26Jun
Kaut arī lielākajai daļai no mums, visticamāk, nekad nebūs jāuztraucas par kādu, kurš uzbrūk mūsu Wi-Fi tīklam, cik grūti ir, lai kāds entuziasts varētu ienest personas Wi-Fi tīklu?Šodienas SuperUser Q & amā ir atbildes uz viena lasītāja jautājumiem par Wi-Fi tīkla drošību.
Šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Foto pieklājīgi no Brian Klug( Flickr).
Jautājums
SuperUser lasītājs Sec vēlas uzzināt, vai lielākajai daļai entuziastu patiešām ir iespējams ienest Wi-Fi tīklus:
Es dzirdēju no uzticama datora drošības eksperta, ka lielākā daļa entuziastu( pat ja tie nav profesionāļi), izmantojot tikai rokasgrāmatas noInternets un specializēta programmatūra( ti, Kali Linux ar iekļautajiem rīkiem) var izlauzties caur mājas maršrutētāju drošību.
Cilvēki apgalvo, ka tas ir iespējams, pat ja jums ir:
- stipra tīkla parole
- spēcīga maršrutētāja parole
- slēptā tīklā
- MAC filtrēšana
Es gribu uzzināt, vai tas ir mīts vai ne. Ja maršrutētājam ir spēcīga parole un MAC filtrēšana, kā to var apiet( es šaubos, ka viņi izmanto brutālu spēku)?Vai arī, ja tas ir slēpts tīkls, kā to var atklāt, un, ja tas ir iespējams, ko jūs varat darīt, lai jūsu mājas tīkls patiešām būtu drošs?
Kā jaunākais datoru zinātnes students es jūtos slikti, jo reizēm hobiji ar mani strīdas par šādiem jautājumiem, un man nav spēcīgu argumentu vai tehnisku iemeslu.
Vai tiešām ir iespējams, un ja tā, kādi ir "vājie" punkti Wi-Fi tīklā, uz kuriem vērš uzmanību entuziasts?
Atbilde
SuperUser atbalstītājiem davidgo un reirab ir atbilde mums. Pirmais uz augšu, davidgo:
Neapstrīdot semantiku, jā, paziņojums ir taisnība.
Ir vairāki standarti Wi-Fi šifrēšanai, tostarp WEP, WPA un WPA2.WEP tiek apdraudēts, tādēļ, ja jūs to lietojat, pat ar spēcīgu paroli, tas var būt nedaudz bojāts. Es uzskatu, ka WPA un WPA2 ir daudz grūtāk ielauzties( bet jums var būt drošības problēmas saistībā ar WPS, kas to apiet).Arī pat samērā grūti paroles var būt brutāli piespiedu kārtā.Moksija Marlispike, labi pazīstams hackers piedāvā pakalpojumu, lai to paveiktu apmēram 30 ASV dolāru apmērā, izmantojot mākoņdatošanu, lai gan tas nav garantēts.
Spēcīga maršrutētāja parole nedara neko tādu, kas neļauj kādam no Wi-Fi puses pārraidīt datus caur maršrutētāju, tāpēc tas nav nozīmes.
Slēptais tīkls ir mīts. Kamēr ir lodziņi, lai tīkls netiktu parādīts vietņu sarakstā, klienti tiek pieslēgti WIFI maršrutētājam, tādēļ tā klātbūtne ir triviāli noteikta.
MAC filtrēšana ir joks, jo daudzi( lielākā daļa / visas?) Wi-Fi ierīces var ieprogrammēt / pārprogrammēt, lai klonētu esošo MAC adresi un apietu MAC filtrēšanu.
Tīkla drošība ir liels priekšmets, nevis kaut kas saistāms ar SuperUser jautājumu. Bet pamati ir tas, ka drošība tiek veidota slāņos tā, ka pat tad, ja daži ir apdraudēti, ne visi ir. Arī jebkura sistēma var iekļūt ar pietiekami daudz laika, resursiem un zināšanām;tāpēc drošība faktiski nav tik daudz jautājums par to, vai to var uzlauzt, bet gan par to, cik ilgi tas būs vajadzīgs. WPA un droša parole tiek aizsargāta pret "Joe Average".
Ja vēlaties uzlabot Wi-Fi tīkla aizsardzību, to var skatīt tikai kā transporta slāni, pēc tam šifrēt un filtrēt visu, kas notiek šajā slānī.Tas ir pārspīlēts lielākajai daļai cilvēku, taču viens no iespējamajiem risinājumiem ir maršrutētāja iestatīšana, kas ļauj piekļūt tikai konkrētam VPN serverim zem jūsu kontroles un pieprasīt, lai katrs klients autentificētu visā Wi-Fi savienojumā visāVPN.Tādējādi, pat ja Wi-Fi ir apdraudēta, ir citi( grūtāk) slāņi, lai uzvarētu.Šīs uzvedības apakškopas lielās korporatīvajās vidēs nav nekas neparasts.
