26Jun
Medtem ko večina nas verjetno nikoli ne bo treba skrbeti za nekoga, ki hacking našega omrežja Wi-Fi, kako težko bi bilo, da bi navdušenec vdrl osebo Wi-Fi omrežja? Današnji SuperUser Q & Objava ima odgovore na eno bralsko vprašanje o varnosti omrežja Wi-Fi.
Današnje vprašanje &S sejo odgovora prihaja uporaba SuperUserja, ki je razdeljena na Stack Exchange, skupinsko spletno stran Q & A.
Foto avtorja Brian Klug( Flickr).
Vprašalnik
SuperUser Reader Sec želi vedeti, ali je resnično mogoče, da večina navdušencev hack omrežja Wi-Fi:
Od zanesljivega strokovnjaka za računalniško varnost sem slišal, da večina navdušencev( tudi če niso strokovnjaki) z uporabo le vodij izInternet in specializirana programska oprema( npr. Kali Linux z vključenimi orodji) lahko prekinejo varnost vašega domačega usmerjevalnika.
Ljudje trdijo, da je to mogoče tudi, če imate:
- močno omrežno geslo
- močno usmerjevalno geslo
- skrito omrežje
- MAC filtriranje
Želim vedeti, ali je to mit ali ne.Če ima usmerjevalnik močno geslo in filtriranje MAC, kako se to lahko zaobide( dvomim, da uporabljajo brute sile)?Ali če je skrito omrežje, kako jo lahko zaznajo in, če je mogoče, kaj lahko storite, da bi vaše domače omrežje resnično zagotovilo?
Kot mladi študent računalništva se počutim slabo, ker se včasih hobistiki spopadajo z mano na takšne teme in nimam trdnih argumentov ali ne morem tehnično pojasniti.
Ali je res mogoče, in če je tako, kakšne so "šibke točke" v omrežju Wi-Fi, na katerega bi se rad osredotočil navdušenec?
Odzivniki
SuperUser davidgo in reirab imajo odgovor za nas. Najprej, davidgo:
Brez argumentacije semantike, ja, izjava je resnična.
Za šifriranje Wi-Fi obstaja več standardov, vključno z WEP, WPA in WPA2.WEP je ogrožen, zato ga lahko uporabljate tudi z močnim geslom. Verjamem, da sta WPA in WPA2 veliko težje raztrgati( vendar imate morda varnostna vprašanja v zvezi z WPS, ki to obidejo).Tudi celo razumno trdi gesli so lahko prisiljeni. Moxy Marlispike, znani hacker, ponuja storitev za to, da to stori okoli 30 USD z uporabo računalništva v oblaku - čeprav to ni zagotovljeno.
Močno geslo usmerjevalnika ne bo storilo ničesar, da bi nekdo na strani Wi-Fi preprečil pošiljanje podatkov prek usmerjevalnika, kar je nepomembno.
Skrito omrežje je mit.Čeprav obstajajo polja, na katerih se omrežje ne prikaže na seznamu spletnih mest, stranke odprejo usmerjevalnik WIFI, zato je njena navzočnost zaznana v tujini.
MAC filtriranje je šala, saj je mogoče mnoge( najbolj / vse?) Naprave Wi-Fi programirati / reprogramirati, da klonirate obstoječi MAC naslov in filtrirate MAC bypass.
Omrežna varnost je velik subjekt in ni nekaj, kar se lahko podredi vprašanju SuperUserja. Toda osnovo je, da je varnost zgrajena v plasteh, tako da tudi če so nekateri ogroženi, niso vsi. Tudi vsak sistem lahko prodira, če je dovolj časa, sredstev in znanja;zato je varnost dejansko ne toliko vprašanje, ali je mogoče hacked, ampak "kako dolgo bo trajalo" za kramljanje. WPA in varno geslo zaščitijo pred "Joe Average".
Če želite izboljšati zaščito vašega omrežja Wi-Fi, ga lahko pregledate le kot transportno plast, šifrirate in filtrirate vse, kar se dogaja čez to plast. To je preveč za večino ljudi, toda en način, s katerim bi lahko to storili, je nastavitev, da usmerjevalnik dovoljuje dostop do določenega strežnika VPN pod vašim nadzorom in zahteva od vsakega odjemalcev, da se preveri pristnost prek povezave Wi-Fi čezVPN.Tako, tudi če je Wi-Fi ogrožen, obstajajo drugi( težji) sloji za poraz. To obnašanje v obsežnih korporacijskih okoljih ni nenavadno.
