26Jun
Mentre molti di noi probabilmente non dovranno mai preoccuparsi di qualcuno che ha hackerato la nostra rete Wi-Fi, quanto sarebbe difficile per un appassionato hackerare la rete Wi-Fi di una persona? Il post di Q & A di SuperUser di oggi ha le risposte alle domande di un lettore sulla sicurezza della rete Wi-Fi.
Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.
Foto per gentile concessione di Brian Klug( Flickr).
La domanda
SuperUser reader Sec vuole sapere se è davvero possibile per la maggior parte degli appassionati hackerare reti Wi-Fi:
Ho sentito da un esperto di sicurezza informatica fidato che la maggior parte degli appassionati( anche se non sono professionisti) usano solo le guide delInternet e software specializzati( ad esempio Kali Linux con gli strumenti inclusi), possono rompere la sicurezza del router di casa.
Le persone sostengono che è possibile anche se si ha:
- Una password di rete forte
- Una password del router forte
- Una rete nascosta
- Filtro MAC
Voglio sapere se questo è un mito o meno. Se il router ha una password complessa e un filtro MAC, come può essere aggirato( dubito che usino la forza bruta)?O se si tratta di una rete nascosta, come possono rilevarla, e se è possibile, cosa si può fare per rendere veramente sicura la rete domestica?
Come studente di informatica junior, mi sento male perché a volte gli hobbisti discutono con me su tali argomenti e non ho argomenti forti o non posso spiegarlo tecnicamente.
È davvero possibile, e se sì, quali sono i punti "deboli" in una rete Wi-Fi su cui un appassionato si concentrerebbe?
La risposta
I contributori SuperUser davidgo e reirab hanno la risposta per noi. Per prima cosa, davidgo:
Senza discutere la semantica, sì, l'affermazione è vera.
Esistono più standard per la crittografia Wi-Fi inclusi WEP, WPA e WPA2.WEP è compromesso, quindi se lo si utilizza, anche con una password complessa, può essere banalmente rotto. Credo che WPA e WPA2 siano molto più difficili da risolvere( ma potresti avere problemi di sicurezza relativi a WPS che bypassano questo).Inoltre, anche le password ragionevolmente difficili possono essere forzate brute. Moxy Marlispike, un noto hacker offre un servizio per fare questo per circa US $ 30 utilizzando il cloud computing, anche se non è garantito.
Una password del router forte non farà nulla per impedire a qualcuno sul lato Wi-Fi di trasmettere dati attraverso il router, quindi è irrilevante.
Una rete nascosta è un mito. Mentre ci sono delle caselle per fare in modo che una rete non compaia in un elenco di siti, i client eseguono il beacon del router WIFI, quindi la sua presenza viene banalmente rilevata. Il filtraggio MAC
è uno scherzo dato che molti dispositivi Wi-Fi( la maggior parte / tutti?) Possono essere programmati / riprogrammati per clonare un indirizzo MAC esistente e bypassare il filtro MAC.
La sicurezza della rete è un argomento importante, e non qualcosa che può essere risolto con una domanda SuperUser. Ma le basi sono che la sicurezza è costruita a strati in modo che anche se alcuni sono compromessi, non tutti lo sono. Inoltre, qualsiasi sistema può essere penetrato con un tempo, risorse e conoscenza sufficienti;quindi la sicurezza non è tanto una questione di "può essere hackerata", ma "quanto tempo ci vorrà" per hackerare. WPA e una password sicura proteggono da "Joe Average".
Se si desidera migliorare la protezione della propria rete Wi-Fi, è possibile visualizzarla solo come livello di trasporto, quindi crittografare e filtrare tutto ciò che passa attraverso quel livello. Questo è eccessivo per la stragrande maggioranza delle persone, ma un modo per farlo sarebbe quello di impostare il router per consentire solo l'accesso a un determinato server VPN sotto il tuo controllo e richiedere a ciascun client di autenticarsi attraverso la connessione Wi-Fi attraverso ilVPN.Quindi, anche se il Wi-Fi è compromesso, ci sono altri( più difficili) livelli da sconfiggere. Un sottoinsieme di questo comportamento non è raro in ambienti aziendali di grandi dimensioni.
