Чи реально для більшості ентузіастів зламати Wi-Fi у людей?


157

Чи можуть найбільш захоплені користувачі (навіть якщо вони не є професіоналами) використовувати відомі методи, щоб пробити безпеку середнього домашнього маршрутизатора?

Деякі основні параметри безпеки:

  • міцний мережевий пароль з різними методами шифрування
  • користувальницький пароль доступу до маршрутизатора
  • WPS
  • відсутність трансляції SSID
  • Фільтрація MAC-адреси

Чи є деякі з цих порушених і що робити, щоб зробити домашню мережу більш захищеною?


26
За допомогою правильних інструментів і достатнього часу все можливо.
joeqwerty

61
Фільтрування MAC абсолютно безглуздо
Ramhound

12
@Mondrianaire Для доступу до Інтернету моя мережа коледжу вимагала реєстрації, а пізніше буде ідентифікувати вас за MAC-адресою. Було неправдиво підробляти адресу одного з моїх сусідів з гуртожитку. Якби я зробив щось погане, використовуючи це з'єднання, було б визначено, як вона це робить. Я б сказав, що фільтрація MAC-адрес - одна з тих речей, яка занадто проста для створення помилкового почуття безпеки.
Ізката

8
Ну я кажу, що фільтрація MAC - це не функція безпеки
Рамхаунд,

10
@Mondrianaire - це вводить дірку. Якщо хтось маскує свою MAC-адресу як адресу-ось, це одна менш підказка, що хтось, хто не повинен там бути, був у вашій мережі. Якщо ви не фільтруєте MAC-адреси, вони, ймовірно, не будуть робити це.
Compro01

Відповіді:


147

Не аргументуючи семантику, так твердження вірно.

Існує кілька стандартів для шифрування WIFI, включаючи WEP, WPA та WPA2. WEP скомпрометований, тож якщо ви користуєтесь ним, навіть із надійним паролем, він може бути тривіально зламаний. Я вважаю, що WPA набагато важче зламати (але у вас можуть виникнути проблеми із безпекою, пов’язані з WPS, які це обходять), а з жовтня 2017 року WPA2 також пропонує сумнівну безпеку. Крім того, навіть досить жорсткі паролі можуть бути вимушеними - Moxie Marlinspike - відомий хакер пропонує послугу зробити це за 17 доларів США за допомогою хмарних обчислень - хоча це не гарантується.

Сильний пароль маршрутизатора нічого не завадить перешкоджати передачі даних через бік WIFI через маршрутизатор, тому це не має значення.

Прихована мережа є міфом - хоча в списку сайтів існують вікна, щоб мережа не відображалася, клієнти передають маршрутизатор WIFI, таким чином його презентація виявляється тривіально.

MAC-фільтрація - це жарт, оскільки багато (більшість / всіх?) WIFI-пристроїв можуть бути запрограмовані / перепрограмовані для клонування існуючої MAC-адреси та обходу MAC-фільтрації.

Безпека мережі - це велика тема, і це не щось, що піддається питанню суперусера, але основи полягають у тому, що безпека складається в шарах, так що навіть якщо деякі ставлять під загрозу не всі - також, будь-яку систему можна проникнути, даючи достатньо часу, ресурсів і знання, тому безпека насправді не стільки питання про те, "чи можна її зламати", скільки "скільки часу знадобиться", щоб зламати. WPA та захищений пароль захищають від "Joe Average".

Якщо ви хочете підвищити захист своєї мережі WIFI, ви можете розглядати її лише як транспортний шар, а також шифрувати та фільтрувати все, що відбувається через цей шар. Це є надмірним для переважної більшості людей, але один із способів, як ви могли це зробити, - це встановити маршрутизатор таким чином, щоб дозволити доступ лише до заданого сервера VPN, який знаходиться під вашим контролем, і вимагати від кожного клієнта аутентифікації через з'єднання WIFI через VPN - таким чином, навіть якщо WIFI порушений, є інші [більш важкі] шари для перемоги. Підмножина такої поведінки не є рідкістю у великих корпоративних середовищах.