Enostavnejša alternativa za boljše varovanje domačega omrežja je, da popolnoma odklopite omrežje Wi-Fi in zahtevate samo kabelske rešitve.Če imate stvari, kot so mobilni telefoni ali tablični računalniki, to morda ni praktično. V tem primeru lahko zmanjšate tveganja( zagotovo jih ne odpravite) z zmanjšanjem moči signala vašega usmerjevalnika. Prav tako lahko zaščitite svoj dom, tako da vaša frekvenca pušča manj. Nisem še to storil, toda močna govorica( raziskana) je, da lahko celo aluminijasta mreža( kot letak) čez zunaj vaše hiše z dobro ozemljitvijo močno razlikuje od količine signala, ki bo pobegnil. Ampak seveda, bye-bye pokritost mobilnega telefona.
Na sprednji zaščiti je lahko druga možnost, da dobite vaš usmerjevalnik( če je sposoben to početi, večina jih ni, toda predstavljam si lahko usmerjevalce, ki tečejo openwrt in morda tudi paradižnik / dd-wrt), da prijavite vse pakete, ki prečkajo vaše omrežjein pazi na to. Celo samo spremljanje anomalij s skupnim bajtom v in iz različnih vmesnikov bi vam lahko zagotovilo dobro stopnjo zaščite.
Na koncu dneva je morda vprašanje, ki ga je treba vprašati: "Kaj moram storiti, da ne bi bilo vredno priložnostnega hekerjevega časa, da bi prodrl v moje omrežje?" Ali "Kakšni so resnični stroški ogroženosti mojega omrežja?", in od tam. Ni hitrega in enostavnega odgovora.
Sledi odgovor od reireb:
Kot so rekli drugi, se skrivanje SSID-a ne razbije. Dejansko bo vaše omrežje privzeto prikazano na seznamu omrežij Windows 8, tudi če ne bo oddajalo svojega SSID-a. Mreža še vedno oddaja svojo prisotnost prek okvirjev svetlobe v vsaki smeri;le, če SSID v okvirju svetlobe ni vključen, če je ta možnost označena. SSID je nepomembno pridobiti iz obstoječega omrežnega prometa.
MAC filtriranje tudi ni v veliko pomoč.Morda bi na kratko upočasnila scenarij kiddie, ki je prenesel WEP crack, vendar zagotovo ne bo ustavil vsakogar, ki ve, kaj počnejo, saj lahko le pokvari zakoniti naslov MAC.
Kar zadeva WEP, je popolnoma prekinjen. Moč vašega gesla tukaj ni pomembno.Če uporabljate WEP, lahko kdorkoli prenese programsko opremo, ki bo zlahka zlomila v vaše omrežje, tudi če imate močno geslo.
WPA je bistveno bolj varen kot WEP, vendar se še vedno šteje za zlomljen.Če vaša strojna oprema podpira WPA, vendar ne WPA2, je to boljša od nič, vendar lahko določen uporabnik verjetno razreši s pravimi orodji.
WPS( Brezžična zaščitena nastavitev) je bolečina omrežne varnosti. Onemogočite ga, ne glede na to, katero tehnologijo šifriranja omrežja uporabljate.
WPA2, zlasti različica, ki uporablja AES, je zelo varna.Če imate geslo za spuščanje, vaš prijatelj ne bo vstopil v vaše zaščiteno omrežje WPA2, ne da bi dobili geslo. Zdaj, če NSA poskuša vstopiti v vaše omrežje, je to druga stvar. Potem bi morali popolnoma izklopiti brezžično omrežje. In verjetno vaša internetna povezava in vsi vaši računalniki preveč.Glede na dovolj časa in sredstev lahko WPA2( in karkoli drugega) vdre, vendar bo verjetno potreboval veliko več časa in veliko več zmogljivosti, kot jih ima vaš povprečni hobi na razpolago.
Kot je dejal David, resnično vprašanje ni "Ali je to mogoče hacked?", Temveč "Koliko časa bo nekdo s posebnim naborom sposobnosti, da ga hack?".Očitno je, da se odgovor na to vprašanje močno razlikuje glede na to, kaj je ta določen nabor zmogljivosti. Prav tako je povsem pravilen, da je varnost potrebna v plasteh. Stvari, ki bi vam bili všeč, ne bi smeli preiti preko vašega omrežja, ne da bi bili najprej šifrirani. Torej, če nekdo pride do vašega brezžičnega omrežja, ne bi smeli imeti nobenega smisla, razen če bi morda uporabljali internetno povezavo. Vsako sporočilo, ki mora biti varno, bi moralo še vedno uporabljati močan algoritem za šifriranje( kot je AES), po možnosti nastavljen prek TLS-ja ali neke takšne sheme PKI.Prepričajte se, da sta e-pošta in kateri koli drug občutljiv spletni promet šifrirana in da niste izvajali nobenih storitev( kot je deljenje datotek ali tiskalnikov) v računalnikih brez ustreznega sistema za preverjanje pristnosti.
Ali želite dodati nekaj pojasnila? Zvok v komentarjih.Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.