Un'alternativa più semplice per proteggere meglio una rete domestica è quella di abbandonare del tutto il Wi-Fi e richiedere solo soluzioni cablate. Se hai cose come telefoni cellulari o tablet, questo potrebbe non essere pratico però.In questo caso è possibile attenuare i rischi( certamente non eliminarli) riducendo la potenza del segnale del router. Puoi anche proteggere la tua casa in modo che la tua frequenza coli di meno. Non l'ho fatto, ma una forte voce( ricercata) dice che anche la rete in alluminio( come lo schermo volante) attraverso la parte esterna della casa con una buona messa a terra può fare un'enorme differenza per la quantità di segnale che sfuggirà.Ma naturalmente, ciao ciao copertura del telefono cellulare.
Sul fronte della protezione, un'altra alternativa potrebbe essere quella di ottenere il router( se è in grado di farlo, la maggior parte non lo sono, ma immagino i router che eseguono openwrt e possibilmente pomodoro / dd-wrt possibile) per registrare tutti i pacchetti che attraversano la retee tenerlo d'occhio. Anche solo il monitoraggio delle anomalie con i byte totali dentro e fuori le varie interfacce potrebbe darti un buon grado di protezione.
Alla fine della giornata, forse la domanda da porsi è "Che cosa devo fare per rendere non utile il tempo di un hacker casuale per penetrare nella mia rete?" O "Qual è il costo reale di compromettere la mia rete?"e andando da lì.Non c'è una risposta facile e veloce.
Seguito dalla risposta di reirab:
Come altri hanno già detto, il nascondersi di SSID è banale da rompere. Infatti, la tua rete apparirà per impostazione predefinita nell'elenco di reti di Windows 8 anche se non sta trasmettendo il suo SSID.La rete trasmette comunque la sua presenza tramite telegrammi in entrambe le direzioni;semplicemente non include l'SSID nel frame beacon se questa opzione è selezionata. Il SSID è banale da ottenere dal traffico di rete esistente. Anche il filtraggio MAC
non è di grande aiuto. Potrebbe rallentare brevemente lo script kiddie che ha scaricato un crack WEP, ma sicuramente non fermerà nessuno che sa quello che sta facendo, dal momento che può solo falsificare un indirizzo MAC legittimo.
Per quanto riguarda WEP, è completamente rotto. La forza della tua password non importa molto qui. Se si utilizza WEP, chiunque può scaricare software che si interrompe nella rete abbastanza rapidamente, anche se si dispone di una password complessa.
WPA è significativamente più sicuro di WEP, ma è ancora considerato danneggiato. Se il tuo hardware supporta WPA ma non WPA2, è meglio di niente, ma un utente determinato può probabilmente craccarlo con gli strumenti giusti.
WPS( Wireless Protected Setup) è la rovina della sicurezza della rete. Disabilitarlo indipendentemente dalla tecnologia di crittografia di rete che si sta utilizzando.
WPA2, in particolare la versione di esso che utilizza AES, è abbastanza sicuro. Se hai una password di discesa, il tuo amico non entrerà nella tua rete protetta WPA2 senza ottenere la password. Ora, se l'NSA sta cercando di entrare nella tua rete, questa è un'altra questione. Quindi dovresti semplicemente spegnere completamente il tuo wireless. E probabilmente anche la tua connessione Internet e tutti i tuoi computer. Dato abbastanza tempo e risorse, WPA2( e qualsiasi altra cosa) può essere hackerato, ma probabilmente richiederà molto più tempo e molte più capacità di quelle che il tuo hobbista medio avrà a sua disposizione.
Come diceva David, la vera domanda non è "Può essere hackerato?", Ma piuttosto: "Quanto ci vorrà a qualcuno con un particolare set di capacità per hackerarlo?".Ovviamente, la risposta a questa domanda varia molto rispetto a ciò che è quel particolare insieme di capacità.È anche assolutamente corretto che la sicurezza debba essere fatta a strati. I contenuti che ti interessano non dovrebbero andare sulla tua rete senza essere prima crittografati. Quindi, se qualcuno entra nel wireless, non dovrebbe essere in grado di entrare in qualcosa di significativo a parte forse usando la tua connessione internet. Qualsiasi comunicazione che deve essere protetta dovrebbe comunque utilizzare un algoritmo di crittografia forte( come AES), eventualmente impostato tramite TLS o alcuni di tali schemi PKI.Assicurati che la tua e-mail e qualsiasi altro traffico web sensibile sia crittografato e che non stia eseguendo alcun servizio( come la condivisione di file o stampanti) sui tuoi computer senza il sistema di autenticazione appropriato.
Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.