Je li to stvarno moguće za većinu entuzijasta Hack Wi-Fi mreže?
Iako većina nas vjerojatno neće morati brinuti o tome da netko hakira našu Wi-Fi mrežu, koliko će teško biti za entuzijaste koji hakiraju neku Wi-Fi mrežu? Današnja postova s pitanjima o odgovorima korisnika imaju odgovore na pitanja čitatelja o sigurnosti Wi-Fi mreže.
Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.
Fotografija ljubaznošću Brian Kluga (Flickr).
Pitanje
Čitač SuperUser Sec želi znati je li za većinu entuzijasta zaista moguće hakirati Wi-Fi mreže:
Čuo sam od pouzdanog stručnjaka za računalnu sigurnost da većina entuzijasta (čak i ako nisu profesionalci) koji koriste samo vodiče s Interneta i specijaliziranog softvera (npr. Kali Linux s uključenim alatima), mogu probiti sigurnost vašeg kućnog usmjerivača.
Ljudi tvrde da je to moguće čak i ako imate:
- Jaka mrežna zaporka
- Jaka lozinka usmjerivača
- Skrivena mreža
- MAC filtriranje
Želim znati je li ovo mit ili ne. Ako ruter ima jaku lozinku i filtriranje MAC-a, kako se to može zaobići (sumnjam da koriste brutalnost)? Ili ako je to skrivena mreža, kako je mogu otkriti, a ako je moguće, što možete učiniti kako bi vaša kućna mreža bila zaista sigurna?
Kao student studenta računalne znanosti, osjećam se loše jer se ponekad hobisti prepiru sa mnom o takvim temama i nemam jake argumente ili tehnički ne mogu to objasniti..
Je li to stvarno moguće, i ako je tako, koje su to "slabe" točke u Wi-Fi mreži koje bi se entuzijasta usredotočila na?
Odgovor
SuperUser suradnici davidgo i reirab imaju odgovor za nas. Prvo gore, davidgo:
Bez argumentiranja semantike, da, izjava je istinita.
Postoji više standarda za Wi-Fi enkripciju, uključujući WEP, WPA i WPA2. WEP je kompromitiran, pa ako ga koristite, čak i uz jaku zaporku, može biti trivijalno slomljen. Vjerujem da su WPA i WPA2 mnogo teže ispucati iako (ali možda imate sigurnosna pitanja vezana uz WPS koji zaobilaze ovo). Također, čak i razumno tvrde lozinke mogu biti grube. Moxy Marlispike, poznati haker, nudi uslugu za 30 USD koristeći cloud computing - iako nije zajamčeno.
Snažna lozinka usmjerivača neće učiniti ništa kako bi spriječila da netko na Wi-Fi strani prenosi podatke putem usmjerivača, tako da je to nevažno.
Skrivena mreža je mit. Iako postoje kvadratići za stvaranje mreže koja se ne pojavljuje na popisu web-lokacija, klijenti odašilju WIFI usmjerivač, stoga je njegova prisutnost trivijalno otkrivena..
Filtriranje MAC-a je šala, budući da se mnogi (većina / svi?) Wi-Fi uređaji mogu programirati / reprogramirati za kloniranje postojeće MAC adrese i zaobići filtriranje MAC-a.
Sigurnost mreže je velika tema, a ne nešto što je moguće podvrgnuti pitanju SuperUser. No, osnove su da je sigurnost izgrađena u slojevima, tako da čak i ako su neki kompromitirani, nisu svi. Isto tako, bilo koji sustav se može prodrijeti s obzirom na dovoljno vremena, resursa i znanja; tako da sigurnost zapravo nije toliko pitanje "može li biti hakirana", već "koliko dugo će trebati" za hakiranje. WPA i sigurna zaštita zaporkom od "Joe Average".
Ako želite poboljšati zaštitu svoje Wi-Fi mreže, možete je vidjeti samo kao transportni sloj, a zatim šifrirati i filtrirati sve što prelazi preko tog sloja. To je pretjerano za veliku većinu ljudi, ali jedan od načina da to učinite jest da postavite usmjerivač samo da dopusti pristup određenom VPN poslužitelju pod vašom kontrolom i da svaki klijent zahtijeva provjeru autentičnosti preko Wi-Fi veze preko VPN. Dakle, čak i ako je Wi-Fi kompromitiran, postoje i drugi (teži) slojevi za poraz. Podskup takvog ponašanja nije neuobičajen u velikim korporativnim okruženjima.
