Неужели большинство энтузиастов могут взломать сети Wi-Fi?


157

Могут ли большинство пользователей-энтузиастов (даже если они не профессионалы) использовать общеизвестные методы для преодоления безопасности обычного домашнего маршрутизатора?

Некоторые основные параметры безопасности:

  • надежный сетевой пароль с различными методами шифрования
  • пользовательский пароль доступа к роутеру
  • WPS
  • нет SSID трансляции
  • Фильтрация MAC-адресов

Некоторые из них скомпрометированы и что нужно сделать, чтобы сделать домашнюю сеть более безопасной?


26
С правильными инструментами и достаточным количеством времени все возможно.
Joeqwerty

61
Фильтрация MAC-
адресов

12
@Mondrianaire Для доступа в интернет моя сеть колледжей должна была зарегистрироваться, а затем идентифицировать вас по MAC-адресу. Это было тривиально, чтобы подделать адрес одного из моих соседей по общежитию. Если бы я сделал что-то плохое, используя эту связь, это было бы идентифицировано как то, что она делает. Я бы сказал, фильтрация MAC-адресов - это одна из тех вещей, которые слишком легко создать ложное чувство безопасности.
Изката

8
Ну, я говорю, что фильтрация MAC-
адресов

10
@Mondrianaire - это вводит дыру. Если кто-то маскирует свой MAC-адрес как принадлежащий ему адрес, это еще один признак того, что кто-то, кто не должен быть там, был в вашей сети. Если вы не фильтруете MAC-адреса, они, вероятно, не потрудятся сделать это.
Compro01

Ответы:


147

Не оспаривая семантику, да утверждение верно.

Существует множество стандартов шифрования WIFI, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы используете его, даже с надежным паролем, он может быть тривиально взломан. Я считаю, что WPA намного сложнее взломать (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые это обходят), и с октября 2017 года WPA2 также предлагает сомнительную безопасность. Кроме того, даже достаточно надежные пароли могут быть подделаны - Moxie Marlinspike - известный хакер предлагает услугу для этого за 17 долларов США с помощью облачных вычислений - хотя это не гарантируется.

Надежный пароль маршрутизатора ничего не сделает для того, чтобы кто-то со стороны WIFI передавал данные через маршрутизатор, так что это не имеет значения.

Скрытая сеть - это миф: хотя существуют поля, чтобы сеть не отображалась в списке сайтов, клиенты передают сигнал WIFI-маршрутизатору, поэтому его присутствие обнаруживается тривиально.

Фильтрация MAC-адресов - это шутка, поскольку многие (большинство / все?) Устройства WIFI могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.

Сетевая безопасность - это большая тема, и она не подлежит решению вопроса суперпользователя, но в основном ее безопасность заключается в том, что безопасность строится по уровням, так что даже если некоторые из них скомпрометированы, не все - также любая система может быть взломана при наличии достаточного времени, ресурсов и знания, так что безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени потребуется», чтобы взломать. WPA и безопасный пароль защищают от «Joe Average».

Если вы хотите улучшить защиту вашей сети WIFI, вы можете рассматривать ее только как транспортный уровень, а также шифровать и фильтровать все, что происходит на этом уровне. Это избыточно для подавляющего большинства людей, но один из способов сделать это - настроить маршрутизатор так, чтобы он разрешал доступ только к определенному VPN-серверу под вашим контролем, и требовал, чтобы каждый клиент проходил аутентификацию через соединение WIFI через VPN - таким образом, даже если WIFI взломан, есть и другие [более сложные] уровни, которые нужно победить. Подмножество этого поведения весьма распространено в больших корпоративных средах.

Более простой альтернативой для лучшей защиты домашней сети является отказ от WIFI в целом, и для этого требуются только кабельные решения. Если у вас есть такие вещи, как мобильные телефоны или планшеты, это может быть непрактично. В этом случае вы можете уменьшить риски (конечно, не устранить их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом так, чтобы частота пропадала меньше - я этого не делал, но ходят слухи (исследованные), что даже алюминиевая сетка (например, экран от мух) через внешнюю сторону вашего дома с хорошим заземлением может сделать огромный разница в количестве сигнала, который выйдет. [Но, конечно, пока пока сотовый телефон покрытие]

Что касается защиты, другой альтернативой может быть получение вашего маршрутизатора (если он способен сделать это, большинство не способны, но я представляю, что маршрутизаторы, работающие с openwrt и, возможно, tomato / dd-wrt могут) регистрировать все пакеты, проходящие через вашу сеть. и следите за этим - черт, даже просто отслеживание аномалий с общим количеством байтов в различных интерфейсах и из них может дать вам хорошую степень защиты.

