เป็นไปได้จริง ๆ ที่ผู้ที่ชื่นชอบที่สุดจะเจาะเครือข่าย Wi-Fi ของผู้คนหรือไม่?

157

ผู้ใช้ที่กระตือรือร้นที่สุด (แม้ว่าพวกเขาจะไม่ใช่มืออาชีพ) สามารถใช้เทคนิคที่รู้จักกันดีในการเจาะระบบความปลอดภัยของเราเตอร์ภายในบ้านได้หรือไม่?

ตัวเลือกความปลอดภัยพื้นฐานคือ:

  • รหัสผ่านเครือข่ายที่แข็งแกร่งด้วยวิธีการเข้ารหัสต่างๆ
  • รหัสผ่านการเข้าถึงเราเตอร์ที่กำหนดเอง
  • WPS
  • ไม่มีการออกอากาศ SSID
  • การกรองที่อยู่ MAC

สิ่งเหล่านี้ถูกบุกรุกหรือไม่และจะทำอย่างไรเพื่อให้เครือข่ายในบ้านปลอดภัยยิ่งขึ้น?

wireless-networking  router  security 
kvhadzhiev
แหล่งที่มา
26
ด้วยเครื่องมือที่เหมาะสมและมีเวลามากพอที่จะเป็นไปได้
joeqwerty
61
การกรอง MAC นั้นไม่มีจุดหมายอย่างแน่นอน
Ramhound
12
@ Mondrianaire สำหรับการเข้าถึงอินเทอร์เน็ตเครือข่ายวิทยาลัยของฉันต้องสมัครใช้งานและหลังจากนั้นจะระบุตัวคุณด้วยที่อยู่ MAC มันไม่สำคัญเลยที่จะหลอกที่อยู่ของเพื่อนบ้านคนหนึ่งในหอพักของฉัน ถ้าฉันทำสิ่งที่ไม่ดีโดยใช้การเชื่อมต่อนั้นมันก็จะถูกระบุว่าเป็นเธอทำมัน ฉันว่าการกรองที่อยู่ MAC เป็นหนึ่งในสิ่งเหล่านั้นที่ง่ายเกินไปที่จะสร้างความปลอดภัยที่ผิดพลาด
Izkata
8
ดีที่ฉันพูดกรอง MAC ไม่ใช่คุณลักษณะด้านความปลอดภัย
Ramhound
10
@ Mondrianaire - มันแนะนำรู หากมีใครบางคนกำลังปกปิดที่อยู่ MAC ของพวกเขาเป็นที่อยู่ที่นี่มันเป็นเบาะแสที่น้อยกว่าที่คนที่ไม่ควรจะอยู่บนเครือข่ายของคุณ หากคุณไม่ได้กรองที่อยู่ MAC พวกเขาอาจไม่สนใจที่จะทำเช่นนั้น
Compro01

คำตอบ:

147

โดยไม่มีการโต้แย้งความหมายใช่คำสั่งเป็นจริง

มีหลายมาตรฐานสำหรับการเข้ารหัส WIFI รวมถึง WEP, WPA และ WPA2 WEP นั้นไม่ปลอดภัยดังนั้นหากคุณใช้งานอยู่แม้จะมีรหัสผ่านที่คาดเดาได้ยาก แต่ก็อาจเสียหายได้เล็กน้อย ฉันเชื่อว่า WPA นั้นยากต่อการถอดรหัส (แต่คุณอาจมีปัญหาด้านความปลอดภัยเกี่ยวกับ WPS ที่เลี่ยงผ่านสิ่งนี้) และ ณ เดือนตุลาคม 2017 WPA2 ยังมีความปลอดภัยที่น่าสงสัย นอกจากนี้แม้รหัสผ่านที่ยากพอสมควรก็สามารถถูกบังคับได้อย่างไร้เหตุผล - Moxie Marlinspike - แฮ็กเกอร์ที่รู้จักกันดีนำเสนอบริการเพื่อทำสิ่งนี้ด้วยราคา 17 ดอลลาร์สหรัฐโดยใช้คลาวด์คอมพิวติ้ง - แม้ว่ามันจะไม่รับประกันก็ตาม

รหัสผ่านเราเตอร์ที่แข็งแกร่งจะไม่ทำอะไรเลยเพื่อป้องกันใครบางคนในด้านการส่งข้อมูล WIFI ผ่านเราเตอร์ดังนั้นจึงไม่เกี่ยวข้อง

เครือข่ายที่ซ่อนอยู่เป็นตำนาน - ในขณะที่มีกล่องที่จะทำให้เครือข่ายไม่ปรากฏในรายชื่อของไซต์ลูกค้าจะส่งสัญญาณให้เราเตอร์ไร้สายดังนั้นจึงมีการตรวจพบการแสดงตนเล็กน้อย

การกรอง MAC เป็นเรื่องตลกมากที่สุด (ส่วนใหญ่ / ทั้งหมด?) อุปกรณ์ WIFI สามารถตั้งโปรแกรม / โปรแกรมใหม่เพื่อโคลนที่อยู่ MAC ที่มีอยู่และเลี่ยงผ่านการกรอง MAC