Vienkāršāka alternatīva mājas tīkla labākajai aizsardzībai ir vispārējs Wi-Fi tīkls un tas prasa tikai šķiedru risinājumus. Ja jums ir tādas lietas kā mobilajiem tālruņiem vai planšetdatoriem, tas var nebūt praktiski.Šajā gadījumā jūs varat mazināt riskus( noteikti nenovērš tos), samazinot maršrutētāja signāla stiprumu. Jūs varat arī pasargāt savu māju, lai jūsu frekvence noplūdes mazāk. Es to neesmu izdarījis, taču spēcīgs baumas( izpētītas) liecina, ka pat alumīnija režģis( piemēram, lidojuma ekrāns) ārpus jūsu mājas ar labu zemējumu var būtiski mainīt signāla daudzumu, kas izbēgs. Bet, protams, līdzbraucēji mobilo telefonu segumu.
Aizsardzības priekšā cita iespēja ir iegūt maršrutētāju( ja tas to var izdarīt, lielākā daļa no tiem nav, bet es domāju, ka maršrutētāji, kas darbojas openwrt un, iespējams, tomātu / dd-wrt var), lai reģistrētu visus paketes, kas šķērso jūsu tīkluun tur acu par to. Pat vienkārša novērošana anomālijām ar kopējiem baitiem dažādās saskarnēs un no tām var jums nodrošināt labu aizsardzības pakāpi.
Dienas beigās varbūt jautājums ir šāds: "Kas man jādara, lai nebūtu vērts, lai ikdienas hakeru laiks iekļūtu manā tīklā?" Vai "Kādas ir reālās izmaksas, kas saistītas ar mana tīkla traucējumiem?"un no turienes. Nav ātras un viegli atbildes.
Seko atbildei no reirab:
Kā citi teica, SSID slēpšana ir triviāla, lai pārtrauktu. Patiesībā, jūsu tīkls pēc noklusējuma parādīsies Windows 8 tīkla sarakstā, pat ja tas netiek pārsūtīts ar savu SSID.Tīkls joprojām pārraida savu klātbūtni, izmantojot bākas stacijas;tas tikai neietver SSID bāka, ja šī opcija ir atzīmēta. SSID ir maznozīmīgs, lai iegūtu no esošās tīkla trafikas.
MAC filtrēšana arī nav ārkārtīgi noderīga. Tas var īslaicīgi palēnināt skripta kiddie, kas lejupielādēja WEP kreka, bet tas noteikti nenāks apturēt ikvienu, kurš zina, ko viņi dara, jo tas var tikai šifrēt likumīgu MAC adresi.
Attiecībā uz WEP tas ir pilnīgi sadalīts. Paroles spēks nav svarīgs šeit. Ja jūs izmantojat WEP, ikviens var lejupielādēt programmatūru, kas ielauž jūsu tīklu diezgan ātri, pat ja jums ir spēcīga parole.
WPA ir ievērojami drošāks par WEP, taču tas joprojām tiek uzskatīts par salauztu. Ja jūsu aparatūra atbalsta WPA, bet ne WPA2, tas ir labāks nekā nekas, bet noteiktu lietotājs, iespējams, var ielauzties ar pareizajiem rīkiem.
WPS( Wireless Protected Setup) ir tīkla drošības trūkums. Atspējojiet to neatkarīgi no tīkla šifrēšanas tehnoloģijas, kuru izmantojat.
WPA2, jo īpaši tā versija, kurā izmanto AES, ir diezgan droša. Ja jums ir nolaišanās parole, jūsu draugs nesaņems savu WPA2 drošo tīklu, neiegūstot paroli. Tagad, ja NSA mēģina iekļūt jūsu tīklā, tas ir vēl viens jautājums. Tad jums vajadzētu vienkārši pilnībā izslēgt bezvadu. Un, iespējams, arī jūsu interneta pieslēgums un visi jūsu datori.Ņemot pietiekami daudz laika un resursu, WPA2( un kaut kas cits) var tikt uzlauzts, bet tas, visticamāk, prasīs daudz vairāk laika un daudz vairāk iespēju, nekā jūsu vidējais hobijs būs savā rīcībā.
Kā teica Dāvids, patiesais jautājums nav "Vai to var uzlauzt?", Bet drīzāk, "cik ilgi tas prasīs kādu, kam ir īpašas iespējas, lai to iznīcinātu?"Acīmredzot atbilde uz šo jautājumu ievērojami atšķiras atkarībā no tā, kāda ir šī konkrētā spēju kopa. Viņš arī ir pilnīgi pareizi, ka drošība jāveic slāņos. Sīkumi, kas jums rūpējas, nevajadzētu iet pa tīklu, vispirms šifrējot. Tātad, ja kāds ielaužas jūsu bezvadu, viņiem nevajadzētu iekļūt neko jēgpilos malā, iespējams, izmantojot jūsu interneta pieslēgumu. Jebkurā komunikācijā, kas ir droša, joprojām vajadzētu izmantot spēcīgu šifrēšanas algoritmu( piemēram, AES), kas, iespējams, ir izveidots, izmantojot TLS vai kādu no šādām PKI shēmām. Pārliecinieties, vai jūsu e-pasts un jebkura cita jutīga tīmekļa trafika ir šifrēta un ka datoros netiek izmantoti nekādi pakalpojumi( piemēram, failu vai printera koplietošana), nepastāvot pienācīgai autentifikācijas sistēmai.
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.