В конце дня, возможно, возникнет вопрос: «Что мне нужно сделать, чтобы случайные хакеры не потратили время на проникновение в мою сеть» или «Какова реальная стоимость взлома моей сети» и оттуда. Там нет быстрого и простого ответа.

Обновление - октябрь 2017

Большинству клиентов, использующих WPA2, если они не исправлены, трафик может быть открыт в незашифрованном виде с помощью «Атаки с переустановкой ключа - KRACK», что является недостатком стандарта WPA2. Примечательно, что это не дает доступа к сети или PSK только к трафику целевого устройства.


2
Да, любой может сменить свой MAC-адрес на белый, но разве это не а) вызывает сразу заметные проблемы у первоначального владельца MAC-адреса, и б) разве это не какая-то неясная защита из-за неясности? Когда компьютер передает свой MAC в открытом виде по домашней сети?
яркая звезда

3
Наиболее распространенный случай, когда компьютер выставляет свой MAC-адрес, - это когда он использует сетевое соединение - не так уж и редко. Что касается неясного - это не неясно относительно контекста вопроса, который может сделать энтузиаст, который, по-видимому, эффективно включает в себя веб-поиск.
Рам

2
@landroni - Нет, нелегко, однако, если пароль состоит из общих слов, соединенных вместе, он все еще находится в сфере взлома. Взломать не нужно, когда машина пытается подключиться, скорее, она может собирать необходимую информацию и отправлять ее в облако для взлома с гораздо большей мощностью, ресурсами и даже радужными таблицами. Случайный пароль из 20 символов будет довольно пуленепробиваемым, хотя. Взгляните на cloudcracker.com
Давидго

2
@clabacchio, потому что теперь вы сильно расстроили своих пользователей?
Cruncher

1
@clabacchio полное отключение сети также сделает ее более «безопасной». Будут ли пользователи довольны этим?
о0 '.

52

Как уже говорили другие, сокрытие SSID тривиально сломать. Фактически, ваша сеть будет отображаться по умолчанию в списке сетей Windows 8, даже если она не передает свой SSID. Сеть все еще транслирует свое присутствие через фреймы маяка; он просто не включает SSID в кадр маяка, если отмечен этот параметр. SSID тривиально получить из существующего сетевого трафика.

Фильтрация MAC также не очень полезна. Это может на короткое время замедлить работу сценариста, загрузившего WEP-трещину, но это точно не остановит тех, кто знает, что они делают, поскольку они могут просто подделать действительный MAC-адрес.

Что касается WEP, он полностью сломан. Надежность вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое довольно быстро проникнет в вашу сеть, даже если у вас надежный пароль.

WPA значительно более безопасен, чем WEP, но все еще считается сломанным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но решительный пользователь, вероятно, сможет взломать его с помощью подходящих инструментов.

WPS (беспроводная защищенная настройка) является угрозой безопасности сети. Отключите его независимо от того, какую технологию шифрования сети вы используете.

WPA2 - в частности, версия, в которой используется AES - достаточно безопасна. Если у вас есть приличный пароль, ваш друг не сможет войти в вашу защищенную сеть WPA2 без получения пароля. Теперь, если АНБ пытается проникнуть в вашу сеть, это другое дело. Тогда вам следует просто полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но, вероятно, потребуется гораздо больше времени и гораздо больше возможностей, чем будет у вашего среднего любителя.

Как сказал Дэвид, реальный вопрос не в том, может ли это быть взломано? но, скорее, «Сколько времени потребуется кому-то с определенным набором способностей, чтобы взломать его?» Очевидно, что ответ на этот вопрос сильно различается в зависимости от того, что это за набор возможностей. Он также абсолютно прав, что безопасность должна быть сделана слоями. Вещи, которые вас интересуют, не должны передаваться по вашей сети без предварительного шифрования. Так что, если кто-то взломает вашу беспроводную связь, он не сможет в этом разобраться, кроме использования вашего интернет-соединения. Любая связь, которая должна быть безопасной, должна по-прежнему использовать надежный алгоритм шифрования (например, AES), возможно, настроенный через TLS или какую-либо подобную схему PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрован и что вы не