การรักษาความปลอดภัยเครือข่ายเป็นเรื่องใหญ่และไม่ใช่สิ่งที่ตอบสนองต่อคำถาม Superuser ได้ แต่พื้นฐานคือความปลอดภัยถูกสร้างขึ้นในเลเยอร์ดังนั้นแม้ว่าบางคนอาจถูกบุกรุกไม่ได้ทั้งหมด แต่ด้วยระบบใด ๆ ก็ตามที่สามารถแทรกซึมได้ในเวลาที่เพียงพอทรัพยากร และความรู้ดังนั้นการรักษาความปลอดภัยจึงเป็นคำถามที่ "แฮ็คมันไม่ได้" แต่จริงๆแล้ว "แฮ็คใช้เวลานานแค่ไหน" WPA และรหัสผ่านที่ปลอดภัยป้องกัน "Joe Average"

หากคุณต้องการปรับปรุงการปกป้องเครือข่ายไร้สายของคุณคุณสามารถดูได้ว่าเป็นเลเยอร์การขนส่งเท่านั้นและเข้ารหัสและกรองทุกอย่างที่ข้ามเลเยอร์นั้น นี่เป็น overkill สำหรับคนส่วนใหญ่ แต่วิธีหนึ่งที่คุณสามารถทำได้คือการตั้งค่าเราเตอร์ให้อนุญาตให้เข้าถึงเซิร์ฟเวอร์ VPN ที่กำหนดภายใต้การควบคุมของคุณเท่านั้นและกำหนดให้ไคลเอนต์แต่ละคนตรวจสอบสิทธิ์ผ่านการเชื่อมต่อ WiFi ทั่ว VPN - ดังนั้นแม้ว่า WIFI จะถูกบุกรุก แต่ก็มีเลเยอร์อื่น ๆ ที่ยากกว่าที่จะกำจัด ชุดย่อยของพฤติกรรมนี้ไม่ใช่เรื่องแปลกในสภาพแวดล้อมขององค์กรขนาดใหญ่

ทางเลือกที่ง่ายกว่าในการรักษาความปลอดภัยเครือข่ายภายในบ้านที่ดีกว่าคือการทิ้งสัญญาณ WiFi ทั้งหมดและต้องการโซลูชันที่ใช้สายเคเบิลเท่านั้น หากคุณมีสิ่งต่าง ๆ เช่นโทรศัพท์มือถือหรือแท็บเล็ตสิ่งนี้อาจไม่สามารถใช้งานได้จริง ในกรณีนี้คุณสามารถลดความเสี่ยง (แน่นอนไม่กำจัดพวกเขา) โดยการลดความแรงของสัญญาณของเราเตอร์ของคุณ นอกจากนี้คุณยังสามารถป้องกันบ้านของคุณเพื่อให้ความถี่น้อยลง - ฉันไม่ได้ทำ แต่ข่าวลือที่แข็งแกร่ง (วิจัย) มีไว้ว่าแม้ตาข่ายอลูมิเนียม (เช่นหน้าจอทันที) ข้ามด้านนอกบ้านของคุณด้วยการต่อสายดินที่ดี ความแตกต่างกับปริมาณของสัญญาณที่จะหลบหนี [แต่แน่นอนความครอบคลุมของโทรศัพท์มือถือลาก่อน]

ในส่วนของการป้องกันทางเลือกอื่นอาจจะทำให้เราเตอร์ของคุณ (ถ้ามันสามารถทำได้ส่วนใหญ่ไม่ได้ แต่ฉันคิดว่าเราเตอร์กำลังเรียกใช้ openwrt และมะเขือเทศ / dd-wrt สามารถ) เพื่อบันทึกแพ็กเก็ตทั้งหมดภายในเครือข่ายของคุณ และคอยจับตาดูมัน - แม้กระทั่งเพียงแค่ตรวจสอบความผิดปกติที่มีจำนวนไบต์เข้าและออกจากส่วนต่อประสานต่าง ๆ จะทำให้คุณได้รับการปกป้องที่ดี

ในตอนท้ายของวันบางทีคำถามที่ถามคือ "ฉันต้องทำอย่างไรเพื่อทำให้แฮกเกอร์ไม่ได้ใช้เวลาในการเจาะเครือข่ายของฉัน" หรือ "ค่าใช้จ่ายจริงของการทำลายเครือข่ายของฉัน" คือเท่าไร จากที่นั่น. ไม่มีคำตอบที่ง่ายและรวดเร็ว