Більш простою альтернативою для кращого забезпечення домашньої мережі є взагалі викопати WIFI і вимагати лише кабельних рішень. Якщо у вас є такі речі, як мобільні телефони або планшети, це може бути не практично. У цьому випадку ви можете пом'якшити ризики (точно не усунути їх), зменшивши силу сигналу вашого маршрутизатора. Ви також можете захистити свій будинок, щоб частота протікала менше - я цього не робив, але сильний слух (досліджений) говорить про те, що навіть алюмінієва сітка (як мухокрила) по зовнішній стороні вашого будинку, при хорошому заземленні може зробити величезну різниця в кількості сигналу, який вийде. [Але, звичайно, до побачення на мобільний телефон]

На фронті захисту, іншою альтернативою може стати отримання маршрутизатора (якщо він здатний це зробити, більшість це не так, але я б уявив, що маршрутизатори працюють openwrt і, можливо, помідори / dd-wrt можуть), щоб реєструвати всі пакети, що проходять через вашу мережу. і слідкувати за цим - Пекло, навіть просто моніторинг аномалій із загальним байтом у різних інтерфейсах може забезпечити вам хороший ступінь захисту.

Зрештою, можливо, питання, яке потрібно задати, - "Що мені потрібно зробити, щоб випадкові хакерські часи не могли проникнути в мою мережу" або "Яка реальна ціна порушення моєї мережі", і вийти звідти. Швидкої та простої відповіді немає.

Оновлення - жовтень 2017 року

Більшість клієнтів, які використовують WPA2, якщо не виправлено, можуть відображати трафік у простому тексті, використовуючи "Key Atinstalation Attacks - KRACK" - що є слабкою стороною стандарту WPA2. Зокрема, це не дає доступу до мережі або PSK лише до трафіку цільового пристрою.


2
Так, хтось може змінити свою MAC-адресу на білу списку, але чи не це: a) не викликає негайно помітних проблем у початкового власника MAC-адреси, і b) чи не є це якась незрозуміла безпека через неясність? Коли комп’ютер транслює свій MAC в чистоті по домашній мережі?
яскраво-зірка

3
Найпоширеніший час, коли комп'ютер виставляє MAC-адресу - це коли він використовує мережеве з'єднання - не дуже рідко. Що ж стосується незрозумілого - воно не затьмарене відносно контексту питання, що може зробити ентузіаст, який, імовірно, включає ефективний веб-пошук.
Рам

2
@landroni - Ні, не легко, проте якщо пароль складається з загальних слів, з’єднаних разом, він все ще добре знаходиться в царині розтріскування. Зламування не потрібно робити машині, яка намагається підключитися - скоріше вона може збирати потрібну інформацію та надсилати її у хмару, щоб зламати з набагато більшою кількістю енергії, ресурсів і навіть райдужних таблиць. Випадковий пароль з 20 символів буде дуже непоганим. Погляньте на cloudcracker.com
davidgo

2
@clabacchio, тому що зараз ти сильно незручно поставив своїх користувачів?
Cruncher

1
@clabacchio повністю відключивши мережу, також зробить її більш "безпечною". Чи були б користувачі задоволені цим?
o0 '.

52

Як вже говорили інші, SSID-приховування тривіально зруйнувати. Насправді ваша мережа за замовчуванням з’явиться у списку мереж Windows 8, навіть якщо вона не транслює свій SSID. Мережа все ще передає свою присутність через маякові кадри в будь-якому випадку; він просто не включає SSID у кадрі маяка, якщо цей параметр позначений. SSID є тривіальним для отримання з існуючого мережевого трафіку.

MAC-фільтрація теж не дуже корисна. Це може ненадовго уповільнити сценарію малюка, який завантажив тріщину WEP, але це точно не зупинить тих, хто знає, що вони роблять, оскільки вони можуть просто підробляти законну MAC-адресу.

