26Jun
Nors daugumai iš mūsų, greičiausiai, niekada nereikės nerimauti dėl to, kad kompiuteris įsilaužė į mūsų "Wi-Fi" tinklą, tačiau kaip sunku entuziastai nuversti asmens "Wi-Fi" tinklą?Šiandien "SuperUser Q &" įraše yra atsakymai į vieną skaitytojo klausimus apie "Wi-Fi" tinklo saugumą.
Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.
Nuotrauka mandagumo Brian Klug( Flickr).
Klausimas
SuperUser skaitytojas Sec nori sužinoti, ar daugumai entuziastų tikrai įmanoma nulaužti belaidžio ryšio tinklus:
Aš iš patikimo kompiuterio saugumo eksperto girdėjau, kad dauguma entuziastų( net jei jie nėra profesionalai) naudoja tik vadovus išInternetas ir specializuota programinė įranga( ty "Kali Linux" su įtrauktais įrankiais) gali pažeisti namų maršrutizatoriaus saugumą.
Žmonės teigia, kad tai įmanoma, net jei turite:
- Tvirtas tinklo slaptažodis
- Stiprus maršrutizatoriaus slaptažodis
- Slaptasis tinklas
- MAC filtravimas
Noriu sužinoti, ar tai yra mitas, ar ne. Jei maršrutizatorius turi patikimą slaptažodį ir MAC filtravimą, kaip tai gali būti apeiti( aš abejoju, kad jie naudoja brutaliąją jėgą)?Arba, jei tai yra paslėptas tinklas, kaip jie gali jį aptikti ir, jei įmanoma, ką galite padaryti, kad jūsų namų tinklas būtų tikrai saugus?
Kaip jaunesnysis kompiuterių moksleivis man blogai jaučiasi, nes kartais mėgėjai kalba su manimi tokiais klausimais, ir aš neturiu tvirtų argumentų arba negali techniškai paaiškinti.
Ar tai tikrai įmanoma, ir jei taip, kokie "silpni" taškai "Wi-Fi" tinkle, į kuriuos orientuojasi entuziastas?
Atsakymas
SuperUser autoriai davidgo ir reirab turi mums atsakymą.Pirmiausia, davidgo:
Neginčydamas semantikos, taip, teiginys yra tiesa.
Yra keletas standartų Wi-Fi šifravimui, įskaitant WEP, WPA ir WPA2.WEP yra pažeistas, taigi, jei jūs jį naudojate, net jei naudojate tvirtą slaptažodį, jis gali būti šiek tiek sulaužytas. Manau, kad WPA ir WPA2 yra sunkiau įstrigti( tačiau gali kilti saugumo problemų, susijusių su WPS, kurios apeina tai).Be to, net gana sunku slaptažodžiai gali būti grubiai priversti."Moxy Marlispike", gerai žinomas įsilaužėlis siūlo paslaugą tai apie 30 JAV dolerių naudojant debesų kompiuteriją, nors tai nėra garantuojama.
Stiprus maršrutizatoriaus slaptažodis nieko nedaro, kad kas nors iš "Wi-Fi" pusės neperduotų duomenų per maršrutizatorių, todėl tai nėra svarbu.
Slaptasis tinklas yra mitas. Nors yra dėžutės, kad tinklas nebūtų rodomas svetainių sąraše, klientai atsiranda iš WIFI maršrutizatoriaus, todėl jo buvimas yra nenuosekliai aptiktas.
MAC filtravimas yra daugelis( dauguma / visi?) Daugybe( bet dauguma /?) "Wi-Fi" įrenginiai gali būti užprogramuoti / perprogramuoti klonuoti esamą MAC adresą ir apeiti MAC filtrus.
Tinklo saugumas yra didelis dalykas, o ne klausimas, susijęs su SuperUser. Tačiau pagrindai yra tai, kad saugumas yra sukonstruotas sluoksniuose, kad net jei kai kurie iš jų yra pažeisti, ne visi. Be to, bet kokia sistema gali būti perduodama pakankamai laiko, išteklių ir žinių;taigi saugumas iš tikrųjų yra ne tiek "ar gali būti įsilaužta", bet ir "kiek laiko užtruks".WPA ir saugus slaptažodis apsaugotas nuo "Joe Average".
Jei norite padidinti savo "Wi-Fi" tinklo apsaugą, galite jį peržiūrėti tik kaip transporto sluoksnį, tada užšifruoti ir filtruoti viską, kas vyksta šiame sluoksnyje. Tai pernelyg didelė dauguma žmonių, tačiau vienas iš būdų tai padaryti būtų nustatyti maršrutizatorių, kuris leistų naudotis tik tam tikru VPP serveriu, kurį jūs kontroliuojate, ir reikalauti, kad kiekvienas klientas autentifikuotų per "Wi-Fi" ryšį visojeVPN.Taigi, net jei "Wi-Fi" yra pažeistas, yra kitų( sunkesnių) sluoksnių, kad nugalėtų.Šio elgesio pogrupis nėra neįprastas didelėse verslo aplinkose.