อัพเดท - ต.ค. 2560

ลูกค้าส่วนใหญ่ที่ใช้ WPA2 ยกเว้นว่ามีการติดตั้งจะสามารถรับส่งข้อมูลโดยใช้ข้อความธรรมดาโดยใช้"Key Reinstallation Attacks - KRACK" ซึ่งเป็นจุดอ่อนในมาตรฐาน WPA2 ยวดนี้ไม่ให้การเข้าถึงเครือข่ายหรือ PSK เฉพาะกับปริมาณการใช้งานของอุปกรณ์เป้าหมาย

davidgo
แหล่งที่มา
2
ใช่ทุกคนสามารถเปลี่ยนที่อยู่ MAC ของตนเป็นรายการที่อยู่ในบัญชีขาวได้ แต่นั่นไม่ใช่ก) ทำให้เกิดปัญหาที่เห็นได้ชัดสำหรับเจ้าของเดิมของที่อยู่ MAC และข) ความปลอดภัยนั้นค่อนข้างคลุมเครือหรือไม่? เมื่อไหร่ที่คอมพิวเตอร์ออกอากาศ MAC ในเครือข่ายภายในบ้านที่ชัดเจน?
ดาวรุ่ง
3
เวลาที่พบมากที่สุดคอมพิวเตอร์exposesมันอยู่ MAC คือเมื่อมันใช้การเชื่อมต่อเครือข่าย - ไม่ได้หายากจริงๆ ส่วนที่คลุมเครือ - ไม่ชัดเจนเมื่อเทียบกับบริบทของคำถามซึ่งเป็นสิ่งที่ผู้ที่สนใจสามารถทำได้ซึ่งรวมถึงการค้นหาเว็บอย่างมีประสิทธิภาพ
Ram
2
@landroni - ไม่ไม่ง่าย แต่ถ้ารหัสผ่านถูกสร้างขึ้นจากคำทั่วไปที่รวมเข้าด้วยกันมันยังคงอยู่ในขอบเขตของการถอดรหัส การแคร็กไม่จำเป็นต้องดำเนินการโดยเครื่องที่พยายามเชื่อมต่อ - แต่สามารถเก็บเกี่ยวข้อมูลที่ต้องการและส่งไปยังคลาวด์เพื่อถอดรหัสโดยใช้พลังงานทรัพยากรและแม้แต่โต๊ะสายรุ้ง รหัสผ่านแบบสุ่ม 20 ตัวจะเป็นสัญลักษณ์แสดงหัวข้อย่อยที่สวย ดูที่cloudcracker.com
davidgo
2
@clabacchio เพราะตอนนี้คุณทำให้ผู้ใช้ของคุณไม่สะดวกอย่างมากแล้วหรือยัง?
Cruncher
1
@clabacchio การปิดตัวเครือข่ายทั้งหมดจะทำให้ "ปลอดภัย" ยิ่งขึ้น ผู้ใช้จะมีความสุขกับสิ่งนั้นหรือไม่?
o0 '
52

ดังที่คนอื่น ๆ กล่าวว่าการซ่อนตัวของ SSID เป็นเรื่องเล็กน้อยที่จะทำลาย ในความเป็นจริงเครือข่ายของคุณจะปรากฏขึ้นตามค่าเริ่มต้นในรายการเครือข่าย Windows 8 แม้ว่าจะไม่ได้ออกอากาศ SSID เครือข่ายยังคงออกอากาศการแสดงตนผ่านเฟรมสัญญาณด้วยวิธีใดวิธีหนึ่ง มันไม่รวม SSID ในเฟรมสัญญาณหากตัวเลือกนั้นถูกเลือก SSID เป็นเรื่องเล็กน้อยที่จะได้รับจากการรับส่งข้อมูลเครือข่ายที่มีอยู่

การกรอง MAC ไม่เป็นประโยชน์อย่างมาก มันอาจช้าลงเล็กน้อย kiddie สคริปต์ที่ดาวน์โหลด WEP crack แต่แน่นอนว่าจะไม่หยุดใครก็ตามที่รู้ว่าพวกเขากำลังทำอะไรเพราะพวกเขาสามารถหลอกที่อยู่ MAC ที่ถูกกฎหมาย

เท่าที่มีความกังวลกับ WEP มันจะถูกทำลายโดยสิ้นเชิง ความแข็งแกร่งของรหัสผ่านของคุณไม่สำคัญมากนัก หากคุณใช้ WEP ใคร ๆ ก็สามารถดาวน์โหลดซอฟต์แวร์ที่จะบุกเข้าไปในเครือข่ายของคุณได้อย่างรวดเร็วแม้ว่าคุณจะมีรหัสผ่านที่ดีก็ตาม

WPA มีความปลอดภัยมากกว่า WEP อย่างมีนัยสำคัญ แต่ก็ยังถือว่าเสียหาย หากฮาร์ดแวร์ของคุณรองรับ WPA แต่ไม่ใช่ WPA2 จะดีกว่าไม่มีอะไรเลย แต่ผู้ใช้ที่ตั้งใจสามารถใช้เครื่องมือที่เหมาะสมได้

WPS (การตั้งค่าป้องกันแบบไร้สาย) เป็นข้อ จำกัด ของความปลอดภัยเครือข่าย ปิดใช้งานโดยไม่คำนึงถึงเทคโนโลยีการเข้ารหัสเครือข่ายที่คุณใช้

