Макар че повечето от нас най-вероятно никога няма да се притесняват за някой, който хакне нашата Wi-Fi мрежа, колко трудно би било за един ентусиаст да пробие Wi-Fi мрежата на някого? Днешната публикация "Суперуслуги Q & A" има отговори на въпросите на един читател относно сигурността на Wi-Fi мрежата.
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Снимката е предоставена от Брайън Клуг (Flickr).
Суперузерът Sec иска да знае дали наистина е възможно повечето ентусиасти да проникнат в Wi-Fi мрежите:
Чух от надежден експерт по компютърната сигурност, че повечето ентусиасти (дори и да не са професионалисти), които използват само водачи от интернет и специализиран софтуер (т.е. Kali Linux с включените инструменти), могат да пробият сигурността на домашния рутер.
Хората твърдят, че това е възможно дори ако имате:
- Силна парола за мрежата
- Силна парола за рутер
- Скрита мрежа
- MAC филтриране
Искам да знам дали това е мит или не. Ако маршрутизаторът има силна парола и MAC филтриране, как може да бъде заобиколен (се съмнявам, че използва груба сила)? Или ако е скрита мрежа, как могат да я открият и ако това е възможно, какво можете да направите, за да направите домашната мрежа наистина сигурна?
Като младши студент по компютърни науки се чувствам зле, защото понякога любителите на спорта твърдят, че по такива теми нямам сериозни аргументи или не мога да обясня това технически.
Наистина ли е възможно и, ако да, какви са "слабите" точки в Wi-Fi мрежата, на която един ентусиаст ще се съсредоточи?
Служителите на SuperUser davidgo и reirab имат отговор за нас. На първо място, davidgo:
Без да се застъпва за семантиката, да, твърдението е вярно.
Има няколко стандарта за Wi-Fi криптиране, включително WEP, WPA и WPA2. WEP е компрометирана, така че ако го използвате, дори и при силна парола, тя може да бъде тривиално нарушена. Смятам, че WPA и WPA2 са много по-трудни за пробиване въпреки (но може да имате проблеми със сигурността, свързани с WPS, които заобикалят това). Също така, дори разумно трудните пароли могат да бъдат грубо принудени. Moxy Marlispike, известен хакер, предлага услуга за това за около $ 30, използвайки клауд компютинг - въпреки че не е гарантирана.
Силна парола няма да направи нищо, за да попречи на някого от Wi-Fi да предава данни през маршрутизатора, така че е без значение.
Скритата мрежа е мит. Докато има кутии, които правят мрежата да не се показва в списък от сайтове, клиентите получават маршрутизатора WIFI, поради което неговото присъствие е тривиално открито.
MAC филтрирането е шега, тъй като много (повечето / всички?) Wi-Fi устройства могат да бъдат програмирани / препрограмирани, за да клонират съществуващ MAC адрес и да заобиколят MAC филтрирането.
Сигурността на мрежата е голям обект, а не нещо, което може да бъде подложено на въпрос на SuperUser. Но основите са, че сигурността е изградена на слоеве, така че дори и някои да са компрометирани, не всички са. Също така, всяка система може да бъде проникната, като се отдели достатъчно време, ресурси и знания; така че сигурността всъщност не е въпрос на "може ли да бъде хакнат", но "колко време ще отнеме" да се провали. WPA и сигурна парола предпазват от "Joe Average".
Ако искате да подобрите защитата на Wi-Fi мрежата, можете да я разглеждате само като транспортен слой, след това да шифровате и филтрирате всичко, което преминава през този слой. Това е прекалено много за повечето хора, но начинът, по който бихте могли да направите това, е да настроите маршрутизатора да разрешава достъп само до даден VPN сървър под ваше управление и да изискват от всеки клиент да се идентифицира през Wi-Fi връзката в целия VPN. По този начин, дори ако Wi-Fi е компрометирана, има други (по-трудни) слоеве, които да бъдат победени. Подмножество от това поведение не е необичайно в големи корпоративни среди.
