Iako se većina nas najvjerojatnije nikada ne treba brinuti o tome da netko hakira našu Wi-Fi mrežu, koliko bi bilo teško za entuzijasta cjepkati osobu Wi-Fi mrežu? Danas SuperUser Q & A post ima odgovore na pitanja jednog čitatelja o sigurnosti Wi-Fi mreže.
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
Fotografija ljubaznošću Brian Kluga (Flickr).
Čitač SuperUser Sec želi znati je li za većinu entuzijasta doista moguće za hackiranje Wi-Fi mreža:
Čuo sam od pouzdanog stručnjaka za računalnu sigurnost da većina entuzijasta (čak i ako nisu stručnjaci) koriste samo vodiče s interneta i specijalizirani softver (npr. Kali Linux s uključenim alatima), mogu proći kroz sigurnost vašeg kućnog usmjerivača.
Ljudi tvrde da je to moguće čak i ako imate:
- Jaka mrežna lozinka
- Jaka lozinka usmjerivača
- Skrivena mreža
- MAC filtriranje
Želim znati je li to mit ili ne. Ako usmjerivač ima snažnu lozinku i MAC filtriranje, kako se to može zaobići (sumnjam da koriste brutalnu silu)? Ili ako je to skrivena mreža, kako to mogu otkriti, a ako je moguće, što možete učiniti da bi vaša kućna mreža stvarno bila sigurna?
Kao mladi student računalnih znanosti, osjećam se loše, jer ponekad hobisti raspravljaju sa mnom o takvim temama i nemam snažne argumente ili ih ne mogu tehnički objasniti.
Je li to doista moguće, a ako je tako, koje su "slabe" točke u Wi-Fi mreži na kojoj bi se entuzijasta usredotočila?
Davatelji SuperUser-a davidgo i reirab imaju odgovor za nas. Prvo, davidgo:
Bez argumenata semantike, da, izjava je istinita.
Postoji više standarda za Wi-Fi enkripciju, uključujući WEP, WPA i WPA2. WEP je ugrožen, pa ako ga koristite, čak i uz snažnu lozinku, može se trivijalno slomiti. Vjerujem da je WPA i WPA2 puno teže ispucati (ali možda imate sigurnosne probleme vezane uz WPS koji to zaobiđete). Također, čak i razumno teške lozinke mogu biti brutalno prisiljene. Moxy Marlispike, poznati haker nudi uslugu za to oko 30 dolara pomoću cloud computinga - iako to nije zajamčeno.
Jaka lozinka usmjerivača neće učiniti ništa kako bi spriječilo nekoga na Wi-Fi strani da prenosi podatke putem usmjerivača, pa je to beznačajno.
Skrivena mreža je mit. Iako postoje okviri za stvaranje mreže koja se ne pojavljuje na popisu stranica, klijenti nadgledaju WIFI usmjerivač, stoga njegova prisutnost je trivijalno otkrivena.
MAC filtriranje je šala jer se mnogi (većini / svi?) Wi-Fi uređaji mogu programirati / reprogramirati za kloniranje postojeće MAC adrese i zaobići MAC filtriranje.
Mrežna sigurnost je veliki predmet, a ne nešto prikladno za SuperUser pitanje. No, osnove su da se sigurnost gradi u slojevima tako da čak i ako su neki ugroženi, nisu svi. Također, svaki sustav može biti prodoran s obzirom na dovoljno vremena, resursa i znanja; tako da sigurnost zapravo nije toliko pitanje "može li biti sjeckan", nego "koliko dugo će to" hackirati. WPA i sigurna lozinka štite od "Joe Average".
Ako želite poboljšati zaštitu svoje Wi-Fi mreže, možete ga pregledati samo kao transportni sloj, a zatim šifrirati i filtrirati sve što ide preko tog sloja. To je prevelika količina za veliku većinu ljudi, ali jedan od načina na koji biste to mogli učiniti jest postavljanje usmjerivača da dopusti pristup određenom VPN poslužitelju pod vašom kontrolom i zahtijeva od svakog klijenta autentifikaciju preko Wi-Fi veze VPN. Dakle, čak i ako je Wi-Fi ugrožen, postoje drugi (teži) slojevi da bi porazili. Podskup tog ponašanja nije neuobičajen u velikim korporativnim okruženjima.