WPA2 - โดยเฉพาะรุ่นที่ใช้ AES - มีความปลอดภัยมาก หากคุณมีรหัสผ่านที่ดีเพื่อนของคุณจะไม่เข้าสู่เครือข่ายที่ปลอดภัยของ WPA2 โดยไม่ได้รับรหัสผ่าน ตอนนี้ถ้า NSA พยายามเข้าสู่เครือข่ายของคุณนั่นเป็นเรื่องอื่น จากนั้นคุณควรปิดไร้สายทั้งหมด และอาจเป็นการเชื่อมต่ออินเทอร์เน็ตและคอมพิวเตอร์ทั้งหมดของคุณด้วย ด้วยเวลาและทรัพยากรที่เพียงพอ WPA2 (และสิ่งอื่น ๆ ) สามารถถูกแฮ็กได้ แต่เป็นไปได้ว่าจะต้องใช้เวลามากขึ้นและมีความสามารถมากขึ้นกว่างานอดิเรกทั่วไปของคุณ

อย่างที่เดวิดพูดคำถามที่แท้จริงไม่ได้คือ แต่จะใช้เวลานานแค่ไหนในการแฮ็คมัน? เห็นได้ชัดว่าคำตอบของคำถามนั้นแตกต่างกันอย่างมากเมื่อเทียบกับความสามารถเฉพาะนั้น นอกจากนี้เขายังถูกต้องอย่างแน่นอนว่าการรักษาความปลอดภัยควรทำในชั้น สิ่งที่คุณสนใจไม่ควรข้ามผ่านเครือข่ายของคุณโดยไม่ถูกเข้ารหัสก่อน ดังนั้นหากใครบางคนบุกเข้าไปในอุปกรณ์ไร้สายของคุณพวกเขาก็จะไม่สามารถทำอะไรที่มีความหมายนอกเหนือจากการใช้การเชื่อมต่ออินเทอร์เน็ต การสื่อสารใด ๆ ที่จำเป็นต้องมีความปลอดภัยควรใช้อัลกอริธึมการเข้ารหัสที่รัดกุม (เช่น AES) อาจตั้งค่าผ่าน TLS หรือชุดรูปแบบ PKI ดังกล่าว ตรวจสอบให้แน่ใจว่าอีเมลและการรับส่งข้อมูลเว็บที่ละเอียดอ่อนอื่น ๆ ของคุณได้รับการเข้ารหัสและคุณไม่ได้ทำการ '

อัปเดต 17 ต.ค. 2560 - คำตอบนี้สะท้อนถึงสถานการณ์ก่อนการค้นพบช่องโหว่ใหม่ที่สำคัญซึ่งส่งผลกระทบต่อทั้ง WPA และ WPA2 คีย์ติดตั้งใหม่โจมตี (Krack)ใช้ประโยชน์จากช่องโหว่ในโปรโตคอลการจับมือกันสำหรับ Wi-Fi (ซึ่งคุณสามารถอ่านได้ที่เว็บไซต์ที่เชื่อมโยง) เครือข่าย Wi-Fi ทั้งหมดควรได้รับการพิจารณาว่าเสียจนกว่าจะได้รับการติดตั้งโดยไม่คำนึงถึงอัลกอริธึมการเข้ารหัสเฉพาะที่ใช้

คำถามที่เกี่ยวข้องกับ InfoSec.SE เกี่ยวกับ KRACK:
ผลของการโจมตี WPA2 KRACK
ฉันจะป้องกันตัวเองจาก KRACK ได้อย่างไรเมื่อฉันไม่สามารถจ่าย VPN ได้

reirab
แหล่งที่มา
11
คำตอบที่ดีโดยเฉพาะเล็กน้อยเกี่ยวกับ WPA2-AES ฉันจะเพิ่มว่า SSID นั้นใช้ในการใส่คีย์ WPA ดังนั้นหากคุณไม่ต้องการให้คีย์ WPA ของคุณเรนเดอร์สีรุ้งควรเปลี่ยนให้เป็นอย่างอื่นที่ไม่ใช่ "NETGEAR"
zigg
ยากแค่ไหนที่จะหลอกที่อยู่ MAC เนื่องจากคุณจะต้องได้รับที่อยู่ในรายการที่อนุญาต ฉันรู้ว่าทุกอย่างที่ส่งสามารถหยิบขึ้นมาได้ด้วยตนเอง
เซท
ไม่มันง่ายอย่างไม่น่าเชื่อ มันถูกส่งเป็นข้อความธรรมดาที่จุดเริ่มต้นของทุกเฟรมอย่างแท้จริงดังนั้นสิ่งที่คุณต้องทำคือจับแพ็คเก็ตที่ถูกต้องหนึ่งเดียวบนเครือข่ายเพื่อค้นหา MAC ในรายการสีขาว อย่างที่ฉันพูดในคำตอบของฉันมันเป็นเรื่องเล็กน้อยสำหรับทุกคนที่รู้ว่าพวกเขากำลังทำอะไรอยู่
reirab
14