Обновление 17 октября 2017 г. - Этот ответ отражает ситуацию, возникшую до недавнего обнаружения новой серьезной уязвимости, которая затрагивает как WPA, так и WPA2. Функция переустановки ключей AttaCK (KRACK) использует уязвимость в протоколе квитирования связи для Wi-Fi. Не вдаваясь в грязные детали криптографии (о которых вы можете прочитать на связанном веб-сайте), все сети Wi-Fi следует считать сломанными, пока они не будут исправлены, независимо от того, какой конкретный алгоритм шифрования они используют.

Вопросы, связанные с InfoSec.SE относительно KRACK:
Последствия атаки KRACK на WPA2
Как я могу защитить себя от KRACK, когда я не могу позволить себе VPN?


11
Хороший ответ, особенно немного о WPA2-AES. Я хотел бы добавить, что SSID используется для соли ключа WPA, поэтому, если вы не хотите, чтобы ваш ключ WPA был представлен в виде радуги, лучше всего переключить его на что-то отличное от «NETGEAR».
зигг

Насколько сложно подделать MAC-адрес, так как вам нужно получить такой, который находится в белом списке. Я знаю, что все, что передается, может быть получено вручную, но разве это не большая работа?
Сет

Нет, это невероятно легко. Он отправляется в виде простого текста в начале буквально каждого отдельного кадра, поэтому все, что вам нужно сделать, это перехватить один единственный законный пакет в сети, чтобы найти MAC в белом списке. Как я сказал в своем ответе, это тривиально для тех, кто знает, что они делают.
Рейраб

14

Поскольку другие ответы в этой теме хороши, я думаю, что для тех, кто запрашивает конкретный ответ (ну ... это SuperUser, не так ли?), Вопрос можно легко перевести как: «Что я должен знать, чтобы WiFi сеть безопасна? " ,
Не отрицая (и не подтверждая) ни один из других ответов, это мой короткий ответ:

Слова криптолога Брюса Шенье могут быть полезными советами для многих пользователей:

Единственное реальное решение - отсоединить шнур питания.

Это часто может быть применено к беспроводным сетям : нам постоянно нужно, чтобы это работало?
Многие маршрутизаторы имеют кнопку WiFi для включения / выключения беспроводной связи, например D-Link DSL-2640B .
Если нет, вы всегда можете автоматизировать включение / отключение беспроводной сети через Интернет, используя такие инструменты, как iMacros (доступно как расширение для Firefox или как отдельная программа) в Windows и многие другие в Linux.

И вот две уловки для создания пароля WPA (пожалуйста, забудьте WEP ) ( хороший пароль WPA сделает атаки очень трудными) ( не сохраняйте пароль по умолчанию ):

  1. Используйте несуществующие и / или иностранные слова : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (поскольку для их поиска нельзя использовать простой словарь).
  2. Создайте свое собственное легко запоминающееся (по крайней мере для вас) предложение и определите свой пароль, взяв первый символ каждого слова. Результатом будет сложный для взлома (минимум 8 символов), но легко запоминающийся пароль, который включает заглавные и строчные буквы , цифры и некоторые другие не алфавитные символы:
    «У вас есть два сына и 3 кошки, и вы их любите. " -> "Yh2sa3c, айлт."

И ради Бога: отключите WPS прямо сейчас! Это совершенно некорректно .


12
Пожалуйста, забудьте WPA и WPA2-TKIP . Используйте свои трюки на WPA2-AES .
Дарт Андроид

2
Какой смысл иметь легко запоминающийся пароль Wi-Fi? Ведь вы очень редко подключаете устройства. Просто используйте хороший длинный случайный пароль - например, Lm, -TMzQ7cf \ 6. "OwhAnpqC *.
Hans-Peter Störr

2
Если у вас есть статический набор устройств, который редко меняется, ОК. У некоторых людей есть друзья с гаджетами, которые им нужно включить, и случайные пароли здесь проблематичны. (Могут быть и другие решения, такие как гостевая сеть, но они по-прежнему разрешают доступ не гостевым гостям, которые хотят использовать ваши ресурсы)
davidgo

3
@hstoerr, по моему опыту как конечного пользователя и корпоративного консультанта, я (почти) всегда обнаруживал, что сложные пароли раздражают и в конечном итоге отбрасывают. Вам нужно компромиссное решение.
Сопалахо де Арриерес