Една по-проста алтернатива за по-доброто осигуряване на домашна мрежа е да разкопаете Wi-Fi напълно и да изискват само кабелни решения. Ако имате неща като мобилни телефони или таблети, това може и да не е практично. В този случай можете да смекчите рисковете (със сигурност да не ги елиминирате), като намалите силата на сигнала на вашия маршрутизатор. Можете също така да защитите дома си, така че честотата ви да изтече по-малко. Аз не съм го направил, но силен слух (изследван) го прави, че дори алуминиева мрежа (като екран за летене) отвън на къщата ви с добро заземяване може да направи огромна разлика в количеството сигнал, който ще избяга. Но, разбира се, заобиколен от мобилен телефон.
На защитната стена друга алтернатива може да бъде да се получи маршрутизаторът (ако е способен да го направи, повечето не са, но бих си представял маршрутизатори, работещи openwrt и евентуално домати / dd-wrt може), за да регистрират всички пакети, преминаващи през вашата мрежа и като го наблюдавате. Дори само мониторингът за аномалии с общо байтове в и от различни интерфейси може да ви даде добра степен на защита.
В крайна сметка може би въпросът, който трябва да зададете, е "Какво трябва да направя, за да не струва на случайния хакер да проникне в моята мрежа?" Или "Каква е реалната цена за компрометиране на мрежата ми?", и от там. Няма бърз и лесен отговор.
Следва отговор от рейраба:
Както другите казаха, криенето на SSID е тривиално, за да се счупи. Всъщност мрежата ви ще се покаже по подразбиране в списъка с мрежи на Windows 8, дори ако не излъчва SSID. Мрежата все още излъчва своето присъствие чрез рамки за фарове или по един или друг начин; то просто не включва SSID в рамката за местоположение, ако тази опция е отметнато. SSID е тривиално, за да се получи от съществуващия трафик в мрежата.
MAC филтрирането не е ужасно полезно. Това може да забави за кратко дебюта на скрипта, който е изтеглил WEP пукнатина, но определено няма да спре някой, който знае какво правят, тъй като те просто могат да пропуснат легитимен MAC адрес.
Що се отнася до WEP, то е напълно нарушено. Силата на вашата парола няма много значение тук. Ако използвате WEP, всеки може да изтегли софтуер, който ще се разпадне в мрежата ви доста бързо, дори ако имате силна парола.
WPA е значително по-сигурен от WEP, но все още се смята за нарушен. Ако вашият хардуер поддържа WPA, но не и WPA2, той е по-добър от нищо, но определен потребител вероятно може да го пробие с подходящите инструменти.
WPS (Wireless Protected Setup) е проклятието на сигурността на мрежата. Изключете го независимо от технологията за мрежово шифроване, която използвате.
WPA2, по-специално версията от него, която използва AES, е напълно сигурна. Ако имате парола за снижаване, приятелят ви няма да влезе в защитната ви мрежа WPA2 без да получи паролата. Сега, ако NSA се опитва да влезе в мрежата ви, това е друг въпрос. След това просто трябва да изключите безжичната мрежа. И вероятно вашата интернет връзка и всичките ви компютри също. Като се има предвид достатъчно време и ресурси, WPA2 (и всичко останало) може да бъде хакнат, но вероятно ще изисква много повече време и много повече възможности, отколкото средният ви любимец ще има на свое разположение.
Както каза Дейвид, истинският въпрос не е "Може ли да бъде опростен?", А по-скоро: "Колко време ще отнеме някой с конкретен набор от възможности да го прогони?". Очевидно е, че отговорът на този въпрос се различава значително по отношение на това какво е този конкретен набор от възможности. Също така е абсолютно вярно, че сигурността трябва да се извършва на пластове. Нещата, за които се интересувате, не трябва да минават през вашата мрежа, без да са криптирани първо. Така че, ако някой влезе в безжичната ви мрежа, те не би трябвало да могат да влязат в нещо смислено, освен може би да използват вашата интернет връзка. Всяка комуникация, която трябва да бъде сигурна, трябва да използва силен алгоритъм за кодиране (като AES), вероятно установен чрез TLS или някаква такава схема на PKI. Уверете се, че електронната ви поща и всеки друг чувствителен трафик в мрежата са шифровани и че не разполагате с никакви услуги (като споделяне на файлове или принтери) на компютрите си без подходящата система за удостоверяване.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
