26Jun
Míg a legtöbben valószínűleg soha nem kell aggódnunk, hogy valaki feltörli a Wi-Fi hálózatunkat, mennyire nehéz lenne a rajongónak egy személy Wi-Fi-hálózatát feltörni? A mai SuperUser Q & A bejegyzésben válaszol az olvasó kérdéseire a Wi-Fi hálózati biztonsággal kapcsolatban.
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.
Fotó jóvoltából Brian Klug( Flickr).
A
kérdése A SuperUser olvasó Sec azt szeretné megtudni, hogy valóban lehetséges-e a legtöbb rajongó a Wi-Fi hálózatok hackelésére:
Egy megbízható számítógépes biztonsági szakértőből hallottam, hogy a legtöbb rajongó( még akkor is, ha nem szakember)Az Internet és a speciális szoftverek( pl. A Kali Linux a beépített eszközökkel) áttörhetik az otthoni útválasztó biztonságát.
Az emberek azt állítják, hogy ez akkor is lehetséges, ha:
- Erős hálózati jelszó
- Erős router jelszó
- Rejtett hálózat
- MAC szűrés
Szeretném tudni, hogy ez egy mítosz, vagy sem. Ha az útválasztónak erős jelszava és MAC-szűrése van, hogyan lehet ezt megkerülni( kétlem, hogy brutális erőt használnak)?Vagy ha rejtett hálózatról van szó, hogyan érzékelhetik, és ha lehetséges, mit tehetünk az otthoni hálózatuk tényleges biztonságának megteremtéséért?
Mint egy junior számítógépes hallgató, rosszul érzem magam, mert néha a hobbiok vitatkoznak velem ilyen témákról, és nincsenek erős érvek, vagy technikailag nem tudom megmagyarázni.
Valóban lehetséges-e, és ha igen, milyen "gyenge" pontok egy Wi-Fi hálózaton, amelyet a rajongó összpontosíthatna?
Az
válasza A davidgo és a reirab válaszadóknak a választ kapja számunkra. Először is, davidgo:
A szemantika ellenére igen, az állítás igaz.
Több szabvány létezik a Wi-Fi titkosításhoz, beleértve a WEP, WPA és WPA2 szabványokat. A WEP meg van sérülve, ezért ha erős jelszót használ, akkor triviálisan megszakad.Úgy vélem, hogy a WPA és a WPA2 sokkal nehezebb feltörni( de lehet, hogy a WPS-vel kapcsolatos biztonsági problémák megkerülik ezt).Ráadásul még az ésszerűen kemény jelszavakat is lehet brutális kényszeríteni. A jól ismert hacker Moxy Marlispike körülbelül 30 dollárra képes felhőalapú számítástechnikával - bár ez nem garantált.
Az erős router jelszó semmit sem tehet annak érdekében, hogy megakadályozza, hogy a Wi-Fi oldalán valaki átadja az adatokat az útválasztón keresztül, így ez nem releváns.
A rejtett hálózat mítosz. Bár vannak olyan dobozok, amelyek miatt egy hálózat nem jelenik meg a webhelyek listájában, az ügyfelek bejuttatják a WIFI útválasztót, így jelenléte triviálisan észlelhető.
A MAC-szűrés vicc, annyi( legfeljebb / mindegyik) Wi-Fi eszköz programozható / átprogramozható meglévő MAC-cím klónozására és MAC-szűrés megkerülésére.
A hálózati biztonság egy nagy téma, és nem valami, ami a SuperUser kérdésére vonatkozik. De az alapja az, hogy a biztonság rétegekbe épül, így még ha egyesek is veszélybe kerülnek, nem minden. Továbbá bármely rendszer behatolhat elegendő időt, erőforrást és tudást;így a biztonság valójában nem annyira a kérdés, hogy "lehet-e feltörni", de "mennyi ideig tart" a csapkodás. WPA és egy biztonságos jelszó a "Joe Average" ellen.
Ha növelni szeretné Wi-Fi hálózatának védelmét, akkor csak átviteli rétegként tekintheti meg, majd titkosítani és szűrni az összes rétegen keresztül. Ez a túlnyomó többség az emberek túlnyomó többségében, de az egyik módja annak, hogy megteheti, hogy az útválasztó csak akkor engedélyezi a hozzáférést egy adott VPN-kiszolgálóhoz, ha az Ön ellenőrzése alatt áll, és megköveteli, hogy minden ügyfél hitelesítse az egész Wi-Fi-kapcsolatot. VPN.Így, még akkor is, ha a Wi-Fi kompromittálódott, vannak más( keményebb) rétegek is. E magatartás egy részhalmaza nem ritka a nagyvállalati környezetekben.
