Домашня » як » Чи дійсно це можливо для більшості ентузіастів, щоб зламати мережі Wi-Fi?

    Чи дійсно це можливо для більшості ентузіастів, щоб зламати мережі Wi-Fi?

    Хоча більшість з нас, швидше за все, ніколи не доведеться турбуватися про те, що хтось зламав нашу мережу Wi-Fi, наскільки важко було б для ентузіастів зламати мережу Wi-Fi людини? Повідомлення із запитань SuperUser сьогодні мають відповіді на запитання одного читача про безпеку мережі Wi-Fi.

    Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

    Фото люб'язно надано Брайаном Клугом (Flickr).

    Питання

    Читач SuperUser Sec хоче знати, чи дійсно для більшості ентузіастів можливо зламати мережі Wi-Fi:

    Я дізнався від надійного експерта з комп'ютерної безпеки, що більшість ентузіастів (навіть якщо вони не є професіоналами) використовують лише посібники з Інтернету та спеціалізованого програмного забезпечення (наприклад, Kali Linux з включеними інструментами), можуть прорватися через безпеку домашнього маршрутизатора.

    Люди стверджують, що це можливо, навіть якщо у вас є:

    • Сильний мережний пароль
    • Сильний пароль маршрутизатора
    • Прихована мережа
    • Фільтрація MAC

    Я хочу знати, чи це міф чи ні. Якщо маршрутизатор має надійний пароль і фільтрацію MAC, як це можна обійти (я сумніваюся, що вони використовують грубу силу)? Або якщо це прихована мережа, як вони можуть її виявити, і якщо це можливо, що ви можете зробити, щоб зробити домашню мережу дійсно безпечною?

    Як студент-молодший фахівець з інформатики, я відчуваю себе погано, тому що іноді хобісти сперечаються зі мною з таких питань, і я не маю сильних аргументів або не можу технічно пояснити це..

    Чи дійсно це можливо, і якщо так, то які "слабкі" точки в мережі Wi-Fi, які ентузіасти зосереджуватимуть на?

    Відповідь

    Співробітники SuperUser davidgo і reirab мають відповідь для нас. Спочатку, Давидго:

    Не сперечаючись з семантикою, так, твердження є істинним.

    Існує кілька стандартів для шифрування Wi-Fi, включаючи WEP, WPA і WPA2. WEP скомпрометований, тому, якщо ви використовуєте його, навіть з надійним паролем, його можна тривіально зламати. Я вважаю, що WPA і WPA2 набагато важче зламати, хоча (але у вас можуть бути питання безпеки, пов'язані з WPS, які обійти це). Крім того, навіть досить жорсткі паролі можуть бути грубими. Moxy Marlispike, відомий хакер пропонує послугу для цього близько 30 доларів США за допомогою хмарних обчислень - хоча це не гарантовано.

    Сильний пароль маршрутизатора нічого не допоможе запобігти передачі даних через маршрутизатор комусь з боку Wi-Fi..

    Прихована мережа - це міф. Незважаючи на наявність полів, щоб мережа не з'являлася у списку сайтів, клієнти відстежують WIFI-маршрутизатор, тому його присутність виявляється тривіально..

    Фільтрація MAC - це жарт, оскільки багато (більшість / всі?) Пристрої Wi-Fi можуть бути запрограмовані / перепрограмовані, щоб клонувати існуючу MAC-адресу і обходити MAC-фільтрацію.

    Мережева безпека є великою темою, і не є чимось піддається питанням SuperUser. Але основи полягають у тому, що безпека побудована в шарах, так що навіть якщо деякі з них скомпрометовані, не всі. Крім того, будь-яка система може бути пронизана завдяки достатньому часу, ресурсів і знань; таким чином, безпека насправді не є питанням «чи можна її зламати», а «скільки часу потрібно», щоб зламати. WPA та безпечний захист паролем від "Joe Average".

    Якщо ви хочете підвищити захист вашої мережі Wi-Fi, ви можете переглянути її лише як транспортний шар, а потім зашифрувати та фільтрувати все, що проходить через цей шар. Це перебільшення для переважної більшості людей, але одним із способів цього було б встановити маршрутизатор лише для доступу до певного сервера VPN під вашим контролем і вимагати від кожного клієнта аутентифікації через з'єднання Wi-Fi через VPN. Таким чином, навіть якщо Wi-Fi скомпрометований, існують інші (складніші) шари для поразки. Підмножина такої поведінки не є рідкістю у великих корпоративних середовищах.