Paprastesnė alternatyva geresniam namų tinklo užtikrinimui - "Wi-Fi" jungtis ir reikalauti tik kompleksinių sprendimų.Jei turite tokius dalykus kaip mobilieji telefonai ar planšetiniai kompiuteriai, tai gali būti nelengva. Tokiu atveju galite sumažinti riziką( žinoma, jos nepašalinkite), sumažindami maršrutizatoriaus signalo stiprumą.Taip pat galite apsaugoti savo namus, kad jūsų dažnis nutekėtų mažiau. Aš to dar nepadariau, bet stipriu gandu( ištirta) yra tai, kad net aliuminio tinklelis( pvz., "Fly screen"), esantis už jūsų namų ribų su geru įžeminimu, gali labai pakeisti signalo kiekį, kuris pabėgs. Bet, žinoma, iki sekmadienio mobiliųjų telefonų aprėptis.
Apsaugos srityje gali būti ir kita galimybė gauti jūsų maršrutizatorių( jei tai yra įmanoma tai padaryti, dauguma jų nėra, bet aš įsivaizduosiu, kad maršrutizatoriai veikia su openwrt ir galbūt pomidorai / dd-wrt gali) prisijungti prie visų jūsų tinklo perduodamų paketųir laikytis akių.Net tik stebėjimas dėl anomalijų su visais baitais įvairiose sąsajose ir iš jų gali suteikti jums gerą apsaugos laipsnį.
Pasibaigus dienai, galbūt klausimas yra "Ką turiu padaryti, kad nebūtų vertas atsitiktinio įsilaužėlio laiko įsiskverbti į mano tinklą?" Arba "Kokia yra tikroji kaina, kai mano tinklas kenčia?"ir iš ten. Nėra greito ir lengvo atsakymo.
Vykdydami reirab atsakymą:
Kaip jau minėjo kiti, SSID slėpimas yra trivialus, kad būtų nutrauktas. Tiesą sakant, jūsų tinklas pagal numatytuosius nustatymus bus rodomas "Windows 8" tinklo sąraše, net jei jis neperduos savo SSID.Tinklas vis tiek transliuoja savo buvimą per švyturio rėmus bet kuriuo būdu;jei šis pasirinkimas pažymėtas, jis tiesiog neįtraukia SSID švyturio švyturyje. SSID yra trivialus, norint gauti iš esamo tinklo srauto.
MAC filtravimas taip pat nėra labai naudingas. Tai gali trumpai sulėtinti scenarijų kūdikį, kuris atsisiuntė WEP kreką, tačiau jis tikrai nesibaigs nė vienas, kuris žino, ką jie daro, nes jie gali tik suklastoti teisėtą MAC adresą.
Kiek tai susiję su WEP, jis yra visiškai sugadintas. Jūsų slaptažodžio stiprumas nėra svarbus čia. Jei naudojate WEP, bet kas gali atsisiųsti programinę įrangą, kuri į jūsų tinklą įsilaužtų gana greitai, net jei turite tvirtą slaptažodį.
WPA yra žymiai saugesnis nei WEP, bet vis tiek laikoma, kad jis yra sugadintas. Jei jūsų aparatinė įranga palaiko WPA, bet ne WPA2, tai geriau nei nieko, bet nustatytas vartotojas, greičiausiai, gali jį sugadinti naudodamas tinkamus įrankius.
WPS( Wireless Protected Setup) yra tinklo saugumo klaida. Išjunkite jį, nepriklausomai nuo to, kokią tinklo šifravimo technologiją naudojate.
WPA2, ypač jo versija, kuri naudoja AES, yra gana saugi. Jei turite nusileidimo slaptažodį, jūsų draugas nesiruošia patekti į jūsų WPA2 apsaugotą tinklą be slaptažodžio. Dabar, jei NSA bando patekti į jūsų tinklą, tai dar vienas klausimas. Tada tiesiog turėtumėte visiškai išjungti belaidį ryšį.Ir tikriausiai jūsų interneto ryšys ir visi jūsų kompiuteriai taip pat. Atsižvelgiant į pakankamai laiko ir išteklių, WPA2( ir dar ką nors) gali būti įsilaužta, tačiau greičiausiai reikės daug laiko ir daug daugiau galimybių, nei jūsų vidutinis mėgėjas galės pasinaudoti.
Kaip sakė Dovydas, realus klausimas yra ne "Ar tai gali būti įsilaužta?", O greičiau: "Kiek laiko užtruks kažkas su tam tikromis galimybėmis sugadinti jį?".Akivaizdu, kad atsakymas į šį klausimą labai skiriasi atsižvelgiant į tai, kas tam tikri gebėjimų rinkiniai. Jis taip pat yra visiškai teisus, kad saugumas turėtų būti atliekamas sluoksniais. Dėmesys, dėl kurių jums rūpi, neturėtų būti tęsiamas per tinklą be pirmojo šifravimo. Taigi, jei kas nors įsilaužtų į belaidį ryšį, neturėtumėte nieko suvokti, išskyrus galbūt naudodamiesi savo interneto ryšiu. Bet kokiam bendravimui, kuris turi būti saugus, vis tiek turėtų būti naudojamas tvirtas šifravimo algoritmas( pvz., AES), kuris gali būti sukurtas naudojant TLS arba kai kurios tokios PKI schemos.Įsitikinkite, kad jūsų el. Paštas ir bet kuris kitas slaptas žiniatinklio srautas yra užkoduotas ir kad jūsų kompiuteryje nėra jokių paslaugų( pvz., Failų ar spausdintuvų bendrinimo) be tinkamos autentifikavimo sistemos.
Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.