Egy egyszerű alternatíva az otthoni hálózat jobb biztosításához az, hogy teljesen lefedje a Wi-Fi-t, és csak kábeles megoldásokat igényel. Ha olyan dolgok vannak, mint a mobiltelefonok vagy a tabletta, akkor ez nem feltétlenül praktikus. Ebben az esetben csökkentheti a kockázatokat( biztosan nem szünteti meg) a router jelerősségének csökkentésével. Megvédheti otthonát is, így kevesebb frekvenciája szivároghat. Nem tettem meg, de az erős pletyka( kutatott) azt jelenti, hogy akár az alumínium háló( mint a légycsúszda) a ház külső részével, jó földeléssel, hatalmas különbséget jelenthet a kiszabadulandó jelek mennyiségével. De persze, bye-bye mobiltelefon lefedettség.
A védelmi fronton egy másik alternatíva lehet az útválasztó( ha képes rá, a legtöbb nem, de el tudom képzelni, hogy a routerek futnak openwrt és esetleg paradicsom / dd-wrt is), hogy naplózza az összes csomagot,és szemmel tartja. Még csak az összes bájtba eső és a különböző interfészekből származó anomáliák megfigyelése jó védelmet tud nyújtani Önnek.
A nap végén talán az a kérdés, hogy "Mit kell tennem annak érdekében, hogy ne érjék meg a hétköznapi hacker idejét, hogy bejusson a hálózatomba?" Vagy "Mi a valós költsége annak, hogy a hálózatom veszélybe kerül?", és onnan indul. Nincs gyors és egyszerű válasz.
A válasz a reirab-ról:
Mint mások is elmondták, az SSID elrejtése triviális, hogy megszakad. Tény, hogy a hálózata alapértelmezés szerint megjelenik a Windows 8 hálózati listájában, még akkor is, ha nem sugározza az SSID-jét. A hálózat még mindig sugárzik jelenlétét beacon kereteken keresztül;ez nem tartalmazza az SSID-t a beacon keretben, ha az opció be van jelölve. Az SSID triviális, hogy megszerezze a meglévő hálózati forgalmat. Az
MAC szűrés sem szörnyen hasznos. Lehet, hogy röviden lelassítaná a WEP repedés letöltött parancsfájlt, de biztosan nem fogja megállítani bárkinek, aki tudja, mit csinálnak, mivel csak egy legitim MAC címet tudnak hamisítani.
Ami a WEP-t illeti, teljesen megszakadt. A jelszó ereje itt nem számít. Ha WEP-t használsz, bárki gyorsan letöltheti a hálózatot, még akkor is, ha erős jelszó van.
A WPA lényegesen biztonságosabb, mint a WEP, de még mindig hibásnak tekinthető.Ha a hardver támogatja a WPA-t, de nem a WPA2-t, jobb, mint a semmi, de egy meghatározott felhasználó valószínűleg meg tudja szakítani a megfelelő eszközökkel. Az
A WPS( Wireless Protected Setup) a hálózati biztonság megtagadása. Tiltsa le, függetlenül attól, hogy milyen hálózati titkosítási technológiát használ.
A WPA2, különösen az AES-t használó verzió meglehetősen biztonságos. Ha származási jelszavával rendelkezik, a barátja nem fog bejutni a WPA2 biztonságos hálózatába a jelszó megszerzése nélkül. Most, ha az NSA megpróbál bejutni a hálózatába, ez egy másik kérdés. Akkor teljesen kapcsolja ki a vezeték nélküli hálózatot.És valószínűleg az internetkapcsolatod és az összes számítógéped is. Ha elegendő időt és erőforrást biztosítanak, a WPA2( és bármi más) feltörhető, de valószínűleg sokkal több időt és sokkal több képességet igényel majd, mint az átlagos hobistának.
Ahogy David elmondta, az igazi kérdés nem "Lehet, hogy ez feltörhető?", Hanem inkább: "Mennyi ideig tart egy olyan képességgel rendelkező személy, akinek meg kell csapkodnia?".Nyilvánvaló, hogy a kérdésre adott válasz nagyban különbözik attól, hogy milyen képességek vannak.Ő is teljesen helyes, hogy a biztonságot rétegekben kell elvégezni. Azokat a dolgokat, amelyekről törődsz, nem szabad megkerülni a hálózatot anélkül, hogy először titkosítani kellene. Szóval, ha valaki behatol a vezeték nélküli hálózathoz, akkor nem szabad, hogy valami értelmes dolgot szerezzen, nem pedig az internetkapcsolat használatát. Minden biztonságos kommunikációnak továbbra is erős titkosítási algoritmust( például AES-t) kell használnia, amelyet esetleg TLS-en vagy egy ilyen PKI-sémán keresztül lehet létrehozni. Győződjön meg róla, hogy e-mailje és egyéb érzékeny webes forgalma titkosítva van, és a megfelelő hitelesítési rendszer hiányában nem futtat semmilyen szolgáltatást( például fájlt vagy nyomtatómegosztást) a számítógépein.
Van valami a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.