26Jun
Zatiaľ čo väčšina z nás sa s najväčšou pravdepodobnosťou nebude musieť obávať niekoho, kto hackne na našej sieti Wi-Fi, aké ťažké by bolo pre nadšencov, ktorí by mohli napadnúť sieť Wi-Fi osoby? Dnešný príspevok SuperUser Q & A obsahuje odpovede na otázky jedného čitateľa o bezpečnosti siete Wi-Fi.
Dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.
Foto s láskavým dovolením Brian Klug( Flickr).
Otázka
Čítačka SuperUser Sec chce vedieť, či je pre väčšinu nadšencov skutočne možné hackovať siete Wi-Fi:
Počul som od dôveryhodného experta na počítačovú bezpečnosť, že väčšina nadšencov( aj keď nie sú profesionáli) používa iba vodítka zInternet a špecializovaný softvér( napr. Kali Linux s dodávanými nástrojmi), môže prelomiť bezpečnosť domáceho smerovača.
Ľudia tvrdia, že je to možné, aj keď máte:
- Silné sieťové heslo
- Silné heslo routeru
- Skrytá sieť
- MAC filtrovanie
Chcem vedieť, či je to mýtus alebo nie. Ak má smerovač silné heslo a MAC filtrovanie, ako to môže byť obídené( pochybujem, že používajú hrubou silou)?Alebo ak ide o skrytú sieť, ako ju môžu zistiť a ak je to možné, čo môžete urobiť, aby sa vaša domáca sieť skutočne bezpečne?
Ako študent mladšej informatiky sa cítim zle, lebo niekedy sa s mnou zaobchádza s takými predmetmi a nemám silné argumenty alebo technicky nemôžem to vysvetliť.
Je naozaj možné, a ak áno, aké sú "slabé" body v sieti Wi-Fi, na ktoré by sa nadšenec sústredil?
Odpoveď
SuperUser prispievatelia davidgo a reirab majú odpoveď pre nás. Po prvé, davidgo:
Bez argumentovania sémantiky, áno, vyhlásenie je pravdivé.
Existuje viacero štandardov pre šifrovanie Wi-Fi vrátane WEP, WPA a WPA2.WEP je ohrozený, takže ak ho používate, aj pri silnom hesle, môže to byť triviálne narušené.Verím, že WPA a WPA2 sú oveľa ťažšie crack( ale môžete mať bezpečnostné otázky týkajúce sa WPS, ktoré to obchádza).Tiež rozumné tvrdé heslá môžu byť brutálne nútené.Moxy Marlispike, známy hacker, ponúka službu, ktorá to robí za približne 30 dolárov za pomoci cloud computingu - aj keď to nie je zaručené.
Silné heslo routra nebude robiť nič, aby zabránilo niekomu na strane Wi-Fi prenášať dáta cez smerovač, takže je irelevantné.
Skrytá sieť je mýtus. Zatiaľ čo existujú polia na to, aby sa sieť nezobrazovala v zozname lokalít, klienti sa nachádzajú v routeru WIFI, takže jeho prítomnosť je triviálne detekovaná.Filtrovanie
MAC je vtip, pretože je možné naprogramovať / preprogramovať toľko( väčšina / všetko?) Zariadení Wi-Fi na klonovanie existujúcej MAC adresy a obchádzanie filtrovania MAC.
Zabezpečenie siete je veľký predmet a nie niečo, čo sa dá riešiť otázkou SuperUser. Ale základy sú, že bezpečnosť je vytvorená vo vrstvách, takže aj keď sú niektoré ohrozené, nie sú všetky. Taktiež každý systém môže preniknúť dostatkom času, zdrojov a vedomostí;takže bezpečnosť v skutočnosti nie je tak otázkou "môže to byť hacknutá", ale "ako dlho to bude trvať", aby sa zasekli. WPA a bezpečné heslo chránia proti "Joe Average".
Ak chcete zvýšiť ochranu svojej siete Wi-Fi, môžete ju zobraziť len ako prenosovú vrstvu, potom šifrovať a filtrovať všetko, čo prechádza cez túto vrstvu. To je prevažná väčšina ľudí, ale jedným zo spôsobov, ako to urobiť, je nastavenie smerovača, aby umožňoval prístup iba na daný server VPN pod vašou kontrolou a vyžaduje od každého klienta, aby sa overoval cez Wi-Fi pripojenie napriečVPN.Takto, aj keď je Wi-Fi ohrozená, existujú ďalšie( ťažšie) vrstvy na porážku. Podskupina tohto správania nie je nezvyčajná vo veľkých podnikových prostrediach.
