156

Могут ли большинство пользователей-энтузиастов (даже если они не являются профессионалами) использовать хорошо известные методы, чтобы прорваться через безопасность обычного домашнего маршрутизатора?

Некоторые основные параметры безопасности:

  • надежный сетевой пароль с различными методами шифрования
  • пользовательский пароль доступа к роутеру
  • WPS
  • нет SSID трансляции
  • Фильтрация MAC-адресов

Скомпрометированы ли некоторые из них и что нужно сделать, чтобы сделать домашнюю сеть более безопасной?

9 ответов9

146

Не оспаривая семантику, да утверждение верно.

Существует множество стандартов шифрования WIFI, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы используете его, даже с надежным паролем, он может быть тривиально взломан. Я считаю, что WPA взломать намного сложнее (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые это обходят), и по состоянию на октябрь 2017 года WPA2 также предлагает сомнительную безопасность. Кроме того, даже достаточно надежные пароли могут быть подделаны - Moxie Marlinspike - известный хакер предлагает услугу для этого за 17 долларов США с помощью облачных вычислений - хотя это не гарантируется.

Надежный пароль маршрутизатора ничего не сделает для того, чтобы кто-то со стороны WIFI передавал данные через маршрутизатор, так что это не имеет значения.

Скрытая сеть - это миф: хотя существуют поля, чтобы сеть не появлялась в списке сайтов, клиенты передают сигнал WIFI-маршрутизатору, поэтому его присутствие обнаруживается тривиально.

Фильтрация MAC-адресов - это шутка для многих (больше всего / всех?) Устройства WIFI могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.

Сетевая безопасность - это большая тема, и она не подлежит решению вопроса суперпользователя, но, по сути, она заключается в том, что безопасность строится по уровням, так что даже если некоторые из них скомпрометированы, не все - также любая система может быть взломана при наличии достаточного времени, ресурсов и знания, так что безопасность на самом деле не столько вопрос "можно ли ее взломать", сколько "сколько времени потребуется", чтобы взломать. WPA и безопасный пароль защищают от "Joe Average".

Если вы хотите улучшить защиту вашей сети WIFI, вы можете рассматривать ее только как транспортный уровень, а также шифровать и фильтровать все, что происходит на этом уровне. Это избыточно для подавляющего большинства людей, но один из способов сделать это - настроить маршрутизатор так, чтобы он разрешал доступ только к определенному VPN-серверу, находящемуся под вашим контролем, и требовал, чтобы каждый клиент проходил аутентификацию через соединение WIFI через VPN - таким образом, даже если WIFI скомпрометирован, есть и другие [более сложные] слои, которые нужно победить. Подмножество этого поведения не является редкостью в больших корпоративных средах.

Более простой альтернативой для лучшей защиты домашней сети является отказ от WIFI в целом, и для этого требуются только кабельные решения. Если у вас есть такие вещи, как мобильные телефоны или планшеты, это может быть непрактично. В этом случае вы можете снизить риски (не исключая их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом таким образом, чтобы частота меньше просачивалась - я этого не делал, но ходят слухи (исследованные), что даже алюминиевая сетка (например, экран от мух) через внешнюю сторону вашего дома с хорошим заземлением может сделать огромный разница в количестве сигнала, который выйдет. [Но, конечно, пока пока сотовый телефон покрытия]

Что касается защиты, другой альтернативой может быть получение вашего маршрутизатора (если он способен сделать это, большинство не способны, но я бы вообразил, что маршрутизаторы, работающие с openwrt и, возможно, tomato/dd-wrt могут) регистрировать все пакеты, проходящие через вашу сеть. и следите за этим - черт, даже просто отслеживание аномалий с общим количеством байтов в различных интерфейсах и из них может дать вам хорошую степень защиты.

В конце дня, возможно, возникнет вопрос: «Что мне нужно сделать, чтобы хакеры не потратили время на проникновение в мою сеть?» Или "Какова реальная стоимость взлома моей сети" и оттуда. Там нет быстрого и простого ответа.