เนื่องจากคำตอบอื่น ๆ ในหัวข้อนี้เป็นสิ่งที่ดีฉันคิดว่าสำหรับผู้ที่ขอคำตอบที่เป็นรูปธรรม (เช่นกัน ... นี่คือ SuperUser ใช่มั้ย?) คำถามจึงสามารถแปลได้อย่างง่ายดายว่า: "ฉันควรรู้อะไร เครือข่าย WiFi ปลอดภัยหรือไม่ " .
คำตอบสั้น ๆ ของฉันคือไม่ตอบสนอง (หรือยืนยัน) คำตอบอื่น ๆ

คำพูดของวิทยาการเข้ารหัสลับ Bruce Schenier อาจเป็นคำแนะนำที่คุ้มค่าสำหรับผู้ใช้หลายคนที่ต้องจำ:

ทางออกที่แท้จริงเพียงอย่างเดียวคือการถอดสายไฟ

สิ่งนี้สามารถนำไปใช้กับเครือข่ายไร้สาย : เราจำเป็นต้องใช้มันตลอดเวลาหรือไม่
เราเตอร์หลายคนมีปุ่ม WiFiเพื่อเปิด / ปิดการใช้งานแบบไร้สายเช่นD-Link DSL-2640B
หากไม่เป็นเช่นนั้นคุณสามารถเปิด / ปิดการใช้งานเว็บไร้สายได้โดยอัตโนมัติโดยใช้เครื่องมือเช่นiMacros (เป็นส่วนเสริมสำหรับ Firefox หรือเป็นโปรแกรมเดี่ยว) บน Windows และอื่น ๆ อีกมากมายบน Linux

และนี่คือเทคนิคสองประการสำหรับรหัสผ่านWPA (โปรดลืม WEP ) ( รหัสผ่าน WPA ที่ดีจะทำให้การโจมตียากมาก) การสร้าง ( ไม่เก็บรหัสผ่านเริ่มต้นไว้ ):

  1. ใช้คำที่ไม่มีอยู่และ / หรือต่างประเทศ : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (เนื่องจากไม่มีพจนานุกรมอย่างง่ายที่สามารถใช้ค้นหาคำเหล่านี้)
  2. สร้างประโยคที่จำได้ง่าย (สำหรับคุณอย่างน้อย) ของคุณเองและกำหนดรหัสผ่านของคุณโดยใช้อักขระตัวแรกของแต่ละคำ ผลจะเป็นที่ยากต่อการแตก (ขั้นต่ำ 8 ตัวอักษร) ยังง่ายต่อการจำรหัสผ่านที่มีตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก , ตัวเลขและอื่น ๆที่ไม่ใช่ตัวอักษรตัวอักษร:
    "คุณมีลูกชายสองคนและ 3 แมวและคุณรักพวกเขา " -> "Yh2sa3c, aylt"

และเพื่อประโยชน์ของพระเจ้า: ปิดการใช้งาน WPSในขณะนี้! มันเป็นทั้งหมดมีข้อบกพร่อง

Sopalajo de Arrierez
แหล่งที่มา
12
โปรดลืม WPA และ WPA2-TKIP ใช้เทคนิคของคุณในWPA2-AES
Darth Android
2
จุดประสงค์ของรหัสผ่าน wifi ที่จำได้ง่ายคืออะไร หลังจากทั้งหมดคุณไม่ค่อยเชื่อมต่ออุปกรณ์ เพียงใช้รหัสผ่านแบบสุ่มที่มีความยาวเช่น Lm, -TMzQ7cf \ 6. "owhAnpqC *.
Hans-Peter Störr
2
หากคุณมีชุดอุปกรณ์แบบคงที่ซึ่งไม่ค่อยมีการเปลี่ยนแปลงให้ตกลง มีคนที่มีเพื่อนที่มีอุปกรณ์ที่จำเป็นต้องเปิดใช้งานและรหัสผ่านแบบสุ่มมีปัญหาที่นี่ (อาจมีวิธีแก้ไขปัญหาอื่น ๆ เช่นเครือข่ายแขก แต่จะยังคงอนุญาตให้เข้าถึงแขกที่ไม่ใช่แขกที่ต้องการใช้ทรัพยากรของคุณ)
davidgo
3
@hstoerr จากประสบการณ์ของฉันในฐานะผู้ใช้ปลายทางและที่ปรึกษาองค์กรฉันพบ (เกือบ) เสมอว่ารหัสผ่านที่ซับซ้อนนั้นน่ารำคาญและถูกยกเลิกในที่สุด คุณต้องมีวิธีประนีประนอม
Sopalajo de Arrierez
2
คุณพูดถูกแล้ว @IQAndreas: มันน่าจดจำและยากที่จะถอดรหัส แต่ไม่ง่ายต่อการพิมพ์ และในการทดสอบของฉันกับ HashCat เพียงแค่ในโหมดที่สั้นที่สุดYh2sa3c,aylt.มันจะใช้เวลาประเมินนานกว่า 10 ปีในการ bruteforce (แม้จะใช้คอมพิวเตอร์ส่วนบุคคลที่เร็วที่สุดที่คุณสามารถหาซื้อได้ในปัจจุบัน)
Sopalajo de Arrierez
7

