26Jun
Hoewel de meesten van ons zich waarschijnlijk nooit zorgen hoeven te maken dat iemand ons wifi-netwerk hackt, hoe moeilijk is het dan voor een liefhebber om iemands wifi-netwerk te hacken? De SuperUser Q & A post van vandaag heeft antwoorden op de vragen van één lezer over de beveiliging van het wifi-netwerk.
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
Foto met dank aan Brian Klug( Flickr).
De vraag
SuperUser reader Sec wil weten of het echt mogelijk is voor de meeste enthousiastelingen om wifi-netwerken te hacken:
Ik hoorde van een vertrouwde computerbeveiligingsexpert dat de meeste enthousiastelingen( zelfs als ze geen professionals zijn) alleen gidsen van deInternet en gespecialiseerde software( bijv. Kali Linux met de meegeleverde tools), kunnen de beveiliging van uw eigen router doorbreken.
Mensen beweren dat het mogelijk is, zelfs als u beschikt over:
- Een sterk netwerkwachtwoord
- Een sterk routerwachtwoord
- Een verborgen netwerk
- MAC-filtering
Ik wil weten of dit een mythe is of niet. Als de router een sterk wachtwoord en MAC-filtering heeft, hoe kan dat dan worden omzeild( ik betwijfel of ze brute force gebruiken)?Of, als het een verborgen netwerk is, hoe kunnen ze het detecteren en, als het mogelijk is, wat kunt u doen om uw thuisnetwerk echt te beveiligen?
Als een student informatica voor junioren, voel ik me slecht omdat hobbyisten soms met mij over deze onderwerpen discussiëren en ik geen sterke argumenten heb of het technisch niet kan uitleggen.
Is het echt mogelijk, en zo ja, wat zijn de 'zwakke' punten in een Wi-Fi-netwerk waarop een liefhebber zich zou kunnen concentreren?
Het antwoord
SuperUser-bijdragers davidgo en reirab hebben het antwoord voor ons. Ten eerste, davidgo:
Zonder de semantiek te betwisten, ja, de bewering is waar.
Er zijn meerdere standaarden voor Wi-Fi-codering, waaronder WEP, WPA en WPA2.WEP is gehackt, dus als je het gebruikt, zelfs met een sterk wachtwoord, kan het triviaal worden verbroken. Ik ben van mening dat WPA en WPA2 een stuk moeilijker te kraken zijn( maar mogelijk hebt u beveiligingsproblemen met betrekking tot WPS die dit omzeilen).Ook kunnen zelfs redelijk harde wachtwoorden bruut-geforceerd worden. Moxy Marlispike, een bekende hacker, biedt een service om dit voor ongeveer US $ 30 te doen met behulp van cloud computing - hoewel het niet gegarandeerd is.
Een sterk routerwachtwoord doet niets om te voorkomen dat iemand aan de Wi-Fi-zijde gegevens via de router verzendt, dus dat is niet relevant.
Een verborgen netwerk is een mythe. Hoewel er vakjes zijn om een netwerk niet in een lijst met sites te laten verschijnen, bakenen de clients de WIFI-router, waardoor de aanwezigheid ervan triviaal wordt gedetecteerd.
MAC-filtering is een grapje omdat veel( meest / alle?) Wi-Fi-apparaten kunnen worden geprogrammeerd / opnieuw geprogrammeerd om een bestaand MAC-adres te klonen en om MAC-filtering te omzeilen.
Netwerkbeveiliging is een groot onderwerp en niet iets dat vatbaar is voor een SuperUser-vraag. Maar de basis is dat de beveiliging in lagen is opgebouwd, zodat zelfs als sommige zijn aangetast, niet alles zijn. Ook kan elk systeem worden doordrongen op basis van voldoende tijd, middelen en kennis;dus beveiliging is eigenlijk niet zozeer een kwestie van "kan het gehackt worden", maar "hoe lang duurt het" om te hacken. WPA en een beveiligd wachtwoord beschermen tegen "Joe Average".
Als u de bescherming van uw Wi-Fi-netwerk wilt verbeteren, kunt u het alleen als een transportlaag bekijken en vervolgens alles dat zich over die laag verspreidt, coderen en filteren. Dit is overkill voor de overgrote meerderheid van de mensen, maar een manier om dit te doen is om de router zo in te stellen dat alleen toegang wordt verleend tot een bepaalde VPN-server die u beheert, en vereist dat elke client zich via de Wi-Fi-verbinding over deVPN.Dus, zelfs als de Wi-Fi wordt aangetast, zijn er andere( moeilijkere) lagen om te verslaan. Een deelverzameling van dit gedrag is niet ongebruikelijk in grote bedrijfsomgevingen.