2
Вы правы, @IQAndreas: это более запоминающееся и труднее взломать. Но не проще набрать. И в моих тестах с HashCat, только для самого короткого режима Yh2sa3c,aylt., он проработает примерно 10 лет, чтобы переборить (даже используя один из самых быстрых персональных компьютеров, которые вы можете себе позволить сегодня).
Сопалахо де Арриерес

7

Ничто из того, что вы упоминаете (кроме сетевого пароля), не влияет на взлом сети Wi-Fi. Так как фильтр MAC-адресов и скрытый SSID ничего не могут поделать с точки зрения безопасности.

Что действительно важно, так это тип шифрования, используемый в сети. Прервать шифрование старых сетей, таких как WEP, было тривиально, потому что, имея достаточно трафика, вы могли бы их декодировать и заставлять генерировать необходимый вам трафик.

Однако более новые, такие как WPA2, намного безопаснее. Теперь ничто не является «защищенным» от всех противников, но этого обычно достаточно для домашнего Wi-Fi.

Это большая тема, и это касается только вершины айсберга, но, надеюсь, это поможет.


6

WEP и WPA1 / 2 (с включенным WPS) можно взломать тривиально; первый с использованием захваченных IV, а второй с помощью грубой силы WPS PIN (только 11 000 возможных комбинаций, из 3-х частей; 4 цифры [10 000 возможных] + 3 цифры [1000 возможных] + 1 цифра контрольной суммы [вычислено из остальных]) ,

WPA1 / 2 сложнее с надежным паролем, но использование взлома GPU и техника грубой силы могут разрушить некоторые из более слабых.

Я лично взломал WEP и WPS в своей рабочей сети (с разрешения я демонстрировал уязвимости своим работодателям), но мне еще предстоит успешно взломать WPA.


5

Это отличный вопрос, и правила хорошо защищенной беспроводной сети должны быть хорошо известны. Настройте свой маршрутизатор / шлюз / AP так, чтобы:

  • беспроводная безопасность - только WPA2
  • шифрование только AES
  • использовать предварительный общий ключ, содержащий несколько слов (например, IloveSuperUser)
  • отключить WPS
  • отключить удаленное администрирование

Это оно! Для всех практических целей у вас теперь есть полностью безопасная беспроводная связь.


1
@ Джейсон Один вопрос сразу; что ты имеешь против пробелов?
deworde

1
@ryyker я сказал для практических целей.
Джейсон

1
@ deworde Не знаю, но некоторые дешевые маршрутизаторы и диспетчеры подключений делают.
Джейсон

3

На форуме Cisco Learning Network автор темы спросил:

Можно ли взломать WPA / TKIP? Либо кто-то в моем пансионе использовал 80 гигабайт данных, либо кто-то рядом взломал пароль и использовал его. Я подозреваю кого-то в гостевом доме, потому что мне трудно поверить, что WPA / TKIP может быть взломан, и даже если он может быть взломан, это будет нелегко сделать. Насколько сложно взломать WPA / TKIP? Я все равно хочу изменить пароль для них, могу ли я использовать - и _ и? персонажи?

Явно очень умный парень по имени Зак сделал эту публикацию, которую должен прочитать новичок здесь (и другие, здесь, если они заинтересованы).

В частности, прочитайте примерно две трети пути его публикации, где он начинается со слов «Решения:».

Я использую настройки своего шлюза " WPA-PSK (TKIP) / WPA2-PSK (AES) ". В соответствии с этим из сообщения Зака ​​...

Измените имя вашего маршрутизатора на что-то уникальное. Ваш ESSID используется вашим Wlan соискателем в качестве криптографической соли над PMK. Изменение этого параметра исключит атаки перед вычислениями.

... Я давно использовал свой собственный уникальный ESSID. Кроме того, в соответствии с его ...

Сделайте уникальный пароль, включающий уникальные символы, цифры, заглавные буквы. несколько слов и строчные буквы. Это важнее, чем длина. Увеличение длины пароля только увеличит надежность паролей, но это не должно быть неприлично длинным. Сила заключается в дисперсии потенциала . Это исключит атаки по словарю и сделает перебор невозможным без суперкомпьютера.

