Tényleg lehetséges-e a legtöbb rajongó a Wi-Fi hálózatok hackelésére?

Míg a legtöbbünknek valószínűleg soha nem kell aggódnia, hogy valaki a Wi-Fi hálózatunkat szaggatja, milyen nehéz lenne egy lelkes számára egy ember Wi-Fi-hálózatának csapkodni? A mai SuperUser Q&A bejegyzés válaszol egy olvasó kérdésére a Wi-Fi hálózat biztonságával kapcsolatban.

A mai Kérdések és válaszok munkamenet a Jóvagyon - a Stack Exchange alosztályának, a közösség által vezérelt Q&A webhelyek csoportjának köszönhetően..

Fénykép jóvoltából Brian Klug (Flickr).

A kérdés

A SecUser olvasó Sec szeretné tudni, hogy valóban lehetséges-e a legtöbb rajongó Wi-Fi hálózatok hackelésére:

Egy megbízható számítógépbiztonsági szakértőtől hallottam, hogy a legtöbb rajongó (még ha nem is szakemberek), akik csak az internetről és a speciális szoftverekről (például a Kali Linux-ról a mellékelt eszközökkel) használnak útmutatókat, áttörhetik az otthoni útválasztó biztonságát.

Az emberek azt állítják, hogy lehetséges még akkor is, ha:

• Erős hálózati jelszó
• Erős router jelszó
• Rejtett hálózat
• MAC szűrés

Tudni akarom, hogy ez egy mítosz vagy sem. Ha az útválasztó erős jelszóval és MAC szűréssel rendelkezik, hogyan lehet ezt megkerülni (kétséges, hogy brutális erőt használnak)? Vagy ha rejtett hálózatról van szó, hogyan észlelhetik azt, és ha lehetséges, mit tehet, hogy az otthoni hálózat valóban biztonságos legyen?

Fiatal junior számítógépes hallgatóként rosszul érzem magam, mert néha a hobbisták vitatkoznak velem az ilyen témákban, és nincsenek erős érvek, vagy technikailag nem tudom magyarázni.

Tényleg lehetséges, és ha igen, mik a „gyenge” pontok egy Wi-Fi hálózatban, amelyre a lelkesedő összpontosít?

A válasz

A davidgo és a reirab SuperUser közreműködői válaszolnak nekünk. Először fel, davidgo:

A szemantika vitatása nélkül, igen, az állítás igaz.

A Wi-Fi titkosításnak több szabványa van, beleértve a WEP-t, a WPA-t és a WPA2-t is. A WEP-t veszélyeztetik, így ha erős jelszóval is használja, akkor triviálisan törhet. Úgy vélem, hogy a WPA és a WPA2 sokkal nehezebb megtörni (de előfordulhat, hogy biztonsági problémákat okoz a WPS, amely ezt megkerüli). Továbbá, még az ésszerűen nehéz jelszavak is nyers kényszeríthetők. A Moxy Marlispike, egy jól ismert hacker kínál szolgáltatást, amely ezt körülbelül 30 dollárral teszi lehetővé a számítási felhő használatával - bár ez nem garantált.

Egy erős útválasztó jelszava nem tesz semmit, hogy megakadályozza, hogy valaki a Wi-Fi oldalán az adatokat továbbítsa az útválasztón keresztül, így nincs jelentősége.

A rejtett hálózat mítosz. Bár vannak olyan dobozok, amelyekkel a hálózat nem jelenik meg a webhelyek listájában, az ügyfelek jelzik a WIFI routert, így a jelenléte triviálisan észlelhető.

A MAC-szűrés olyan vicc, mint a legtöbb (minden / minden?) A Wi-Fi-eszközök programozhatók / átprogramozhatók egy meglévő MAC-cím klónozásához és a MAC-szűrő kiiktatásához.

A hálózati biztonság egy nagy téma, és nem valami, ami egy SuperUser kérdésre alkalmas. De az alapok az, hogy a biztonság rétegekben épül fel, hogy még ha egyesek is veszélybe kerülnek, nem minden. Továbbá bármely rendszer behatolhat elegendő időt, erőforrást és tudást; így a biztonság valójában nem annyira a „lehet-e csapkodni” kérdés, hanem „mennyi ideig fog tartani”. A WPA és a biztonságos jelszóvédelem a „Joe Average” ellen.

Ha javítani szeretné a Wi-Fi hálózat védelmét, akkor csak szállítási rétegként tekintheti meg, majd titkosíthatja és szűrheti az egész réteget. Ez az emberek túlnyomó többsége számára túlkínálat, de ez az egyik módja az lenne, hogy az útválasztót csak az Ön által ellenőrzött VPN-kiszolgálóhoz való hozzáférést engedélyezze, és minden ügyfél számára a Wi-Fi kapcsolaton keresztüli hitelesítést írja elő VPN. Így még akkor is, ha a Wi-Fi kompromittálva van, vannak más (nehezebb) rétegek a vereséghez. Ennek a viselkedésnek egy részhalmaza nem gyakori a nagyvállalati környezetben.