Що стосується WEP, то він повністю порушений. Сила вашого пароля тут не має великого значення. Якщо ви використовуєте WEP, будь-хто може завантажити програмне забезпечення, яке досить швидко прорветься до вашої мережі, навіть якщо у вас є чітка пароль.

WPA значно безпечніше, ніж WEP, але все ще вважається порушеним. Якщо ваше обладнання підтримує WPA, але не WPA2, це краще, ніж нічого, але певний користувач, можливо, може зламати його за допомогою правильних інструментів.

WPS (захищена бездротова установка) є ланкою безпеки мережі. Вимкніть його незалежно від технології мережевого шифрування, яку ви використовуєте.

WPA2 - зокрема його версія, яка використовує AES - є досить безпечною. Якщо у вас гідний пароль, ваш друг не збирається потрапляти у вашу захищену мережу WPA2, не отримуючи пароль. Тепер, якщо АНБ намагається проникнути у вашу мережу, це вже інша справа. Тоді слід просто повністю вимкнути бездротовий зв'язок. І, мабуть, ваш Інтернет-зв’язок і всі ваші комп'ютери теж. Враховуючи достатньо часу та ресурсів, WPA2 (і все інше) може бути зламано, але, швидше за все, це зажадає набагато більше часу та набагато більше можливостей, ніж у вашого середнього любителя.

Як сказав Девід, справжнє питання не є: "Чи можна цього зламати?" але, швидше, "скільки часу знадобиться комусь із певним набором можливостей, щоб зламати його?" Очевидно, що відповідь на це питання сильно різниться щодо того, який саме цей набір можливостей. Він також абсолютно правильний, що безпеку потрібно робити шарами. Те, про що ви дбаєте, не повинно переходити по вашій мережі без того, щоб бути зашифрованим спочатку. Отже, якщо хтось ввірвався у ваш бездротовий зв'язок, він не повинен мати можливість потрапляти в щось важливе, окрім, можливо, використовуючи ваше інтернет-з'єднання. Будь-яка комунікація, яка має бути захищеною, все ще повинна використовувати сильний алгоритм шифрування (наприклад, AES), можливо встановлений через TLS або якусь таку схему PKI. Переконайтеся, що ваша електронна пошта та будь-який інший чутливий веб-трафік зашифровані та що ви не '


Оновлення 17 жовтня 2017 р. - Ця відповідь відображає ситуацію до недавнього відкриття основної нової вразливості, яка впливає як на WPA, так і на WPA2. Key Перевстановлення ATTACK (Krack) використовує уразливість в протоколі квітірованія для Wi-Fi. Не вдаючись до брудної деталі криптографії (про яку ви можете прочитати на зв’язаному веб-сайті), всі мережі Wi-Fi слід вважати порушеними до їх виправлення, незалежно від того, який саме алгоритм шифрування вони використовують.

Питання, пов'язані з InfoSec.SE щодо KRACK:
Наслідки атаки WPA2 KRACK
Як я можу захистити себе від KRACK, коли я не можу дозволити собі VPN?


11
Хороша відповідь, особливо трохи про WPA2-AES. Я додам, що SSID використовується для соління ключа WPA, тому, якщо ви не хочете, щоб ваш ключ WPA був рознесений в райдужці, краще переключити його на щось інше, ніж "NETGEAR".
зигг

Наскільки важко підробити MAC-адресу, оскільки вам доведеться отримати таку, яка знаходиться у списку. Я знаю, що все, що передається, можна забрати вручну, але хіба це не велика робота?
Сет

Ні, це неймовірно просто. Він надсилається простим текстом на початку буквально кожного окремого кадру, тому все, що вам потрібно зробити, - це захопити один законний пакет у мережі, щоб знайти MAC у білому списку. Як я вже говорив у своїй відповіді, це банально для тих, хто знає, що вони роблять.
reirab

14

Оскільки інші відповіді на цю тему хороші, я вважаю, що для тих, хто запитує конкретну відповідь (ну ... це SuperUser, чи не так?), Питання можна легко перекласти як: "Що я повинен знати, щоб зробити свій Безпечна мережа Wi-Fi? " .
Не заперечуючи (не підтверджуючи) жодної з інших відповідей, це моя коротка відповідь:

Слова криптолога Брюса Шеньєра можуть бути корисними порадами для багатьох користувачів:

Єдине справжнє рішення - відключити шнур живлення.

