Zatímco většina z nás se s největší pravděpodobností nikdy nebude muset obávat, že někdo hackne naši síť Wi-Fi, jak těžké by bylo pro nadšence hacknout síť Wi-Fi? Dnešní příspěvek Otázky a odpovědi SuperUser obsahuje odpovědi na otázky jednoho čtenáře ohledně zabezpečení sítě Wi-Fi.
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - členění Stack Exchange, komunitního seskupení webů otázek a odpovědí.
Foto s laskavým svolením Brian Klug (Flickr) .
Otázka
Čtečka SuperUser Sec chce vědět, jestli je pro většinu nadšenců skutečně možné hacknout sítě Wi-Fi:
Slyšel jsem od důvěryhodného odborníka na počítačovou bezpečnost, že většina nadšenců (i když to nejsou profesionálové), kteří používají pouze průvodce z Internetu a specializovaný software (tj. Kali Linux s přiloženými nástroji), může prorazit zabezpečení vašeho domácího routeru.
Lidé tvrdí, že je to možné, i když máte:
- Silné síťové heslo
- Silné heslo routeru
- Skrytá síť
- Filtrování MAC
Chci vědět, jestli je to mýtus nebo ne. Pokud má router silné heslo a filtrování MAC adres, jak to lze obejít (pochybuji, že používají hrubou sílu)? Nebo pokud se jedná o skrytou síť, jak ji mohou detekovat, a pokud je to možné, co můžete udělat, aby byla vaše domácí síť skutečně zabezpečená?
Jako junior student informatiky se cítím špatně, protože někdy se mnou fandové o takových předmětech hádají a já nemám silné argumenty nebo to technicky vysvětlit nemohu.
Je to opravdu možné, a pokud ano, na jaké slabé stránky v síti Wi-Fi by se nadšenec zaměřil?
Odpověď
Odpověď na nás mají přispěvatelé SuperUser, davidgo a reirab. Nejprve, davidgo:
Aniž bychom argumentovali sémantikou, ano, tvrzení je pravdivé.
Existuje několik standardů pro šifrování Wi-Fi, včetně WEP, WPA a WPA2. Protokol WEP je kompromitován, takže pokud jej používáte, může být i bez silného hesla triviálně prolomen. Věřím, že WPA a WPA2 jsou mnohem těžší prolomit (ale můžete mít bezpečnostní problémy týkající se WPS, které to obcházejí). Rovněž lze přiměřeně tvrdá hesla vynutit hrubou silou. Moxy Marlispike, známý hacker, nabízí službu, jak to udělat za přibližně 30 USD pomocí cloudového výpočtu - i když to není zaručeno.
Silné heslo routeru nic neudělá, aby nebránilo někomu na straně Wi-Fi v přenosu dat přes router, což je irelevantní.
Skrytá síť je mýtus. I když existují políčka, aby se síť nezobrazila na seznamu webů, klienti označují směrovač WIFI, takže je jeho přítomnost triviálně detekována.
Filtrování MAC je vtip, protože tolik (nejvíce / všech?) Zařízení Wi-Fi lze naprogramovat / přeprogramovat tak, aby klonovali stávající adresu MAC a obcházeli filtrování MAC.
Zabezpečení sítě je velkým tématem a není něčím, co by bylo možné zodpovídat otázce SuperUser. Základem však je, že zabezpečení je vytvořeno ve vrstvách, takže i když jsou některé ohroženy, ne všechny jsou. Do libovolného systému lze také proniknout s dostatečným časem, prostředky a znalostmi; takže bezpečnost ve skutečnosti není ani tak otázkou „může být hacknut“, ale „jak dlouho to bude trvat“ hacknout. WPA a zabezpečené heslo chrání před „Joe Average“.
Chcete-li zvýšit ochranu své sítě Wi-Fi, můžete ji zobrazit pouze jako transportní vrstvu a poté vše, co prochází touto vrstvou, zašifrovat a filtrovat. To je pro drtivou většinu lidí přehnané, ale jedním ze způsobů, jak to udělat, by bylo nastavit router tak, aby umožňoval pouze přístup k danému serveru VPN pod vaší kontrolou, a vyžadovat, aby se každý klient ověřoval přes připojení Wi-Fi přes VPN. I když je tedy Wi-Fi ohroženo, je třeba porazit další (těžší) vrstvy. Podmnožina tohoto chování není ve velkých podnikových prostředích neobvyklá.