Az otthoni hálózat jobb biztosításának egyszerűbb alternatívája a Wi-Fi teljes ártalmatlanítása, és csak kábeles megoldásokat igényel. Ha olyan dolgok vannak, mint a mobiltelefonok vagy a tabletták, akkor ez talán nem praktikus. Ebben az esetben csökkentheti a kockázatokat (természetesen nem szünteti meg őket) az útválasztó jelerősségének csökkentésével. Azt is megvédheti otthonát, hogy a frekvencia kisebb legyen. Még nem tettem meg, de az erős pletyka (kutatott) azt állítja, hogy az alumínium háló (mint a légijármű) a házunkon kívül, jó földeléssel hatalmas különbséget okozhat a kilépő jel mennyiségében. De természetesen a mobil telefon lefedettsége.

A védelem elején egy másik alternatíva lehet, hogy az útválasztót megkapja (ha képes erre, akkor a legtöbb nem, de elképzelném, hogy az openwrt és esetleg paradicsom / dd-wrt-t futtató útválasztók) a hálózaton áthaladó összes csomagot naplózhatják. figyeljen rá. Még csak a különböző bájtokban lévő és az összes bájtra vonatkozó anomáliák ellenőrzése is jó védelmet nyújthat.

A nap végén, talán a kérdés, hogy mit kell tennem, hogy ne értsem egy alkalmi hacker idejét, hogy behatoljon a hálózatomba? és onnan. Nincs gyors és egyszerű válasz.

A reirab válaszát követi:

Ahogy mások mondták, az SSID elrejtése triviális. Valójában a hálózat alapértelmezés szerint megjelenik a Windows 8 hálózati listán, még akkor is, ha nem továbbítja az SSID-jét. A hálózat még mindig sugárzó kereten keresztül közvetíti jelenlétét; ez csak nem tartalmazza az SSID-t a beacon keretben, ha ez az opció be van jelölve. Az SSID triviális a meglévő hálózati forgalomból.

A MAC-szűrés sem rendkívül hasznos. Lehet, hogy rövid időre lelassíthatja a WEP-repedést letöltött gyerekfájlt, de biztosan nem fogja megállítani azokat, akik tudják, hogy mit csinálnak, mivel csak a törvényes MAC-címet tudják elrontani.

Ami a WEP-t illeti, teljesen megtört. A jelszó erőssége itt nem számít. Ha WEP-t használ, bárki gyorsan letöltheti a hálózatba bontható szoftvert, még akkor is, ha erős jelszava van.

A WPA lényegesen biztonságosabb, mint a WEP, de még mindig megtörtént. Ha a hardver támogatja a WPA-t, de nem a WPA2-t, akkor jobb, mint a semmi, de egy meghatározott felhasználó valószínűleg megtörheti a megfelelő eszközökkel.

A WPS (Wireless Protected Setup) a hálózati biztonság bane. Tiltsa le, függetlenül attól, hogy milyen hálózati titkosítási technológiát használ.

A WPA2, különösen az AES-t használó verziója meglehetősen biztonságos. Ha van leereszkedési jelszava, a barátja nem fog a WPA2 biztonságos hálózatába jutni anélkül, hogy a jelszót megkapná. Most, ha az NSA megpróbál belépni a hálózatába, ez egy másik kérdés. Ezután teljesen ki kell kapcsolnia a vezeték nélküli hálózatot. És valószínűleg az internetkapcsolat és az összes számítógép is. A WPA2 (és bármi más) elég időt és erőforrásokat tartalmazhat, de valószínűleg sokkal több időre és sokkal több lehetőségre lesz szükség, mint az átlagos hobbijának..

Ahogy Dávid azt mondta, az igazi kérdés nem „Lehet ez csapkodni?”, Hanem „Mennyi ideig tart valaki egy bizonyos képességekkel, hogy megragadja?”. Nyilvánvaló, hogy a válasz erre a kérdésre nagyban különbözik attól függően, hogy mi az adott képességcsoport. Ő is teljesen helyes, hogy a biztonságot rétegekben kell elvégezni. Azokat a dolgokat, amelyekről gondoskodni kell, nem szabad átmennie a hálózaton anélkül, hogy először titkosítaná őket. Tehát, ha valaki megszakad a vezeték nélküli hálózaton, akkor nem szabad bármit értelmesnek találni az internetkapcsolat használatával. Minden olyan kommunikációnak, amelyiknek biztonságosnak kell lennie, még mindig erős titkosítási algoritmust kell használnia (mint például az AES), amely esetleg a TLS-en vagy egy ilyen PKI-rendszeren keresztül állítható be. Győződjön meg róla, hogy az e-mailje és más érzékeny webes forgalma titkosítva van, és hogy nem fut semmilyen szolgáltatást (például fájl- vagy nyomtatómegosztás) a számítógépén a megfelelő hitelesítési rendszer nélkül.

Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.