Це часто можна застосувати до бездротових мереж : чи постійно нам це потрібно?
У багатьох маршрутизаторах є кнопка WiFi для включення / відключення бездротового зв'язку, як-от D-Link DSL-2640B .
Якщо ні, ви завжди можете автоматизувати веб-включення / відключення бездротового зв'язку, використовуючи такі інструменти, як iMacros (доступний як розширення для Firefox або як окрема програма) для Windows та багатьох інших в Linux.

Ось два хитрості для пароля WPA (будь ласка, забудьте WEP ) ( хороший пароль WPA буде дуже важко атакувати) створення ( не зберігайте пароль за замовчуванням ):

  1. Використовуйте неіснуючі та / або іноземні слова : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (оскільки для їх пошуку не може використовуватися простий словник).
  2. Створіть власне легке для запам'ятовування (для вас принаймні) речення та визначте свій пароль, взявши перший символ кожного слова. Результати стануть важко розбитим (мінімум 8 символів), але легко запам'ятовується паролем, який включає великі і малі літери , цифри та деякі інші не алфавітні символи:
    "У вас є два сини та 3 коти, і ви їх любите. " -> "Yh2sa3c, aylt."

І, заради Бога: вимкніть WPS прямо зараз! Це повністю помилково .


12
Будь ласка, забудьте WPA та WPA2-TKIP . Використовуйте свої хитрощі на WPA2-AES .
Дарт Android

2
Який би був сенс легко запам’ятовуваного пароля Wi-Fi? Адже ви дуже рідко підключаєте пристрої. Просто використовуйте хороший довгий випадковий пароль - на зразок Lm, -TMzQ7cf \ 6. "owhAnpqC *.
Hans-Peter Störr

2
Якщо у вас є статичний набір пристроїв, який рідко змінюється, добре. У людей є друзі з гаджетами, які вони повинні вмикати, і випадкові паролі тут є проблематичними. (Можуть бути й інші рішення, такі як гостьова мережа, але це все ж дозволить отримати доступ до гостей, які не
відвідують

3
@hstoerr, з мого досвіду як кінцевого споживача та корпоративного консультанта, я майже (майже) завжди виявляв, що складний пароль дратує і остаточно відкидає. Вам потрібно компромісне рішення.
Sopalajo de Arrierez

2
Ви праві, @IQAndreas: це запам'ятовується і важче зламати. Але не простіше набрати. І, на моїх тестах з HashCat, лише для найкоротшого режиму Yh2sa3c,aylt., він буде тривати приблизно більше 10 років для грубої сили (навіть використовуючи один з найшвидших персональних комп'ютерів, який ви можете собі сьогодні дозволити).
Sopalajo de Arrierez

7

Жодне з речей, які ви згадуєте (крім пароля мережі), дійсно не впливає на злом мережі Wi-Fi. Оскільки фільтр MAC-адреси та прихований SSID насправді нічого не допомагає з точки зору безпеки.

Насправді важливим є тип шифрування, який використовується в мережі. Старіші мережеві шифрування, такі як WEP, були тривіальними, тому що, маючи достатньо трафіку, ви могли їх розшифрувати, і ви могли змусити їх генерувати потрібний вам трафік.

Однак новіші, такі як WPA2, набагато безпечніші. Зараз нічого не є "захищеним" від усіх супротивників, але цього зазвичай достатньо для домашнього Wi-Fi.