Jednoduchšia alternatíva k lepšiemu zabezpečeniu domácej siete je úplne vyčistiť Wi-Fi a vyžadovať iba káblové riešenia. Ak máte veci ako mobilné telefóny alebo tablety, nemusí to byť praktické.V tomto prípade môžete zmierniť riziká( určite ich neodstrániť) znížením sily signálu vášho smerovača. Môžete tiež chrániť svoj domov tak, aby vaša frekvencia unikla menej. Nerobil som to, ale silná povesť( skúmaná) to vedie k tomu, že aj hliníková sieť( podobne ako mriežková obrazovka) na vonkajšej strane vášho domu s dobrým uzemnením môže mať obrovský rozdiel v množstve signálu, ktorý unikne. Ale samozrejme, bye-bye pokrytie mobilným telefónom.
Na ochrannej fronte môže byť iná alternatíva dostať váš smerovač( ak je schopný to urobiť, väčšina z nich nie je, ale predpokladám, že smerovače beží openwrt a možno rajčiaky / dd-wrt môžu) na protokolovanie všetkých paketov prechádzajúcich vašou sieťoua dávať pozor na to. Dokonca len monitorovanie anomálií s celkovými bajtami na rôznych rozhraniach a z nich by vám mohlo poskytnúť dobrú úroveň ochrany.
Na konci dňa sa možno pýtať otázka: "Čo potrebujem urobiť, aby som nestojí za to, že čas na hackerov prenikne do mojej siete?" Alebo "Aké sú skutočné náklady na to, aby moja sieť bola ohrozená?", a ísť odtiaľ.Nie je rýchla a jednoduchá odpoveď.
Nasledujúca odpoveď od reirab:
Ako povedali iní, skrývanie SSID je triviálne, aby sa prelomilo. V skutočnosti sa vaša sieť predvolene zobrazí v zozname sietí Windows 8, a to aj vtedy, keď nevydáva svoje SSID.Sieť stále vysiela svoju prítomnosť prostredníctvom majákových rámcov buď spôsobom;jednoducho nezahŕňa SSID v rámiku majáku, ak je táto voľba začiarknutá.Identifikátor SSID je triviálny na získanie z existujúcej sieťovej prevádzky. Filtrovanie MAC
nie je príliš užitočné.Mohlo by to krátko spomaliť skriptovku, ktorá stiahla WEP crack, ale rozhodne nebude zastaviť niekoho, kto vie, čo robí, pretože môže len spoofovať legitímnu MAC adresu.
Čo sa týka WEP, je úplne rozbité.Sila vášho hesla tu veľa nezáleží.Ak používate službu WEP, ktokoľvek si môže stiahnuť softvér, ktorý sa prenesie do vašej siete veľmi rýchlo, aj keď máte silné heslo.
WPA je podstatne bezpečnejší ako WEP, ale stále sa považuje za porušený.Ak váš hardvér podporuje WPA, ale nie WPA2, je to lepšie ako nič, ale určený používateľ ho pravdepodobne praskne pomocou správnych nástrojov.
WPS( Wireless Protected Setup) je sklonom bezpečnosti siete. Zakážte ho bez ohľadu na technológiu šifrovania siete, ktorú používate.
WPA2, najmä jeho verzia, ktorá používa AES, je úplne bezpečná.Ak máte heslo zostupu, váš priateľ sa nedostane do zabezpečenej siete WPA2 bez získania hesla. Teraz, ak sa NSA pokúša dostať do vašej siete, je to iná vec. Potom by ste mali úplne vypnúť bezdrôtovú sieť.A pravdepodobne aj vaše internetové pripojenie a všetky vaše počítače. Vzhľadom na dostatok času a zdrojov môže byť WPA2( a čokoľvek iné) napadnuté, ale pravdepodobne bude vyžadovať oveľa viac času a oveľa viac možností, než bude mať váš priemerný fanúšik.
Ako uviedol David, skutočná otázka nie je "Môže to byť napadnutá?", Ale skôr: "Ako dlho bude trvať niekoho, kto má zvláštne možnosti, aby ho zničil?".Je zrejmé, že odpoveď na túto otázku sa značne líši vo vzťahu k tomu, čo je konkrétny súbor schopností.Je tiež absolútne správne, že bezpečnosť by sa mala vykonávať vo vrstvách. Veci, na ktorých vám záleží, by nemali prechádzať cez vašu sieť bez toho, aby ste boli šifrovaní ako prvý.Takže ak niekto prenikne do vašej bezdrôtovej siete, nemali by sa dostať do ničoho zmysluplného okrem toho, že by mohli používať vaše internetové pripojenie. Každá komunikácia, ktorá musí byť bezpečná, by mala stále používať silný šifrovací algoritmus( napríklad AES), prípadne nastavený prostredníctvom TLS alebo nejakej takejto schémy PKI.Uistite sa, že váš e-mail a akákoľvek iná citlivá webová prevádzka sú zašifrované a že na vašom počítači nie sú spustené žiadne služby( napríklad zdieľanie súborov alebo tlačiarní) bez toho, aby bol nainštalovaný správny autentifikačný systém.
Musíte niečo doplniť k vysvetleniu? Znížte komentáre. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.