Jednostavnija alternativa boljem osiguravanju kućne mreže je potpuno odbaciti Wi-Fi i zahtijevati samo kablovska rješenja. Ako imate stvari poput mobitela ili tableta, to možda neće biti praktično. U tom slučaju možete smanjiti rizike (svakako ih ne eliminirati) smanjivanjem jačine signala vašeg usmjerivača. Također možete zaštititi svoj dom tako da vaša frekvencija propušta manje. Nisam to učinio, ali jake glasine (istražene) su da čak i aluminijske mreže (poput letjeti zaslon) preko izvan vaše kuće s dobrim uzemljenje može napraviti veliku razliku u iznosu od signala koji će pobjeći. Ali, naravno, pokrivenost bajunskim mobitelom.
Na fronti zaštite, još jedna alternativa može biti da dobijete svoj usmjerivač (ako je sposoban to učiniti, većina nije, ali ja bih zamisliti usmjerivače koji rade openwrt i eventualno rajčice / dd-wrt mogu) za zapisivanje svih paketa koji prelaze vašu mrežu i držati na oku. Čak i samo praćenje za anomalije s ukupnim bajtovima unutar i izvan različitih sučelja može vam pružiti dobar stupanj zaštite.
Na kraju krajeva, možda je pitanje koje se postavlja: "Što trebam učiniti da ne bi bilo vrijedno slučajnog hakerskog vremena da prodre u moju mrežu?" Ili "Koja je stvarna cijena za kompromitiranje moje mreže?", i odande. Nema brzog i jednostavnog odgovora.
Slijedi odgovor iz reirab:
Kao što su drugi rekli, SSID skrivanje je trivijalno za prekid. Zapravo, vaša će se mreža prema zadanim postavkama pojaviti na popisu mreža u sustavu Windows 8 čak i ako ne emitira svoj SSID. Mreža još uvijek emitira svoju prisutnost putem okvira svjetionika u svakom slučaju; on samo ne uključuje SSID u okvir za praćenje ako je ta opcija označena. SSID je trivijalan za dobivanje iz postojećeg mrežnog prometa.
MAC filtriranje nije od velike pomoći. To bi moglo nakratko usporiti kiddie skripte koje je preuzelo WEP crack, ali to definitivno neće zaustaviti nikoga tko zna što rade, budući da oni mogu samo prevariti legitimnu MAC adresu..
Što se tiče WEP-a, on je potpuno slomljen. Snaga zaporke ovdje nije bitna. Ako koristite WEP, svatko može brzo preuzeti softver koji će provaliti u vašu mrežu, čak i ako imate jaku zaporku.
WPA je znatno sigurniji od WEP-a, ali se i dalje smatra da je pokvaren. Ako vaš hardver podržava WPA, ali ne i WPA2, to je bolje nego ništa, ali određeni korisnik ga vjerojatno može ispucati s pravim alatima.
WPS (Wireless Protected Setup) je zaštita sigurnosti mreže. Onemogućite ga bez obzira na to koju tehnologiju mrežnog šifriranja koristite.
WPA2, osobito njegova verzija koja koristi AES, vrlo je sigurna. Ako imate lozinku za spuštanje, vaš prijatelj neće ući u vašu WPA2 zaštićenu mrežu bez dobivanja lozinke. Ako NSA pokušava ući u vašu mrežu, to je druga stvar. Tada biste trebali isključiti bežičnu mrežu u cijelosti. I vjerojatno vaša internetska veza i sva vaša računala. S obzirom na dovoljno vremena i resursa, WPA2 (i bilo što drugo) može biti hakiran, ali vjerojatno će zahtijevati puno više vremena i puno više mogućnosti nego što će prosječni hobi imati na raspolaganju.
Kao što je David rekao, pravo pitanje nije "Može li to biti hakiran?", Nego, "Koliko će dugo trebati nekome s određenim skupom sposobnosti da ga hakira?". Očito, odgovor na to pitanje uvelike varira s obzirom na to što je određeni skup sposobnosti. Također je apsolutno u pravu da bi sigurnost trebala biti izvršena u slojevima. Stvari do kojih vam je stalo ne bi smjelo prelaziti vašu mrežu bez šifriranja. Dakle, ako netko provali u vaš bežični, oni ne bi trebali biti u mogućnosti da biste dobili u ništa smislene osim ako možda koristite internetsku vezu. Svaka komunikacija koja treba biti sigurna trebala bi i dalje koristiti snažan algoritam šifriranja (kao što je AES), možda postavljen putem TLS-a ili neke takve PKI sheme. Provjerite je li vaša e-pošta i bilo koji drugi osjetljivi mrežni promet šifrirani i da na svojim računalima ne koristite nikakve usluge (kao što je dijeljenje datoteka ili pisača) bez odgovarajućeg sustava provjere autentičnosti.
Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.