Jednostavnija alternativa boljem osiguravanju kućne mreže je potpuno Wi-Fi i zahtijevaju samo cabled rješenja. Ako imate stvari poput mobitela ili tableta, to možda neće biti praktično. U tom slučaju možete ublažiti rizike (sigurno ih ne eliminirati) smanjivanjem jačine signala vašeg usmjerivača. Također možete zaštititi svoj dom kako bi se vaša frekvencija smanjila. Nisam to učinio, ali jaka glasina (istražena) ima da čak i aluminijska mreža (poput letačkog zaslona) preko vanjskog dijela vaše kuće s dobrim uzemljenjem može napraviti veliku razliku od količine signala koji će pobjeći. Ali, naravno, pokrivenost mobitela.
Na prednjoj strani zaštite, drugu alternativu može biti da dobijete usmjerivač (ako je to sposoban, većina ne, ali zamisliti da routeri koji trčanje openwrt i eventualno rajčica / dd-wrt mogu) zapisivati sve pakete koji prolaze kroz vašu mrežu i držati ga na oku. Čak i praćenje anomalija s ukupnim bajtovima ui izvan različitih sučelja može vam dati dobar stupanj zaštite.
Na kraju dana, možda se postavlja pitanje: "Što trebam učiniti kako ne bi bilo vrijedno slučajnog hakerskog vremena prodrijeti u moju mrežu?" Ili "Koji je stvarni trošak da moja mreža bude ugrožena?", i ide odande. Ne postoji brz i jednostavan odgovor.
Slijedi odgovor tvrtke Reirab:
Kao što su drugi rekli, skrivanje SSID-a trivijalan je za prekid. U stvari, mreža će se prema zadanim postavkama prikazati na popisu mreža sustava Windows 8 čak i ako ne emitira SSID. Mreža i dalje odašilje svoju prisutnost putem beacon okvira bilo kojim putem; to jednostavno ne uključuje SSID u beacon okvir ako je ta opcija označena. SSID je trivijalan za dobivanje iz postojećeg mrežnog prometa.
MAC filtriranje također nije od velike pomoći. To bi moglo nakratko usporiti scenarij skriptu koji je preuzeo WEP ispucati, ali definitivno neće zaustaviti nikoga tko zna što rade, budući da mogu samo varati legitimnu MAC adresu.
Što se tiče WEP-a, to je potpuno slomljeno. Snaga lozinke ovdje nije važna. Ako koristite WEP, svatko može preuzeti program koji će brzo upasti u vašu mrežu, čak i ako imate jaku zaporku.
WPA je znatno sigurniji od WEP-a, ali se i dalje smatra prekidima. Ako vaš hardver podržava WPA, ali ne WPA2, to je bolje od ničega, ali određeni korisnik vjerojatno ga može slomiti pravim alatima.
WPS (bežično zaštićeno podešavanje) je zlouporaba mrežne sigurnosti. Onemogućite ga bez obzira na tehnologiju šifriranja mreže koju koristite.
WPA2, osobito inačica koja koristi AES, prilično je sigurna. Ako imate zaporku za spuštanje, vaš prijatelj neće ući u vašu sigurnu mrežu WPA2 bez dobivanja zaporke. Sada, ako NSA pokušava ući u vašu mrežu, to je još jedna stvar. Zatim trebate isključiti bežičnu vezu. A vjerojatno i vaša internetska veza i sva vaša računala. S obzirom na dovoljno vremena i resursa, WPA2 (i bilo što drugo) može biti hakiran, ali vjerojatno će zahtijevati puno više vremena i puno više mogućnosti od vašeg prosječnog hobistanta koji će imati na raspolaganju.
Kao što je rekao David, pravi pitanje nije "Može li se to sjeckati?", Već, "Koliko dugo će netko s određenim skupom sposobnosti da ga hakira?". Očito, odgovor na to pitanje uvelike se razlikuje s obzirom na to što je to određeni skup mogućnosti. Također je apsolutno točan da se sigurnost treba obaviti u slojevima. Stavke koje vas zanimaju ne bi trebale prelaziti vašu mrežu bez prethodno kriptirane. Dakle, ako netko upadne u vašu bežičnu mrežu, ne bi smjela biti u mogućnosti ući u bilo što smisleno, osim možda putem internetske veze. Svaka komunikacija koja mora biti sigurna trebala bi još uvijek koristiti snažan algoritam šifriranja (kao što je AES), moguće postaviti putem TLS-a ili nekog takvog PKI shema. Provjerite je li vaša e-pošta i neki drugi osjetljivi web promet kriptirani te da na svojim računalima ne koristite nikakve usluge (poput dijeljenja datoteke ili pisača) bez odgovarajućeg sustava provjere autentičnosti.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