Обновление - октябрь 2017

Большинству клиентов, использующих WPA2, если они не исправлены, трафик может быть открыт в виде открытого текста с помощью «Атаки с переустановкой ключа - KRACK», что является недостатком стандарта WPA2. Примечательно, что это не дает доступ к сети или PSK только к трафику целевого устройства.

52

Как уже говорили другие, сокрытие SSID тривиально сломать. Фактически, ваша сеть будет отображаться по умолчанию в списке сетей Windows 8, даже если она не передает свой SSID. Сеть все еще передает свое присутствие через фреймы маяка в любом случае; он просто не включает SSID в кадр маяка, если отмечен этот параметр. SSID тривиально получить из существующего сетевого трафика.

Фильтрация MAC также не очень полезна. Это может на короткое время замедлить работу сценариста, загрузившего WEP-трещину, но это определенно не остановит тех, кто знает, что они делают, поскольку они могут просто подделать действительный MAC-адрес.

Что касается WEP, он полностью сломан. Надежность вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое довольно быстро проникнет в вашу сеть, даже если у вас есть надежный пароль.

WPA значительно более безопасен, чем WEP, но все еще считается сломанным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но решительный пользователь, вероятно, сможет взломать его с помощью подходящих инструментов.

WPS (беспроводная защищенная настройка) является угрозой безопасности сети. Отключите его независимо от того, какую технологию сетевого шифрования вы используете.

WPA2 - в частности, версия, в которой используется AES - достаточно безопасна. Если у вас есть приличный пароль, ваш друг не сможет войти в вашу защищенную сеть WPA2 без получения пароля. Теперь, если АНБ пытается проникнуть в вашу сеть, это другое дело. Тогда вам следует просто полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но для этого, вероятно, потребуется гораздо больше времени и гораздо больше возможностей, чем будет у вашего среднего любителя.

Как сказал Дэвид, реальный вопрос не в том, может ли это быть взломано?«Но, скорее,« Сколько времени понадобится кому-то с определенным набором способностей, чтобы взломать его?»«Очевидно, что ответ на этот вопрос сильно различается в зависимости от того, что это за набор возможностей. Он также абсолютно прав, что безопасность должна быть сделана в слоях. Вещи, которые вас интересуют, не должны передаваться по вашей сети без предварительного шифрования. Так что, если кто-то взломает вашу беспроводную связь, он не сможет проникнуть во что-то значимое, кроме использования вашего интернет-соединения. Любая связь, которая должна быть защищенной, должна по-прежнему использовать надежный алгоритм шифрования (например, AES), возможно, настроенный с помощью TLS или некоторой такой схемы PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрован и что на ваших компьютерах не запущены никакие службы (например, общий доступ к файлам или принтерам) без надлежащей системы аутентификации.


Обновление 17 октября 2017 г. - Этот ответ отражает ситуацию до недавнего обнаружения новой серьезной уязвимости, которая затрагивает как WPA, так и WPA2. Функция переустановки ключей AttaCK (KRACK) использует уязвимость в протоколе квитирования связи для Wi-Fi. Не вдаваясь в грязные детали криптографии (о которых вы можете прочитать на связанном веб-сайте), все сети Wi-Fi следует считать сломанными, пока они не будут исправлены, независимо от того, какой конкретный алгоритм шифрования они используют.

Связанные вопросы InfoSec.SE относительно KRACK:
Последствия атаки WPA2 KRACK
Как я могу защитить себя от KRACK, когда я не могу позволить себе VPN?

14

Поскольку другие ответы в этой теме хороши, я думаю, что для тех, кто запрашивает конкретный ответ (ну ... это SuperUser, не так ли?), Вопрос можно легко перевести как: «Что я должен знать, чтобы сделать мой WiFi сеть безопасна?"
Не отрицая (и не подтверждая) ни один из других ответов, это мой короткий ответ:

Слова криптолога Брюса Шенье могут быть полезными советами для многих пользователей:

Единственное реальное решение - отсоединить шнур питания.