... у меня 25 символов, которые состоят из букв, цифр, прописных и строчных букв и специальных символов. Ничто из этого не означает ничего.

Я делаю несколько других вещей, которые Зак делает и не перечисляет там; но в дополнение к вышесказанному и сказано другое, и хотя бы в духе того, что он здесь написал ...

Включите подробное ведение журнала и, если возможно, перешлите это на свою электронную почту.

... Я давно написал немного скриптового кода, который автоматически запускается при запуске Windows и просто запускается в системном трее; этот код периодически, в течение дня, жестко обновляет, а затем анализирует веб-страницу в моем шлюзе, в которой перечислены все подключенные устройства; и затем он говорит мне обоим как озвучивание с тройным звуковым сигналом через материнскую плату (не обычные звуковые колонки, на случай, если они отключены или что-то в этом роде) на моем настольном ноутбуке-замене экран, а также через текст на мой телефон (который находится либо в сумке на моем поясе, либо, по крайней мере, не более чем в пяти футах от меня, 24/7/365), если появилось что-то новое.

Для тех, у кого нет этого навыка, есть несколько приложений типа «кто на моем WI-FI», некоторые из них бесплатные. Хорошим и простым является [этот плохой парень] [3]. Просто автоматически запустите его с Windows, дайте ему сесть в системный трей и скажите, что он «подаст звуковой сигнал на новом устройстве», и вы получите нечто похожее на то, что делает мой скрипт (за исключением того, что он не будет отправлять вам SMS). Однако, используя [простой инструмент создания сценариев] [5], вы можете заставить SMS или электронное письмо отправляться на ваш телефон, когда новое устройство в локальной сети издает звуковой сигнал приложения.

Надеюсь, это поможет.


В последнем абзаце вашего ответа отсутствуют две ссылки.
Twisty Impersonator

2

Другим соображением при любом анализе безопасности являются активы, которые нуждаются в защите, и ценность этих активов для владельца и потенциального злоумышленника. Я полагаю, что ваш банковский логин, номер кредитной карты и другие учетные данные, вероятно, являются наиболее ценной информацией, передаваемой по домашней сети, и большая часть этого должна быть защищена шифрованием TLS / SSL через соединение https. Таким образом, похоже, что если вы используете ключ WPA2 на своем маршрутизаторе Wi-Fi и убедитесь, что ваш браузер использует https всякий раз, когда это возможно (с помощью такого инструмента, как eff https везде), вы достаточно защищены. (Потенциальный злоумышленник должен пойти на проблемы взлома ключа WPA2 , чтобы , возможно , получить пароль , который не проходит через HTTPS или HTTP - страницы , которые вы просматриваете.)


2

Сомнительно .

Я не согласен с ответом Давидго. Хотя это хорошо исследовано, и я согласен с большей частью его информации, я думаю, что это немного пессимистично.

В WPA2 есть уязвимости, о которых уже говорилось в других ответах. Однако ни один из них не является неизбежным.

В частности, следует отметить, что атака грубой силы, упомянутая Давидго, является атакой на слабость в MS-CHAPv2. См. Ссылку цитируемого автора [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Если Ms-CHAP не используется, эта слабость не может быть использована. (удалено по комментарию автора - неправильная ссылка)

С правильной парольной фразой, SSID и отказом от скомпрометированной технологии я не вижу причин, по которым защищенная сеть WPA2, использующая AES256, в настоящий момент не будет безопасной. Атаки грубой силой на такие сети невозможны, и даже Мокси Марлинспайк предлагает это.

Однако, где я согласен с ответом davidgo, большинство пользователей не предпринимают эти усилия. Я знаю, что моя собственная домашняя сеть может быть использована, и хотя я знаю, как это исправить, она просто не стоит моих сил и времени.


MS-CHAP - это нечто иное (он используется в PPTP, то есть в VPN-соединениях, а не в беспроводных соединениях, если вы не используете PPTP через Wi-Fi, что в значительной степени бессмысленно. Известно, что MS-CHAP полностью сломан). То, что я имел в виду с Cloudcracker, это нечто другое. Вы готовите и отправляете образец сетевого трафика, и служба пытается его перебором. Среди прочего он пытается взломать пароли WPA и WPA2. Ссылка на cloudcracker.com (ничего после этого). Я согласен, что С СИЛЬНЫМ ПАРОЛЕ WPA2, вероятно, не практичен для подбора.
Давидго
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.