Це велика тема, і це стосується лише верхівки айсберга, але, сподіваємось, це допомагає.


6

WEP та WPA1 / 2 (з увімкненою WPS) можуть бути взломані тривіально; перший з використанням захоплених IV, а другий з WPS PIN брутефорсом (всього 11000 можливих комбо, із 3-контактного штиря; 4 цифри [10 000 можливих] + 3 цифри [1000 можливих] + 1 цифра контрольної суми [обчислено з решти]) .

WPA1 / 2 є більш жорсткими з надійним паролем, але використання злому графічного процесора та технології грубої сили може перебити деякі слабкіші.

Я особисто зламав WEP та WPS у своїй робочій мережі (з дозволу я демонстрував уразливості перед своїми роботодавцями), але мені ще вдало зламати WPA.


5

Це велике питання, і вказівки щодо забезпечення безпечного бездротового зв'язку повинні бути добре відомі. Налаштуйте маршрутизатор / шлюз / AP так, щоб:

  • Бездротова безпека лише WPA2
  • шифрування лише AES
  • використовувати загальнодоступний ключ, який містить кілька слів (наприклад, IloveSuperUser)
  • відключити WPS
  • відключити віддалене адміністрування

Це воно! Для всіх практичних цілей у вас є повністю захищений бездротовий зв'язок.


1
@Jason Одне питання негайно; що ти маєш проти пробілів?
deworde

1
@ryyker Я це сказав для практичних цілей.
Джейсон

1
@deworde - ні, але деякі дешеві маршрутизатори та менеджери з’єднань.
Джейсон

3

На форумі мережі навчальних мереж Cisco потік запитував:

Чи може зламатися WPA / TKIP? Або хтось у моєму гостьовому домі використав 80 гігів даних, або хтось закрив, зламавши пароль та використовував його. Я підозрюю когось у гостьовому будинку, тому що мені важко повірити, що WPA / TKIP може бути зламаний, і навіть якщо він може бути зламаний, це зробити не буде просто. Наскільки складно, якщо взагалі це зламати WPA / TKIP? Я хочу все-таки змінити пароль для них, чи можу я використовувати - і _ і? символи?

Очевидно, дуже розумний хлопець на ім'я "Зак" зробив цю публікацію, яку нитка-стартер, тут (та інші, теж тут, якщо вони зацікавлені), повинні прочитати.

Зокрема, читайте приблизно з двох третин дороги до своєї публікації, де він починається словами "Рішення:".

Я використовую налаштування " WPA-PSK (TKIP) / WPA2-PSK (AES) " мого шлюза ". Відповідно до цієї публікації Зака ​​...

Змініть ім'я маршрутизатора на щось унікальне. Ваш ESSID використовується вашим заявником Wlan як криптографічна сіль над PMK. Змінивши це, виключаєте попередньо обчислені атаки.

... Я давно використовую свій власний унікальний ESSID. Крім того, відповідно до його ...

Створіть унікальний пароль, до якого входять унікальні символи, цифри, великі літери. кілька слів і малі літери. Це важливіше, ніж довжина. Збільшення довжини пароля лише збільшить міцність паролів, але це не повинно бути нецензурно довгим. Міцність полягає в дисперсії потенціалу . Це усуне напади словника і зробить грубу силу неможливою без суперкомп'ютера.

... моя - 25 символів, які складаються з літер, цифр, великих і малих літер та спеціальних символів. Жодна його частина нічого не пише.

Я займаюся кількома речами, які робить Зак і не перелічує там; але на додаток до сказаного, сказав і інші речі, принаймні дух того, що він тут написав ...

Увімкніть детальний журнал і, якщо можливо, переслати його на вашу електронну пошту.