Een eenvoudiger alternatief voor een betere beveiliging van een thuisnetwerk is om wifi helemaal te laten vervallen en alleen bekabelde oplossingen te vereisen. Als je dingen zoals mobiele telefoons of tablets hebt, is dit misschien niet praktisch. In dit geval kunt u de risico's beperken( zeker niet elimineren) door de signaalsterkte van uw router te verminderen. Je kunt je huis ook beschermen, zodat je frequentie minder lekt. Ik heb het niet gedaan, maar een sterk gerucht( onderzocht) zegt dat zelfs aluminium gaas( zoals vliegenhorren) aan de buitenkant van je huis met goede aarding een enorm verschil kan maken voor de hoeveelheid signaal die zal ontsnappen. Maar natuurlijk, dag in dag uit mobiele telefoon dekking.
Op het gebied van bescherming kan een ander alternatief zijn om je router te krijgen( als het in staat is om dit te doen, de meeste zijn dat niet, maar ik kan me voorstellen dat routers met openwrt en mogelijk tomaat / dd-wrt kunnen) om alle pakketten te loggen die je netwerk doorkruisenen in de gaten houden. Zelfs alleen monitoren op anomalieën met totale bytes in en uit verschillende interfaces kan u een goede mate van bescherming bieden.
Aan het eind van de dag is de vraag wellicht: wat moet ik doen om te voorkomen dat een hacker de tijd heeft om mijn netwerk binnen te dringen? Of: "Wat zijn de werkelijke kosten van het in gevaar brengen van mijn netwerk?"en vanaf daar gaan. Er is geen snel en eenvoudig antwoord.
Gevolgd door het antwoord van reirab:
Zoals anderen al hebben gezegd, is verbergen van SSID triviaal om te verbreken. In feite verschijnt uw netwerk standaard in de Windows 8-netwerklijst, zelfs als het zijn SSID niet uitzendt. Het netwerk zendt zijn aanwezigheid nog altijd via beacon-frames uit, hoe dan ook;het bevat gewoon niet de SSID in het beacon-frame als die optie is aangevinkt. De SSID is triviaal om te verkrijgen van bestaand netwerkverkeer.
MAC-filtering is ook niet erg nuttig. Het kan de scriptkiddie die een WEP-crack downloadt even vertragen, maar het zal zeker niemand stoppen die weet wat ze doen, omdat ze gewoon een legitiem MAC-adres kunnen vervalsen.
Wat WEP betreft, is het volledig verbroken. De kracht van je wachtwoord maakt hier niet zoveel uit. Als u WEP gebruikt, kan iedereen software downloaden die snel in uw netwerk inbreekt, zelfs als u een sterk wachtwoord hebt.
WPA is aanzienlijk veiliger dan WEP, maar wordt nog steeds als verbroken beschouwd. Als uw hardware WPA maar niet WPA2 ondersteunt, is het beter dan niets, maar een vastberaden gebruiker kan het waarschijnlijk met de juiste tools kraken.
WPS( Wireless Protected Setup) is de vloek van netwerkbeveiliging. Schakel het uit, ongeacht welke netwerkcoderingstechnologie u gebruikt.
WPA2, met name de versie ervan die AES gebruikt, is redelijk veilig. Als u een afdalingswachtwoord hebt, zal uw vriend niet in uw beveiligde WPA2-netwerk komen zonder het wachtwoord te hebben. Nu, als de NSA probeert in uw netwerk te komen, is dat een andere zaak. Dan moet je gewoon je draadloze helemaal uitschakelen. En waarschijnlijk ook uw internetverbinding en al uw computers. Gezien genoeg tijd en middelen kan WPA2( en wat dan ook) gehackt worden, maar het zal waarschijnlijk veel meer tijd en veel meer mogelijkheden vereisen dan je gemiddelde hobbyist tot zijn beschikking zal hebben.
Zoals David zei, is de echte vraag niet "Kan dit worden gehackt?", Maar eerder: "Hoe lang duurt iemand met een bepaald aantal mogelijkheden om het te hacken?".Het is duidelijk dat het antwoord op die vraag sterk varieert met betrekking tot dat specifieke pakket aan mogelijkheden. Hij heeft ook absoluut gelijk dat de beveiliging in lagen moet worden uitgevoerd. Dingen waar u om geeft moeten niet over uw netwerk gaan zonder eerst te worden gecodeerd. Dus als iemand inbreekt op uw draadloze netwerk, zouden ze niets betekenisvols moeten kunnen doen, behalve misschien via uw internetverbinding. Elke communicatie die beveiligd moet zijn, moet nog steeds een sterk versleutelingsalgoritme( zoals AES) gebruiken, mogelijk ingesteld via TLS of een dergelijk PKI-schema. Zorg ervoor dat uw e-mail en elk ander gevoelig webverkeer gecodeerd is en dat u geen services( zoals het delen van bestanden of printers) op uw computers uitvoert zonder dat het juiste authenticatiesysteem aanwezig is.
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.