Это часто может применяться к беспроводным сетям: постоянно ли нам это нужно?
Многие маршрутизаторы имеют кнопку WiFi для включения / отключения беспроводной связи, например D-Link DSL-2640B .
Если нет, вы всегда можете автоматизировать включение / отключение беспроводной сети через Интернет, используя такие инструменты, как iMacros (доступно как расширение для Firefox или как отдельная программа) в Windows и многие другие в Linux.

И вот два трюка для создания пароля WPA (пожалуйста, забудьте WEP) (хороший пароль WPA сделает атаки очень трудными) (не сохраняйте пароль по умолчанию):

  1. Используйте несуществующие и / или иностранные слова: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (поскольку для их поиска нельзя использовать простой словарь).
  2. Создайте свое собственное легко запоминающееся (по крайней мере для вас) предложение и определите свой пароль, взяв первый символ каждого слова. Результатом будет сложный для взлома (минимум 8 символов), но легко запоминающийся пароль, который включает заглавные и строчные буквы, цифры и некоторые другие не алфавитные символы:
    «У вас есть два сына и 3 кошки, и вы их любите». -> "Yh2sa3c, айлт."

И ради Бога: отключите WPS прямо сейчас! Это совершенно некорректно.

7

Ничто из того, что вы упоминаете (кроме пароля к сети), не влияет на взлом сети Wi-Fi. Так как фильтр MAC-адресов и скрытый SSID ничего не помогают в плане безопасности.

Что действительно важно, так это тип шифрования, используемый в сети. Старые сетевые шифрования, такие как WEP, были тривиальны, потому что, имея достаточно трафика, вы могли их декодировать и заставлять генерировать необходимый вам трафик.

Однако более новые, такие как WPA2, намного безопаснее. Теперь ничто не является «безопасным» против всех противников, но этого обычно достаточно для домашнего Wi-Fi.

Это большая тема, и это касается только вершины айсберга, но, надеюсь, это поможет.

6

WEP и WPA1/2 (с включенным WPS) можно взломать тривиально; первый с использованием захваченных IV, а второй с помощью грубой силы WPS PIN (только 11 000 возможных комбинаций, из 3-х частей; 4 цифры [10 000 возможных] + 3 цифры [1000 возможных] + 1 цифра контрольной суммы [вычислено из остальных]) ,

WPA1/2 сложнее с надежным паролем, но использование взлома GPU и техника грубой силы могут разрушить некоторые из более слабых.

Я лично взломал WEP и WPS в своей рабочей сети (с разрешения я демонстрировал уязвимости своим работодателям), но мне еще предстоит успешно взломать WPA.

5

Это отличный вопрос, и правила хорошо защищенной беспроводной сети должны быть хорошо известны. Настройте свой маршрутизатор / шлюз / AP так, чтобы:

  • беспроводная безопасность - только WPA2
  • шифрование только AES
  • использовать предварительный общий ключ, содержащий несколько слов (например, IloveSuperUser)
  • отключить WPS
  • отключить удаленное администрирование

Это оно! Для всех практических целей у вас теперь есть полностью безопасная беспроводная связь.

3

На форуме Cisco Learning Network автор темы спросил:

Можно ли взломать WPA/TKIP? Либо кто-то в моем пансионе использовал 80 гигабайт данных, либо кто-то рядом взломал пароль и использовал его. Я подозреваю кого-то в гостевом доме, потому что мне трудно поверить, что WPA/TKIP может быть взломан, и даже если он может быть взломан, это будет нелегко сделать. Насколько сложно взломать WPA/TKIP? Я все равно хочу изменить пароль для них, могу ли я использовать - и _ и? персонажи?

Явно очень умный парень по имени Зак сделал эту публикацию, которую должен прочитать новичок здесь (и другие, здесь тоже, если они заинтересованы).

В частности, прочитайте примерно две трети пути его публикации, где он начинается со слов «Решения:».

Я использую настройки своего шлюза « WPA-PSK (TKIP)/WPA2-PSK (AES) ». В соответствии с этим из сообщения Зака ...

Измените имя вашего маршрутизатора на что-то уникальное. Ваш ESSID используется вашим Wlan соискателем в качестве криптографической соли над PMK. Изменение этого параметра исключит атаки перед вычислениями.

...Я давно использовал свой собственный уникальный ESSID. Кроме того, в соответствии с его ...