... Я давно написав трохи сценарію коду, який автоматично запускається при запуску Windows і просто працює в системному треї; який код періодично, протягом дня, жорстко оновлює, а потім аналізує веб-сторінку в моєму шлюзі, в якій перераховані всі підключені пристрої; і тоді він говорить мені як про спливаюче-з-потрійним звуковим сигналом через материнську плату-динамік (а не звичайні динаміки аудіо, про всяк випадок, якщо вони вимкнено чи щось) на моєму настільному комп’ютері-ноутбуці екрана, а також через текст на мій телефон (який або в сумці на моєму поясі, або, принаймні, ніколи не більше ніж за п’ять футів від мене, 24/7/365), якщо щось нове з'явилося.

Для тих, хто не має цієї навички, є кілька додатків типу "хто працює на моєму WI-FI" там, деякі з них безкоштовні. Хороший і простий - це [цей поганий] [3]. Просто запустіть його автоматично з Windows, нехай він сидить у системному треї, і скажіть йому "подати звуковий сигнал на новому пристрої", і ви матимете щось подібне до того, що робить мій сценарій (за винятком того, що він не надсилатиме вам SMS). Однак, використовуючи [простий інструмент сценаріїв] [5], ви можете спричинити надсилання SMS або електронної пошти на ваш телефон, коли новий пристрій в локальній мережі робить звуковий сигнал програми.

Сподіваюся, що це допомагає.


В останньому абзаці вашої відповіді, як видається, відсутні два посилання.
Twisty Impersonator

2

Інший розгляд будь-якого аналізу безпеки - це активи, які потребують захисту, і цінність цих активів для власника та потенційного зловмисника. Я б здогадувався, що ваш банківський логін, номер кредитної картки та інші дані для входу, ймовірно, є найціннішою інформацією, що надходить через домашню мережу, і більшість із них має покриватися шифруванням TLS / SSL через з'єднання https. Тож здається, що якщо ви використовуєте клавішу WPA2 на маршрутизаторі wifi і переконайтеся, що ваш браузер використовує https, коли це можливо (використовуючи такий інструмент, як https eff всюди), ви досить безпечні. (Потенційному зловмиснику доведеться зіткнутися з проблемою злому вашого ключа WPA2, щоб, можливо, отримати пароль, який не переходить на https або на http сторінки, які ви переглядаєте.)


2

Сумнівні .

Я не згоден з відповіддю давидго. Хоча він добре досліджений і я згоден з більшістю його інформації, я вважаю це трохи песимістичним.

У WPA2 є вразливості, про які вже йдеться в інших відповідях. Однак жодне з них неминуче.

Зокрема, слід зазначити, що жорстока атака, згадана davidgo, є нападом на слабкість у MS-CHAPv2. Дивіться цитовану посилання автора [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Якщо Ms-CHAP не використовується, цю слабкість неможливо використати. (видалено на основі коментаря автора - неправильна посилання)

Маючи правильну фразу проходу, SSID та уникаючи компрометованих технологій, я не бачу причин, чому захищена WPA2 мережа, що використовує AES256, на даний момент не була б захищеною. Жорстокі напади на такі мережі є нездійсненними, і навіть Моксі Марлінспік пропонує це.

Однак, де я згоден з відповіддю давидго, це те, що більшість користувачів не докладають цих зусиль. Я знаю, що власну домашню мережу можна експлуатувати, і хоча я знаю, як її виправити, це просто не варте мого часу та зусиль.


MS-CHAP - це щось інше (його використовують на PPTP, тобто VPN-з'єднаннях, а не на бездротових з'єднаннях, якщо ви не працюєте через PPTP через Wifi, що в значній мірі є безглуздим. Відомо, що MS-CHAP повністю порушений). Те, про що я мав на увазі Cloudcracker, - це щось інше. Ви готуєте та надсилаєте зразок мережевого трафіку, і сервіс намагається змусити його жорстоко. Крім усього іншого, він намагається зламати паролі WPA та WPA2. Посилання є cloudcracker.com (нічого після цього). Я погоджуюся, що З СИЛЬНИМ ПАРОЛОМ, WPA2, ймовірно, не є практичним для грубої сили.
davidgo
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.