), moguće postaviti putem TLS-a ili nekog takvog PKI shema. Provjerite je li vaša e-pošta i neki drugi osjetljivi web promet kriptirani te da na svojim računalima ne koristite nikakve usluge( poput dijeljenja datoteke ili pisača) bez odgovarajućeg sustava provjere autentičnosti.
Imate li nešto za objašnjenje? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.