Hjemmeside » hvordan » Er det virkelig muligt for de fleste entusiaster at hakke Wi-Fi-netværk?

    Er det virkelig muligt for de fleste entusiaster at hakke Wi-Fi-netværk?

    Mens de fleste af os sandsynligvis aldrig behøver at bekymre sig om nogen, der hacker vores Wi-Fi-netværk, lige hvor svært ville det være for en entusiast at hakke en persons Wi-Fi-netværk? Dagens SuperUser Q & A-indlæg har svar på en læsers spørgsmål om Wi-Fi-netværkssikkerhed.

    Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af ​​SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

    Foto med tilladelse til Brian Klug (Flickr).

    Spørgsmålet

    SuperUser Reader Sec ønsker at vide, om det er muligt for de fleste entusiaster at hakke Wi-Fi-netværk:

    Jeg har hørt fra en betroet computersikkerhedsekspert, at de fleste entusiaster (selvom de ikke er professionelle) kun bruger vejledninger fra internettet og specialiseret software (det vil sige Kali Linux med de medfølgende værktøjer), kan bryde gennem din hjemme router sikkerhed.

    Folk hævder, at det er muligt, selvom du har:

    • Et stærkt netværkskodeord
    • En stærk routeradgangskode
    • Et skjult netværk
    • MAC filtrering

    Jeg vil gerne vide, om dette er en myte eller ej. Hvis routeren har en stærk adgangskode og MAC-filtrering, hvordan kan det blive omgået (jeg tvivler på, at de bruger brute-force)? Eller hvis det er et skjult netværk, hvordan kan de opdage det, og hvis det er muligt, hvad kan du gøre for at gøre dit hjemmenetværk virkelig sikkert??

    Som junior computervidenskabsstudent føler jeg mig ondt, fordi nogle gange hobbyister argumenterer med mig om sådanne emner, og jeg har ikke stærke argumenter eller kan ikke forklare det teknisk.

    Er det virkelig muligt, og i bekræftende fald, hvad er de "svage" punkter i et Wi-Fi-netværk, som en entusiast ville fokusere på?

    Svaret

    SuperUser bidragsydere davidgo og reirab har svaret for os. Først op, davidgo:

    Uden at argumentere for semantikken, ja, erklæringen er sand.

    Der er flere standarder for Wi-Fi-kryptering, herunder WEP, WPA og WPA2. WEP er kompromitteret, så hvis du bruger det, selv med et stærkt kodeord, kan det være trivielt brudt. Jeg tror, ​​at WPA og WPA2 er meget sværere at knække selv (men du kan have sikkerhedsproblemer i forbindelse med WPS, som omgår dette). Også selv rimeligt hårde adgangskoder kan være brutalt tvunget. Moxy Marlispike, en velkendt hacker tilbyder en service til at gøre dette til omkring US $ 30 ved hjælp af cloud computing - selvom det ikke garanteres.

    En stærk routeradgangskode gør intet for at forhindre, at nogen på Wi-Fi-siden sender data via routeren, så det er irrelevant.

    Et skjult netværk er en myte. Mens der er bokse til at få et netværk ikke vist på en liste over websteder, beviser kunderne WIFI-router, og dermed er dets nærhed trivielt detekteret.

    MAC-filtrering er en joke så mange (de fleste / alle?) Wi-Fi-enheder kan programmeres / omprogrammeres til at klone en eksisterende MAC-adresse og omgå MAC-filtrering.

    Netværkssikkerhed er et stort emne, og ikke noget, der kan bruges til et SuperUser-spørgsmål. Men det grundlæggende er, at sikkerhed er opbygget i lag, så selvom nogle er kompromitterede, er det ikke alle. Et hvilket som helst system kan også trænge igennem med tilstrækkelig tid, ressourcer og viden; så sikkerhed er faktisk ikke så meget et spørgsmål om "kan det være hacket", men "hvor lang tid tager det" at hacke. WPA og en sikker adgangskode beskytter mod "Joe Average".

    Hvis du vil øge beskyttelsen af ​​dit Wi-Fi-netværk, kan du kun se det som et transportlag og derefter kryptere og filtrere alt, der går over det pågældende lag. Dette er overkill for det store flertal af folk, men en måde du kunne gøre på dette ville være at indstille routeren til kun at tillade adgang til en given VPN-server under din kontrol og kræve, at hver klient autentificerer over Wi-Fi-forbindelsen på tværs af VPN. Således, selvom Wi-Fi er kompromitteret, er der andre (hårdere) lag til at besejre. En delmængde af denne adfærd er ikke ualmindeligt i store virksomhedsmiljøer.