ไม่มีสิ่งที่คุณพูดถึง (นอกเหนือจากรหัสผ่านเครือข่าย) ส่งผลกระทบต่อการแฮ็คของเครือข่าย Wi-Fi จริงๆ ตราบเท่าที่ตัวกรองที่อยู่ MAC และ SSID ที่ซ่อนไว้ไม่ได้ช่วยอะไรเลยในเรื่องความปลอดภัย

สิ่งที่สำคัญคือประเภทการเข้ารหัสที่ใช้บนเครือข่าย การเข้ารหัสเครือข่ายที่เก่ากว่าเช่น WEP นั้นไม่สำคัญเพราะมีปริมาณการใช้ข้อมูลเพียงพอที่คุณสามารถถอดรหัสได้และคุณสามารถบังคับให้สร้างปริมาณการใช้งานที่คุณต้องการ

ใหม่กว่าเช่น WPA2 มีความปลอดภัยมากขึ้น ตอนนี้ไม่มีสิ่งใดที่ 'ปลอดภัย' กับฝ่ายตรงข้ามทั้งหมด แต่โดยปกติแล้วจะเพียงพอสำหรับ Wi-Fi ที่บ้าน

มันเป็นหัวข้อใหญ่และเพียงแตะปลายยอดภูเขาน้ำแข็ง แต่หวังว่ามันจะช่วยได้

Sirex
แหล่งที่มา
6

WEP และ WPA1 / 2 (เมื่อเปิดใช้งาน WPS) สามารถถูกแฮกได้เพียงเล็กน้อย อดีตโดยใช้การจับ IV และหลังด้วย bruteforce PIN ของ WPS (เพียง 11,000 คอมโบที่เป็นไปได้จาก pin 3 ส่วน; 4 หลัก [10,000 ที่เป็นไปได้] + 3 หลัก [1,000 ที่เป็นไปได้] + 1 หลัก checksum [คำนวณจากส่วนที่เหลือ]) .

WPA1 / 2 นั้นแข็งแกร่งกว่าด้วยรหัสผ่านที่แข็งแกร่ง แต่การใช้ GPU cracking และเทคนิค bruteforce สามารถทำให้บางคนที่อ่อนแอกว่านั้น

ฉันได้ทำการถอดรหัส WEP และ WPS เป็นการส่วนตัวบนเครือข่ายงานของฉัน (โดยได้รับอนุญาตฉันได้แสดงให้เห็นถึงช่องโหว่ของนายจ้างของฉัน) แต่ฉันยังไม่สามารถแยก WPA ได้สำเร็จ

hanetzer
แหล่งที่มา
5

นี่เป็นคำถามที่ดีและแนวทางการมีระบบไร้สายที่ปลอดภัยมากควรเป็นที่รู้จักกันดี กำหนดค่าเราเตอร์ / เกตเวย์ / AP ของคุณเพื่อให้:

  • ความปลอดภัยไร้สายเป็น WPA2 เท่านั้น
  • การเข้ารหัสเป็น AES เท่านั้น
  • ใช้คีย์ที่แบ่งปันล่วงหน้าซึ่งมีหลายคำ (เช่น IloveSuperUser)
  • ปิดการใช้งาน WPS
  • ปิดใช้งานการดูแลระยะไกล

แค่นั้นแหละ! สำหรับการใช้งานจริงทั้งหมดตอนนี้คุณมีระบบไร้สายที่ปลอดภัย

เจสัน
แหล่งที่มา
1
@ Jason หนึ่งคำถามทันที คุณมีพื้นที่ว่างกับอะไร
deworde
1
@ryyker ฉันพูดเพื่อการปฏิบัติ
Jason
1
@deworde ฉันไม่ได้ แต่เราเตอร์ราคาถูกและผู้จัดการการเชื่อมต่อบางคนทำ
Jason
3

ในฟอรัมของCisco Learning Network , ผู้เริ่มใช้งานเธรดจะถามว่า:

WPA / TKIP สามารถแตกได้หรือไม่ อาจมีบางคนในเกสต์เฮาส์ของฉันใช้ข้อมูลถึง 80 กิ๊กหรือบางคนใกล้ชิดโดยใช้รหัสผ่านที่ถอดรหัสและใช้งานได้ ฉันสงสัยว่ามีใครบางคนในเกสต์เฮาส์เพราะฉันพบว่ามันยากที่จะเชื่อว่า WPA / TKIP สามารถแตกได้และแม้ว่าจะสามารถแตกได้มันก็ไม่ง่ายที่จะทำ ยากแค่ไหนถ้ามันแตก WPA / TKIP? ฉันต้องการเปลี่ยนรหัสผ่านสำหรับพวกเขาฉันสามารถใช้ - และ _ และได้หรือไม่ ตัวละคร?