Jednodušší alternativou k lepšímu zabezpečení domácí sítě je úplné odpojení Wi-Fi a vyžaduje pouze kabelové řešení. Pokud máte věci jako mobilní telefony nebo tablety, nemusí to být praktické. V takovém případě můžete rizika zmírnit (určitě je nevylučovat) snížením síly signálu routeru. Můžete také chránit svůj domov, aby vaše frekvence méně propouštěla. Neudělal jsem to, ale podle silných pověstí (prozkoumaných) se říká, že i hliníkové pletivo (jako síť proti hmyzu) přes vnější stranu vašeho domu s dobrým uzemněním může mít velký vliv na množství signálu, který unikne. Ale samozřejmě, pokrytí mobilním telefonem na shledanou.
Pokud jde o ochranu, další alternativou může být přimět váš směrovač (pokud je schopen to udělat, většina z nich není, ale představil bych si směrovače se spuštěným openwrt a případně tomato / dd-wrt can) k protokolování všech paketů procházejících vaší sítí a dávat na to pozor. Dokonce i pouhé sledování anomálií s celkovým počtem bajtů dovnitř a ven z různých rozhraní vám může poskytnout dobrý stupeň ochrany.
Na konci dne si možná musíme položit otázku: „Co musím udělat, aby to nestálo příležitostnému hackerskému času proniknout do mé sítě?“ nebo „Jaké jsou skutečné náklady na kompromitování mé sítě?“ a odtud. Neexistuje žádná rychlá a snadná odpověď.
Následuje odpověď od reiraba:
Jak již řekli jiní, skrývání SSID je triviální. Ve skutečnosti se vaše síť ve výchozím nastavení zobrazí v seznamu sítí Windows 8, i když nevysílá svůj SSID. Síť stále vysílá svou přítomnost prostřednictvím majákových rámců; prostě nezahrnuje SSID v rámci majáku, pokud je zaškrtnuta tato možnost. SSID je triviální získat ze stávajícího síťového provozu.
Filtrování MAC také není nijak zvlášť užitečné. Mohlo by to krátce zpomalit děťátko skriptu, který si stáhlo crack WEP, ale rozhodně to nezastaví nikoho, kdo ví, co dělá, protože může jen zfalšovat legitimní MAC adresu.
Pokud jde o WEP, je úplně rozbitý. Zde na síle vašeho hesla moc nezáleží. Pokud používáte WEP, může si kdokoli stáhnout software, který do vaší sítě pronikne docela rychle, i když máte silné heslo.
WPA je podstatně bezpečnější než WEP, ale stále se považuje za přerušené. Pokud váš hardware podporuje WPA, ale ne WPA2, je to lepší než nic, ale odhodlaný uživatel to pravděpodobně dokáže prolomit pomocí správných nástrojů.
WPS (Wireless Protected Setup) je překážkou zabezpečení sítě. Zakažte jej bez ohledu na to, jakou technologii šifrování sítě používáte.
WPA2, zejména jeho verze, která používá AES, je zcela bezpečná. Pokud máte heslo pro sestup, váš přítel se nedostane do vaší zabezpečené sítě WPA2 bez získání hesla. Nyní, pokud se NSA snaží dostat do vaší sítě, je to jiná věc. Pak byste měli bezdrátovou síť úplně vypnout. A pravděpodobně i vaše připojení k internetu a všechny vaše počítače. Vzhledem k dostatku času a zdrojů může být WPA2 (a cokoli jiného) napadeno, ale je pravděpodobné, že to bude vyžadovat mnohem více času a mnohem více schopností, než kolik bude mít váš průměrný fanda k dispozici.
Jak řekl David, skutečnou otázkou není „Může to být napadeno hackery?“, Ale spíše: „Jak dlouho bude trvat hacknutí někoho se zvláštním souborem schopností?“. Je zřejmé, že odpověď na tuto otázku se velmi liší v závislosti na tom, co je to konkrétní soubor schopností. Rovněž má naprostou pravdu, že bezpečnost by měla být prováděna ve vrstvách. Věci, na kterých vám záleží, by neměly procházet vaší sítí, aniž by byly nejprve zašifrovány. Pokud tedy někdo pronikne do vaší bezdrátové sítě, neměl by být schopen se dostat do čehokoli smysluplného kromě toho, že možná používá vaše připojení k internetu. Jakákoli komunikace, která musí být zabezpečená, by měla i nadále používat silný šifrovací algoritmus (například AES), případně nastavený pomocí TLS nebo nějakého takového schématu PKI. Ujistěte se, že je váš e-mail a jakýkoli jiný citlivý webový provoz šifrován a že na svých počítačích nespouštíte žádné služby (například sdílení souborů nebo tiskáren), aniž by byl zaveden správný ověřovací systém.
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
