Hoewel de meesten van ons zich waarschijnlijk nooit zorgen hoeven te maken dat iemand ons wifi-netwerk hackt, hoe moeilijk zou het dan zijn voor een liefhebber om iemands wifi-netwerk te hacken? De SuperUser Q & A-post van vandaag bevat antwoorden op de vragen van een lezer over wifi-netwerkbeveiliging.
De vraag- en antwoordsessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-gedreven groepering van Q & A-websites.
Foto met dank aan Brian Klug (Flickr) .
De vraag
SuperUser-lezer Sec wil weten of het voor de meeste enthousiastelingen echt mogelijk is om Wi-Fi-netwerken te hacken:
Ik heb van een vertrouwde computerbeveiligingsexpert gehoord dat de meeste enthousiastelingen (zelfs als ze geen professionals zijn) die alleen handleidingen van internet en gespecialiseerde software gebruiken (d.w.z. Kali Linux met de meegeleverde tools), de beveiliging van je thuisrouter kunnen doorbreken.
Mensen beweren dat het zelfs mogelijk is als u:
- Een sterk netwerkwachtwoord
- Een sterk routerwachtwoord
- Een verborgen netwerk
- MAC-filtering
Ik wil weten of dit een mythe is of niet. Als de router een sterk wachtwoord en MAC-filtering heeft, hoe kan dat dan worden omzeild (ik betwijfel of ze brute-force gebruiken)? Of als het een verborgen netwerk is, hoe kunnen ze het dan detecteren en, als het mogelijk is, wat kunt u doen om uw thuisnetwerk echt veilig te maken?
Als junior informatica-student voel ik me slecht omdat hobbyisten soms met mij ruzie maken over dergelijke onderwerpen en ik geen sterke argumenten heb of het technisch niet kan uitleggen.
Is het echt mogelijk, en zo ja, wat zijn de ‘zwakke’ punten in een wifi-netwerk waarop een liefhebber zich zou concentreren?
Het antwoord
SuperUser-bijdragers davidgo en reirab hebben het antwoord voor ons. Ten eerste, davidgo:
Zonder de semantiek te beargumenteren, ja, de bewering is waar.
Er zijn meerdere standaarden voor Wi-Fi-codering, waaronder WEP, WPA en WPA2. WEP is gecompromitteerd, dus als u het gebruikt, zelfs met een sterk wachtwoord, kan het triviaal worden verbroken. Ik geloof echter dat WPA en WPA2 veel moeilijker te kraken zijn (maar u kunt beveiligingsproblemen met WPS hebben die dit omzeilen). Ook kunnen zelfs redelijk harde wachtwoorden bruut worden afgedwongen. Moxy Marlispike, een bekende hacker, biedt een service om dit te doen voor ongeveer $ 30 met behulp van cloud computing - hoewel dit niet gegarandeerd is.
Een sterk routerwachtwoord doet niets om te voorkomen dat iemand aan de Wi-Fi-kant gegevens door de router verzendt, dus dat is niet relevant.
Een verborgen netwerk is een mythe. Hoewel er vakjes zijn om een netwerk niet in een lijst met sites te laten verschijnen, baken de clients de wifi-router af, waardoor de aanwezigheid ervan triviaal wordt gedetecteerd.
MAC-filtering is een grap aangezien veel (de meeste / alle?) Wi-Fi-apparaten kunnen worden geprogrammeerd / opnieuw geprogrammeerd om een bestaand MAC-adres te klonen en MAC-filtering te omzeilen.
Netwerkbeveiliging is een groot onderwerp en niet iets dat vatbaar is voor een SuperUser-vraag. Maar de basis is dat beveiliging is opgebouwd in lagen, zodat zelfs als sommige gecompromitteerd zijn, niet alle dat zijn. Ook kan elk systeem worden gepenetreerd met voldoende tijd, middelen en kennis; beveiliging is dus eigenlijk niet zozeer een kwestie van “kan het worden gehackt”, maar “hoe lang duurt het” om te hacken. WPA en een veilig wachtwoord beschermen tegen "Joe Average".
Als u de bescherming van uw Wi-Fi-netwerk wilt verbeteren, kunt u het alleen als een transportlaag bekijken en vervolgens alles versleutelen en filteren dat over die laag gaat. Dit is overdreven voor de overgrote meerderheid van de mensen, maar een manier waarop je dit zou kunnen doen, is door de router zo in te stellen dat alleen toegang wordt verleend tot een bepaalde VPN-server die onder jouw controle staat, en elke client moet zich authenticeren via de Wi-Fi-verbinding over de VPN. Dus zelfs als de wifi wordt gecompromitteerd, zijn er andere (moeilijkere) lagen om te verslaan. Een deel van dit gedrag is niet ongebruikelijk in grote bedrijfsomgevingen.