เห็นได้ชัดว่าเป็นคนที่ฉลาดมาก ๆ ที่ชื่อว่า "Zach" ทำให้การโพสต์นี้เป็นเธรดเริ่มต้นที่นี่ (และอื่น ๆ ที่นี่เช่นกันหากพวกเขาสนใจ) ควรอ่าน

โดยเฉพาะอย่างยิ่งอ่านจากประมาณสองในสามของวิธีการโพสต์ของเขาซึ่งเขาเริ่มต้นด้วยคำว่า "การแก้ปัญหา:"

ฉันกำลังใช้การตั้งค่า " WPA-PSK (TKIP) / WPA2-PSK (AES) " ของเกตเวย์ เพื่อให้สอดคล้องกับการโพสต์ของ Zach นี้ ...

เปลี่ยนชื่อเราเตอร์ของคุณเป็นสิ่งที่ไม่ซ้ำใคร ESSID ของคุณถูกใช้โดยผู้ขอร้อง wlan ของคุณในฐานะเกลือการเข้ารหัสเหนือ PMK การเปลี่ยนแปลงนี้จะกำจัดการโจมตีที่คำนวณล่วงหน้า

... ฉันใช้ ESSID ของตัวเองมานานแล้ว นอกจากนี้ในการรักษากับเขา ...

สร้างรหัสผ่านที่ไม่ซ้ำกันซึ่งประกอบด้วยอักขระตัวเลขและตัวพิมพ์ใหญ่ที่ไม่ซ้ำกัน หลายคำและตัวอักษรพิมพ์เล็ก นี่สำคัญกว่าความยาว การเพิ่มความยาวของรหัสผ่านจะเพิ่มความแข็งแกร่งของรหัสผ่านเท่านั้น แต่ไม่จำเป็นต้องมีความยาวอย่างหยาบคาย ความแรงอยู่ในความแปรปรวนที่มีศักยภาพ สิ่งนี้จะกำจัดการโจมตีด้วยพจนานุกรมและทำให้ไม่สามารถบังคับเดรัจฉานได้โดยไม่ต้องใช้ซุปเปอร์คอมพิวเตอร์

... mine คือ 25 ตัวอักษรซึ่งประกอบด้วยตัวอักษรตัวเลขตัวบนและตัวพิมพ์เล็กและอักขระพิเศษ ไม่มีส่วนใดของคาถาอะไรเลย

ฉันทำสิ่งอื่น ๆ อีกหลายอย่างทั้งที่แซคทำและไม่แจกแจงตรงนั้น แต่นอกเหนือจากข้างต้นและพูดสิ่งอื่น ๆ และอย่างน้อยก็วิญญาณของสิ่งที่เขาเขียนที่นี่ ...

เปิดใช้งานการบันทึกอย่างละเอียดและหากเป็นไปได้ให้ส่งต่อไปยังอีเมลของคุณ

... ฉันนานมาแล้วเขียนรหัสสคริปต์เล็กน้อยที่เปิดตัวอัตโนมัติด้วยการเริ่มต้น Windows และเพิ่งทำงานในถาดระบบ; รหัสใดเป็นระยะตลอดทั้งวันรีเฟรชอย่างหนักแล้วแยกวิเคราะห์เว็บเพจในเกตเวย์ของฉันซึ่งแสดงรายการอุปกรณ์ที่เชื่อมต่อทั้งหมด และมันก็บอกฉันทั้งสองว่าเป็นป๊อปอัปพร้อมกับลำโพงสามตัวเสียงเตือนเมนบอร์ด (ไม่ใช่ลำโพงเสียงปกติในกรณีที่พวกเขาปิดเสียงหรืออะไรบางอย่าง) บนคอมพิวเตอร์แล็ปท็อปของฉันเปลี่ยนเดสก์ทอป หน้าจอและยังส่งข้อความไปยังโทรศัพท์ของฉัน (ซึ่งอยู่ในกระเป๋าบนเข็มขัดของฉันหรืออย่างน้อยก็ไม่เกินห้าฟุตจากฉันตลอด 24 ชั่วโมงทุกวัน) ถ้ามีอะไรใหม่ปรากฏขึ้นมา

สำหรับผู้ที่ไม่มีทักษะนั้นมีแอพพลิเคชั่นประเภท "ใครที่อยู่ใน Wi-Fi ของฉัน" ที่นั่นบางแอปฟรี สิ่งที่ดีและเรียบง่ายคือ [เจ้าแบดบอยนี้] [3] เพียงแค่เริ่มอัตโนมัติด้วย Windows ปล่อยให้มันนั่งในถาดระบบและบอกให้ "เสียงเตือนบนอุปกรณ์ใหม่" และคุณจะมีสิ่งที่คล้ายกับสิ่งที่สคริปต์ของฉันทำ (ยกเว้นว่ามันจะไม่ส่ง SMS ถึงคุณ) อย่างไรก็ตามการใช้ [เครื่องมือสร้างสคริปต์อย่างง่าย] [5] คุณสามารถส่ง SMS หรืออีเมลไปยังโทรศัพท์ของคุณเมื่ออุปกรณ์ใหม่บน LAN ทำให้แอปส่งเสียงบี๊บ

หวังว่าจะช่วย

Gregg DesElms
แหล่งที่มา
ย่อหน้าสุดท้ายของคำตอบของคุณดูเหมือนจะขาดสองลิงก์
ตัวปลอมตัว Twisty
2

สิ่งที่ควรคำนึงถึงในการวิเคราะห์ความปลอดภัยก็คือสินทรัพย์ที่ต้องการการปกป้องและมูลค่าของสินทรัพย์เหล่านั้นต่อเจ้าของและผู้โจมตีที่มีศักยภาพ ฉันเดาว่าการเข้าสู่ระบบธนาคารหมายเลขบัตรเครดิตและข้อมูลการเข้าสู่ระบบอื่น ๆ ของคุณน่าจะเป็นข้อมูลที่มีค่าที่สุดในเครือข่ายภายในบ้านและสิ่งเหล่านี้ส่วนใหญ่ควรครอบคลุมการเข้ารหัส TLS / SSL ผ่านการเชื่อมต่อ ดูเหมือนว่าถ้าคุณใช้คีย์ WPA2 บนเราเตอร์ไร้สายของคุณและตรวจสอบให้แน่ใจว่าเบราว์เซอร์ของคุณใช้ https ทุกครั้งที่เป็นไปได้ (ใช้เครื่องมือเช่น https ของทุกที่) คุณก็ค่อนข้างปลอดภัย (ผู้โจมตีที่อาจเกิดขึ้นจะต้องไปที่ปัญหาของการแตกที่สำคัญ WPA2 ของคุณไปที่อาจจะได้รับรหัสผ่านที่ไม่ได้ไปมากกว่า https หรือหน้า http ที่คุณกำลังเรียกดู.)

user119824
แหล่งที่มา
2

น่าสงสัย

ฉันไม่เห็นด้วยกับคำตอบของดาวิด ในขณะที่มีการวิจัยที่ดีและฉันเห็นด้วยกับข้อมูลส่วนใหญ่ของเขาฉันคิดว่ามันเป็นแง่ร้ายเล็กน้อย

มีช่องโหว่ใน WPA2 ที่ครอบคลุมอยู่แล้วในคำตอบอื่น ๆ อย่างไรก็ตามสิ่งเหล่านี้ไม่สามารถหลีกเลี่ยงได้

โดยเฉพาะอย่างยิ่งควรสังเกตว่าการโจมตีแบบเดรัจฉานที่กล่าวถึงโดย davidgo เป็นการโจมตีจุดอ่อนใน MS-CHAPv2 ดูข้อมูลอ้างอิงของผู้เขียนที่อ้างถึง [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ] หากไม่ได้ใช้ Ms-CHAP จุดอ่อนนี้จะไม่สามารถใช้ประโยชน์ได้ (ถูกลบตามความคิดเห็นจากผู้เขียน - การอ้างอิงที่ไม่ถูกต้อง)

ด้วยวลีรหัสผ่านที่ถูกต้อง SSID และหลีกเลี่ยงเทคโนโลยีที่ถูกบุกรุกฉันไม่เห็นเหตุผลว่าทำไมเครือข่ายที่มีความปลอดภัย WPA2 ที่ใช้ AES256 จะไม่ปลอดภัยในขณะนี้ การโจมตีด้วยกำลังดุร้ายบนเครือข่ายดังกล่าวนั้นไม่สามารถทำได้และแม้แต่ Moxy Marlinspike ก็แนะนำสิ่งนี้

อย่างไรก็ตามที่ฉันเห็นด้วยกับการตอบสนองของ davidgo คือผู้ใช้ส่วนใหญ่ไม่ได้ใช้ความพยายามเหล่านี้ ฉันรู้ว่าเครือข่ายในบ้านของฉันสามารถถูกเอาเปรียบและแม้ว่าฉันรู้วิธีแก้ไขมันก็ไม่คุ้มค่าเวลาและความพยายามของฉัน

Timbo
แหล่งที่มา
MS-CHAP นั้นแตกต่างกัน (มันใช้กับ PPTP, นั่นคือการเชื่อมต่อ VPN และไม่ใช่การเชื่อมต่อไร้สายเว้นแต่ว่าคุณกำลังใช้ PPTP ผ่าน Wifi ซึ่งไม่มีจุดหมายส่วนใหญ่แล้ว MS-CHAP นั้นใช้งานไม่ได้) สิ่งที่ฉันพูดถึงกับ Cloudcracker เป็นอย่างอื่น คุณจัดทำและส่งตัวอย่างของปริมาณการใช้เครือข่ายและบริการพยายามที่จะเดรัจฉานบังคับ เหนือสิ่งอื่นใดก็พยายามที่จะถอดรหัสรหัสผ่าน WPA และ WPA2 ลิงค์คือcloudcracker.com (ไม่มีอะไรหลังจากนั้น) ฉันเห็นด้วยกับรหัสผ่านที่รัดกุม WPA2 อาจไม่สามารถใช้งานได้จริง
davidgo
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.