    Простіша альтернатива кращому забезпеченню домашньої мережі полягає в тому, щоб повністю відключити Wi-Fi і вимагати лише рішень для кабелів. Якщо у вас є такі речі, як мобільні телефони або планшети, це може бути не практично. У цьому випадку можна зменшити ризики (звичайно, не усунути їх), зменшивши потужність сигналу маршрутизатора. Ви також можете захистити свій будинок, щоб частота втратила менше. Я не зробив цього, але сильні чутки (досліджені) має, що навіть алюмінієва сітка (наприклад, літати екран) через зовнішній вигляд вашого будинку з гарним заземленням може зробити величезну різницю в кількості сигналу, який буде втекти. Але, звичайно, охоплення до бай-сотового телефону.

    На фронті захисту, інша альтернатива може бути, щоб отримати ваш маршрутизатор (якщо він здатний це робити, то більшість з них не є, але я можу уявити маршрутизатори, які працюють з openwrt і, можливо, томатним / dd-wrt,) для реєстрації всіх пакетів, які проходять через вашу мережу стежити за ним. Навіть просто спостереження за аномаліями із загальними байтами в різних інтерфейсах і з різних інтерфейсів може дати вам хороший ступінь захисту.

    Наприкінці дня, можливо, питання, яке потрібно задати, це: "Що мені потрібно зробити, щоб не варто час випадкового хакера проникнути в мою мережу?" Або "Яка реальна вартість порушення мережі?", і йдучи звідти. Немає швидкої та легкої відповіді.

    Далі йде відповідь від reirab:

    Як казали інші, приховування SSID тривіальне для розриву. Фактично, ваша мережа відображатиметься за замовчуванням у списку мереж Windows 8, навіть якщо вона не передає свій SSID. Мережа як і раніше передає свою присутність через радіомаяки; він просто не включає SSID у кадрі маяка, якщо цей параметр позначений. SSID тривіальний для отримання з існуючого мережевого трафіку.

    Фільтрація MAC не дуже корисна. Це може коротко уповільнити kiddie скрипта, який завантажив тріщину WEP, але це, безумовно, не збирається зупиняти когось, хто знає, що вони роблять, оскільки вони можуть просто обманювати легітимну MAC-адресу.

    Що стосується WEP, то вона повністю порушена. Сила вашого пароля тут не має великого значення. Якщо ви використовуєте WEP, будь-хто може завантажувати програмне забезпечення, яке досить швидко проникне у вашу мережу, навіть якщо ви маєте надійний пароль.

    WPA є значно більш безпечним, ніж WEP, але все ще вважається порушеним. Якщо ваше обладнання підтримує WPA, але не WPA2, це краще, ніж нічого, але певний користувач може, можливо, зламати його з потрібними інструментами.

    WPS (Wireless Protected Setup) - це захист мережі. Вимкніть його незалежно від того, яку мережеву технологію шифрування ви використовуєте.

    WPA2, зокрема його версія, яка використовує AES, досить безпечна. Якщо у вас є пароль для спуску, ваш друг не збирається потрапляти у захищену мережу WPA2 без отримання пароля. Тепер, якщо АНБ намагається потрапити у вашу мережу, це вже інша справа. Тоді ви повинні повністю вимкнути бездротову мережу. І, можливо, ваше підключення до Інтернету і всі ваші комп'ютери теж. Враховуючи достатній час і ресурси, WPA2 (і все інше) може бути зламаний, але, ймовірно, буде потрібно набагато більше часу і набагато більше можливостей, ніж ваш середній любитель має у своєму розпорядженні..

    Як сказав Давид, справжнє питання не «Чи може це бути зламане?», А, скоріше, «Як довго це займе хтось з певним набором можливостей, щоб зламати його?». Очевидно, що відповідь на це питання сильно варіюється щодо того, що саме цей набір можливостей. Він також абсолютно правильний, що безпека повинна виконуватися в шарах. Речі, про які ви дбаєте, не повинні переходити через мережу, не будучи зашифрованими в першу чергу. Отже, якщо хтось перериває ваш бездротовий зв'язок, вони не повинні мати змогу потрапити до будь-якого значущого, крім використання підключення до Інтернету. Будь-яке повідомлення, яке має бути захищеним, все ще має використовувати сильний алгоритм шифрування (наприклад, AES), можливо встановлений за допомогою TLS або такої схеми PKI. Переконайтеся, що електронна пошта та будь-який інший конфіденційний веб-трафік шифруються, а на комп'ютерах не використовуються жодні служби (наприклад, спільне використання файлів або принтерів) без належної системи аутентифікації.


    Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.