Сделайте уникальный пароль, включающий уникальные символы, цифры, заглавные буквы. несколько слов и строчные буквы. Это важнее, чем длина. Увеличение длины пароля только увеличит надежность паролей, но это не должно быть неприлично длинным. Сила заключается в дисперсии потенциала. Это исключит атаки по словарю и сделает грубую силу невозможной без суперкомпьютера.

... у меня 25 символов, которые состоят из букв, цифр, прописных и строчных букв и специальных символов. Ничто из этого не означает ничего.

Я делаю несколько других вещей, которые Зак делает и не перечисляет там; но в дополнение к вышесказанному и сказано другое, и хотя бы в духе того, что он здесь написал ...

Включите подробное ведение журнала и, если возможно, перешлите это на свою электронную почту.

...Я давно написал немного скриптового кода, который автоматически запускается при запуске Windows и просто запускается в системном трее; этот код периодически, в течение дня, жестко обновляет, а затем анализирует веб-страницу в моем шлюзе, в которой перечислены все подключенные устройства; и затем он говорит мне обоим как всплывающий с тройным звуковым сигналом через динамик материнской платы (не обычные звуковые колонки, на случай, если они отключены или что-то в этом роде) на моем настольном компьютере-ноутбуке экран, а также через текст на мой телефон (который находится либо в сумке на моем поясе, либо, по крайней мере, не более чем в пяти футах от меня, 24/7/365), если появилось что-то новое.

Для тех, у кого нет этого навыка, есть несколько приложений типа «кто на моем WI-FI», некоторые из них бесплатные. Хорошим и простым является [этот плохой парень] [3]. Просто автоматически запустите его с Windows, дайте ему сесть в системный трей и скажите, чтобы он "подал звуковой сигнал на новом устройстве", и у вас будет что-то похожее на то, что делает мой скрипт (за исключением того, что он не отправит вам SMS). Однако, используя [простой инструмент создания сценариев] [5], вы можете заставить SMS или электронное письмо отправляться на ваш телефон, когда новое устройство в локальной сети издает звуковой сигнал приложения.

Надеюсь, это поможет.

2

Сомнительно.

Я не согласен с ответом Давидго. Хотя это хорошо исследовано, и я согласен с большей частью его информации, я думаю, что это немного пессимистично.

В WPA2 есть уязвимости, о которых уже говорилось в других ответах. Однако ни один из них не является неизбежным.

В частности, следует отметить, что атака грубой силы, упомянутая Давидго, является атакой на слабость в MS-CHAPv2. См. Ссылку цитируемого автора [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Если Ms-CHAP не используется, эта слабость не может быть использована. (удалено по комментарию автора - неверная ссылка)

С правильной парольной фразой, SSID и отказом от скомпрометированной технологии я не вижу причин, по которым защищенная сеть WPA2, использующая AES256, в настоящий момент не будет безопасной. Атаки грубой силой на такие сети невозможны, и даже Мокси Марлинспайк предлагает это.

Однако, где я согласен с ответом Давидго, это то, что большинство пользователей не прилагают этих усилий. Я знаю, что моя собственная домашняя сеть может быть использована, и хотя я знаю, как это исправить, она просто не стоит моих сил и времени.

2

Еще один аспект любого анализа безопасности - это активы, которые нуждаются в защите, и ценность этих активов для владельца и потенциального злоумышленника. Я предполагаю, что ваши банковские логин, номер кредитной карты и другие учетные данные, вероятно, являются наиболее ценной информацией, передаваемой через домашнюю сеть, и большая часть этого должна покрываться шифрованием TLS/SSL через соединение https. Таким образом, похоже, что если вы используете ключ WPA2 на своем маршрутизаторе Wi-Fi и убедитесь, что ваш браузер использует https всякий раз, когда это возможно (с помощью такого инструмента, как eff https везде), вы достаточно безопасны. (Потенциальный злоумышленник должен пойти на проблемы взлома ключа WPA2 , чтобы , возможно , получить пароль , который не проходит через HTTPS или HTTP - страницы , которые вы просматриваете.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .