Mājas lapa » » Vai vairumam entuziastu ir tiešām iespējams sakaut Wi-Fi tīklus?

    Vai vairumam entuziastu ir tiešām iespējams sakaut Wi-Fi tīklus?

    Lai gan lielākā daļa no mums, visticamāk, nekad nebūs jāuztraucas par to, ka kāds uzbrūk mūsu Wi-Fi tīklam, cik grūti tas būtu entuziastam hackēt personas Wi-Fi tīklu? Šodienas SuperUser Q&A ziņojumam ir atbildes uz viena lasītāja jautājumiem par Wi-Fi tīkla drošību.

    Šodienas jautājumu un atbilžu sesija mums dod pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienas orientēta Q & A tīmekļa vietņu grupa.

    Foto pieklājīgi no Brian Klug (Flickr).

    Jautājums

    SuperUser lasītājs Sec vēlas uzzināt, vai vairumam entuziastu ir tiešām iespējams iebrukt Wi-Fi tīklus:

    Es no uzticama datora drošības eksperta dzirdēju, ka lielākā daļa entuziastu (pat ja viņi nav profesionāļi), izmantojot tikai interneta un specializētās programmatūras ceļveži (t.i., Kali Linux ar iekļautajiem instrumentiem), var izjaukt jūsu mājas maršrutētāja drošību.

    Cilvēki apgalvo, ka tas ir iespējams arī tad, ja jums ir:

    • Spēcīga tīkla parole
    • Spēcīga maršrutētāja parole
    • Slēpts tīkls
    • MAC filtrēšana

    Es gribu zināt, vai tas ir mīts vai nē. Ja maršrutētājam ir spēcīga parole un MAC filtrēšana, kā to var apiet (es šaubos, ka tie izmanto brutālu spēku)? Vai, ja tas ir slēpts tīkls, kā viņi to var atklāt un, ja iespējams, ko jūs varat darīt, lai padarītu jūsu mājas tīklu patiešām drošu?

    Kā junioru datorzinātnes students, es jūtos slikti, jo dažreiz hobbyists ar mani runā par šādiem tematiem, un man nav spēcīgu argumentu vai to nevar tehniski izskaidrot.

    Vai tas tiešām ir iespējams, un, ja tā, tad kādi ir vājie punkti Wi-Fi tīklā, uz kuru entuziasts koncentrējas?

    Atbilde

    SuperUser ziedotājiem davidgo un reirab ir atbilde. Pirmkārt, davidgo:

    Neapstrīdot semantiku, jā, apgalvojums ir taisnība.

    Wi-Fi šifrēšanai ir vairāki standarti, tostarp WEP, WPA un WPA2. WEP ir apdraudēta, tāpēc, ja jūs to lietojat, pat ar spēcīgu paroli, tas var būt triviāli bojāts. Es uzskatu, ka WPA un WPA2 ir daudz grūtāk saplēst (taču jums var būt drošības jautājumi saistībā ar WPS, kas to apiet). Arī pat visnotaļ grūti salasāmās paroles var būt nežēlīgas. Moxy Marlispike, labi zināms hakeris, piedāvā pakalpojumu, lai to izdarītu aptuveni 30 ASV dolāru apmērā, izmantojot mākoņdatošanu - lai gan tas nav garantēts.

    Spēcīga maršrutētāja parole neko nedarīs, lai nepieļautu, ka kāds no Wi-Fi puses pārraida datus caur maršrutētāju, tāpēc tas nav svarīgi.

    Slēpts tīkls ir mīts. Kaut arī ir kastes, lai izveidotu tīklu, kas nav redzams vietņu sarakstā, klienti norāda WIFI maršrutētāju, tādējādi tā klātbūtne ir triviāli atklāta.

    MAC filtrēšana ir joks, jo daudzas (visas / visas?) Wi-Fi ierīces var programmēt / pārprogrammēt, lai klonētu esošo MAC adresi un apietu MAC filtrēšanu.

    Tīkla drošība ir liels priekšmets, un tas nav kaut kas, kas ir pakļauts SuperUser jautājumam. Bet pamati ir tādi, ka drošība tiek veidota slāņos, lai pat tad, ja daži ir apdraudēti, ne visi ir. Jebkura sistēma var iekļūt arī ar pietiekamu laiku, resursiem un zināšanām; tāpēc drošība patiesībā nav tik daudz jautājumu par to, vai tas var būt hacked, bet gan „cik ilgi tas būs vajadzīgs”. WPA un droša paroles aizsardzība pret „Joe Average”.

    Ja vēlaties uzlabot Wi-Fi tīkla aizsardzību, varat to apskatīt tikai kā transporta slāni, tad šifrēt un filtrēt visu, kas notiek šajā slānī. Tas ir pārspīlēts lielākai daļai cilvēku, bet viens no veidiem, kā to izdarīt, būtu iestatīt maršrutētāju tikai piekļūt noteiktam VPN serverim, kas atrodas jūsu kontrolē, un pieprasīt, lai katrs klients autentificētu Wi-Fi savienojumu visā VPN. Tādējādi, pat ja Wi-Fi ir apdraudēts, ir citi (grūtāk) slāņi, lai sakautu. Šīs uzvedības apakškopa lielās korporatīvās vidēs nav nekas neparasts.