    Et enklere alternativ til bedre sikring af et hjemmenetværk er at afskaffe Wi-Fi helt og alene og kræver kun kablede løsninger. Hvis du har ting som mobiltelefoner eller tabletter, er det måske ikke praktisk. I dette tilfælde kan du begrænse risiciene (helt sikkert ikke fjerne dem) ved at reducere signalstyrken på din router. Du kan også beskytte dit hjem, så din frekvens lekker mindre. Jeg har ikke gjort det, men stærk rygter (undersøgt) har det, at selv aluminium mesh (som flyve skærm) på ydersiden af ​​dit hus med god jordforbindelse kan gøre en stor forskel for mængden af ​​signal, der vil undslippe. Men selvfølgelig, farvel farvelægning.

    På beskyttelsesfronten kan et andet alternativ være at få din router (hvis den er i stand til at gøre det, de fleste er ikke, men jeg kan forestille mig, at routere kører openwrt og muligvis tomat / dd-wrt kan) for at logge alle pakker, der krydser dit netværk og holde øje med det. Selv ved at overvåge uregelmæssigheder med total bytes ind og ud af forskellige grænseflader kan du give en god grad af beskyttelse.

    I slutningen af ​​dagen er måske spørgsmålet "Hvad skal jeg gøre for at gøre det ikke umuligt at have tid til at trænge ind i mit netværk?" Eller "Hvad er den reelle pris for at få mit netværk kompromitteret?" og går derfra. Der er ikke noget hurtigt og nemt svar.

    Efterfulgt af svaret fra reirab:

    Som andre har sagt, er SSID gemt trivielt at bryde. Faktisk vises dit netværk som standard i Windows 8-netværkslisten, selvom det ikke sender sit SSID. Netværket sender stadig sin tilstedeværelse via bjælkerammer hverken; det inkluderer ikke SSID'en i bjælkerammen, hvis denne indstilling er markeret. SSID'et er trivielt at opnå fra eksisterende netværkstrafik.

    MAC-filtrering er heller ikke særdeles nyttigt. Det kan muligvis langsomt sænke manuskriptet, der hentede en WEP-crack, men det vil bestemt ikke stoppe nogen, der ved, hvad de laver, da de bare kan forfalske en legitim MAC-adresse.

    Hvad angår WEP er det helt ødelagt. Styrken af ​​dit kodeord betyder ikke meget her. Hvis du bruger WEP, kan enhver downloade software, der vil bryde ind i dit netværk ret hurtigt, selvom du har et stærkt kodeord.

    WPA er betydeligt mere sikker end WEP, men anses stadig for at være brudt. Hvis din hardware understøtter WPA, men ikke WPA2, er det bedre end ingenting, men en bestemt bruger kan sikkert knække den med de rigtige værktøjer.

    WPS (Wireless Protected Setup) er banen for netværkssikkerhed. Deaktiver den uanset hvilken netværkskrypteringsteknologi du bruger.

    WPA2, især den version af den, der bruger AES, er ganske sikker. Hvis du har en afgangskodeord, vil din ven ikke komme ind i dit WPA2-sikrede netværk uden at få adgangskoden. Nu, hvis NSA forsøger at komme ind på dit netværk, er det en anden sag. Så skal du bare slukke din trådløse helt. Og sandsynligvis din internetforbindelse og alle dine computere også. I betragtning af tilstrækkelig tid og ressourcer kan WPA2 (og alt andet) blive hacket, men det vil sandsynligvis kræve meget mere tid og meget mere kapacitet end din gennemsnitlige hobbyist har til deres rådighed.

    Som David sagde, er det reelle spørgsmål ikke "Kan dette blive hacket?", Men snarere: "Hvor lang tid vil det tage nogen med et bestemt sæt kapaciteter til at hacke det?". Det er klart, at svaret på det pågældende spørgsmål varierer meget med hensyn til, hvad det særlige sæt kapaciteter er. Han er også helt korrekt, at sikkerhed skal ske i lag. Ting du bekymrer dig om, bør ikke gå over dit netværk uden først at kryptere. Så hvis nogen bryder ind i din trådløse, bør de ikke kunne komme ind i noget meningsfuld bortset fra måske at bruge din internetforbindelse. Enhver kommunikation, der skal være sikker, bør stadig bruge en stærk krypteringsalgoritme (som AES), muligvis oprettet via TLS eller en sådan PKI-ordning. Sørg for, at din e-mail og enhver anden følsom webtrafik er krypteret, og at du ikke kører nogen tjenester (f.eks. Fil eller printerdeling) på dine computere uden det korrekte godkendelsessystem på plads.


    Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.