Een eenvoudiger alternatief voor een betere beveiliging van een thuisnetwerk is om Wi-Fi helemaal te laten verdwijnen en alleen bekabelde oplossingen nodig te hebben. Als u zaken als mobiele telefoons of tablets heeft, is dit misschien niet praktisch. In dit geval kunt u de risico's verkleinen (zeker niet elimineren) door de signaalsterkte van uw router te verminderen. Ook kun je je huis afschermen zodat je frequentie minder lekt. Ik heb het niet gedaan, maar een sterk gerucht (onderzocht) gaat dat zelfs aluminium gaas (zoals vliegenhor) aan de buitenkant van je huis met een goede aarding een enorm verschil kan maken in de hoeveelheid signaal die zal ontsnappen. Maar natuurlijk, dag gsm-dekking.
Wat de bescherming betreft, kan een ander alternatief zijn om uw router te krijgen (als hij daartoe in staat is, zijn de meeste dat niet, maar ik kan me voorstellen dat routers openwrt draaien en mogelijk tomaat / dd-wrt kunnen) om alle pakketten te loggen die uw netwerk doorkruisen en in de gaten houden. Zelfs het monitoren op afwijkingen met het totale aantal bytes in en uit verschillende interfaces kan u een goede mate van bescherming bieden.
Aan het eind van de dag is de vraag die je misschien moet stellen misschien: "Wat moet ik doen om ervoor te zorgen dat het de tijd van een toevallige hacker niet waard is om door te dringen in mijn netwerk?" of "Wat zijn de werkelijke kosten als mijn netwerk gecompromitteerd is?", en vanaf daar verder te gaan. Er is geen snel en gemakkelijk antwoord.
Gevolgd door het antwoord van reirab:
Zoals anderen al hebben gezegd, is het verbergen van SSID triviaal om te doorbreken. In feite wordt uw netwerk standaard weergegeven in de Windows 8-netwerklijst, zelfs als het zijn SSID niet uitzendt. Het netwerk zendt nog steeds zijn aanwezigheid uit via beaconframes in beide richtingen; het bevat gewoon niet de SSID in het bakenframe als die optie is aangevinkt. De SSID is eenvoudig te verkrijgen uit bestaand netwerkverkeer.
MAC-filtering is ook niet erg nuttig. Het zou de scriptkiddie die een WEP-crack heeft gedownload even kunnen vertragen, maar het zal zeker niemand stoppen die weet wat ze doen, aangezien ze gewoon een legitiem MAC-adres kunnen vervalsen.
Wat WEP betreft, het is volledig kapot. De sterkte van uw wachtwoord maakt hier niet zoveel uit. Als u WEP gebruikt, kan iedereen software downloaden die vrij snel in uw netwerk zal inbreken, zelfs als u een sterk wachtwoord heeft.
WPA is aanzienlijk veiliger dan WEP, maar wordt nog steeds als verbroken beschouwd. Als uw hardware WPA ondersteunt maar niet WPA2, is het beter dan niets, maar een vastberaden gebruiker kan het waarschijnlijk kraken met de juiste tools.
WPS (Wireless Protected Setup) is de vloek van netwerkbeveiliging. Schakel het uit, ongeacht welke netwerkversleutelingstechnologie u gebruikt.
WPA2, met name de versie die AES gebruikt, is redelijk veilig. Als je een correct wachtwoord hebt, zal je vriend niet in je WPA2-beveiligde netwerk komen zonder het wachtwoord te krijgen. Als de NSA nu probeert in uw netwerk te komen, is dat een andere zaak. Dan moet u uw draadloze verbinding gewoon helemaal uitschakelen. En waarschijnlijk ook uw internetverbinding en al uw computers. Als je genoeg tijd en middelen hebt, kan WPA2 (en al het andere) worden gehackt, maar het zal waarschijnlijk veel meer tijd en meer mogelijkheden vergen dan je gemiddelde hobbyist tot zijn beschikking zal hebben.
Zoals David zei, is de echte vraag niet “Kan dit worden gehackt?”, Maar eerder: “Hoe lang duurt het voordat iemand met een bepaalde reeks mogelijkheden het hackt?”. Het is duidelijk dat het antwoord op die vraag sterk varieert met betrekking tot wat die specifieke reeks capaciteiten is. Hij heeft ook absoluut gelijk dat beveiliging in lagen moet gebeuren. Dingen waar u om geeft, mogen niet over uw netwerk gaan zonder eerst te zijn gecodeerd. Dus als iemand in uw draadloze verbinding inbraak, zouden ze niet in iets zinvols moeten kunnen komen, behalve misschien uw internetverbinding gebruiken. Elke communicatie die veilig moet zijn, moet nog steeds een sterk versleutelingsalgoritme gebruiken (zoals AES), mogelijk ingesteld via TLS of een dergelijk PKI-schema. Zorg ervoor dat uw e-mail en ander gevoelig webverkeer gecodeerd is en dat u geen services (zoals het delen van bestanden of printers) op uw computers uitvoert zonder dat het juiste authenticatiesysteem is geïnstalleerd.
Iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden lezen van andere technisch onderlegde Stack Exchange-gebruikers? Bekijk hier de volledige discussiethread .