    Vienkāršāka alternatīva labākai mājas tīkla nodrošināšanai ir pilnībā pieslēgt Wi-Fi un pieprasīt tikai šķeterētus risinājumus. Ja jums ir tādas lietas kā mobilie tālruņi vai tabletes, tas var nebūt praktiski. Šādā gadījumā jūs varat mazināt riskus (protams, tos nenovēršot), samazinot maršrutētāja signāla stiprumu. Jūs varat arī pasargāt savu māju tā, lai jūsu frekvence būtu mazāk noplūde. Es to neesmu darījis, bet spēcīga baumas (izpētītas) ir tāda, ka pat alumīnija siets (piemēram, lidojuma ekrāns) pāri jūsu mājas ārpusei ar labu zemējumu var dot milzīgu atšķirību signāla apjomam, kas aizbēg. Bet, protams, mobilo telefonu pārklājums.

    Aizsardzības priekšpusē cita alternatīva var būt, lai saņemtu savu maršrutētāju (ja tas spēj to izdarīt, lielākā daļa nav, bet es domāju, ka maršrutētāji, kas darbojas openwrt un, iespējams, tomātu / dd-wrt var), var pieteikties visām paketēm, kas šķērso jūsu tīklu un turot acu par to. Pat tikai pārraudzība par anomālijām ar kopējiem baitiem dažādās saskarnēs un ārpus tām var nodrošināt labu aizsardzību.

    Galu galā, varbūt jautājums, kas jāuzdod, ir „Kas man jādara, lai nebūtu vērts nejauši hacker laika iekļūt manā tīklā?” Vai „Kādas ir manas tīkla reālās izmaksas?”, un no turienes. Nav ātras un vieglas atbildes.

    Seko atbilde no reirab:

    Kā citi teica, SSID slēpšana ir niecīga, lai pārtrauktu. Faktiski jūsu tīkls pēc noklusējuma parādīsies Windows 8 tīkla sarakstā, pat ja tas netiks pārraidīts tās SSID. Tīkls joprojām pārraida savu klātbūtni, izmantojot bāka signāla rāmjus; tas vienkārši neietver SSID bāka korpusā, ja šī opcija ir atzīmēta. SSID ir mazsvarīgs, lai iegūtu no esošās tīkla satiksmes.

    Arī MAC filtrēšana nav ļoti noderīga. Tas var īslaicīgi palēnināt skriptu kiddie, kas lejupielādēja WEP kreka, bet tas noteikti neapturēs ikvienu, kas zina, ko dara, jo viņi var tikai apgrūtināt likumīgu MAC adresi.

    Runājot par WEP, tas ir pilnīgi bojāts. Jūsu paroles stiprums šeit nav svarīgs. Ja izmantojat WEP, ikviens var ātri lejupielādēt programmatūru, kas jūsu tīklā ielauzsies, pat ja jums ir spēcīga parole.

    WPA ir ievērojami drošāka nekā WEP, bet joprojām tiek uzskatīta par bojātu. Ja jūsu aparatūra atbalsta WPA, bet ne WPA2, tā ir labāka nekā nekas, bet noteikts lietotājs, iespējams, var to kreka ar pareizajiem instrumentiem.

    WPS (Wireless Protected Setup) ir tīkla drošība. Atspējojiet to neatkarīgi no tīkla šifrēšanas tehnoloģijas.

    WPA2, jo īpaši tās versija, kas izmanto AES, ir diezgan droša. Ja jums ir nolaišanās parole, jūsu draugs nesaņems jūsu WPA2 nodrošināto tīklu, nesaņemot paroli. Tagad, ja VDI mēģina iekļūt jūsu tīklā, tas ir vēl viens jautājums. Tad jums vajadzētu pilnībā izslēgt bezvadu tīklu. Un, iespējams, arī jūsu interneta pieslēgums un visi jūsu datori. Ņemot vērā pietiekami daudz laika un resursu, WPA2 (un kaut kas cits) var būt hacked, bet tas, visticamāk, prasīs daudz vairāk laika un daudz vairāk iespēju, nekā jūsu vidējais hobists būs rīcībā.

    Kā teica Dāvids, īstais jautājums nav „Vai tas var būt hacked?”, Bet gan „Cik ilgi tas aizņems kādu ar noteiktu spēju komplektu, lai to noķertu?”. Protams, atbilde uz šo jautājumu ir ļoti atšķirīga attiecībā uz to, kas ir šis īpašais spēju kopums. Viņš arī ir absolūti pareizi, ka drošība jāveic slāņos. Stuff, kas jums rūp, nevajadzētu iet tīklā bez pirmās šifrēšanas. Tātad, ja kāds ielaužas jūsu bezvadu tīklā, viņiem nevajadzētu būt iespējai nonākt kaut ko nozīmīgā vietā, iespējams, izmantojot savu interneta pieslēgumu. Jebkurai saziņai, kurai jābūt drošai, joprojām jāizmanto spēcīgs šifrēšanas algoritms (piemēram, AES), iespējams, izveidots, izmantojot TLS vai kādu šādu PKI shēmu. Pārliecinieties, vai jūsu e-pasts un jebkura cita jutīga tīmekļa plūsma ir šifrēta un ka datoros netiek rādīti nekādi pakalpojumi (piemēram, failu vai printeru koplietošana) bez pareizas autentifikācijas sistēmas.


    Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.