Lai gan lielākajai daļai no mums, visticamāk, nekad nebūs jāuztraucas par to, ka Wi-Fi tīkls ir uzlauzts, cik grūti ir, lai kāds entuziasts varētu ienest personas Wi-Fi tīklu? Šodienas SuperUser Q & A ziņā ir atbildes uz vienu lasītāja jautājumiem par Wi-Fi tīkla drošību.
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
Foto pieklājīgi no Brian Klug (Flickr).
SuperUser lasītājs Sec vēlas uzzināt, vai lielākajai daļai entuziasti patiešām ir iespējams ielauzties Wi-Fi tīklos:
Es dzirdēju no uzticama datora drošības eksperta, ka lielākā daļa entuziastu (pat ja viņi nav profesionāļi), izmantojot tikai ceļveži no interneta un specializētu programmatūru (t.i., Kali Linux ar iekļautajiem rīkiem), var izlauzties jūsu mājas maršrutētāja drošības dēļ.
Cilvēki apgalvo, ka tas ir iespējams, pat ja jums ir:
- Spēcīga tīkla parole
- Spēcīga maršrutētāja parole
- Slēpts tīkls
- MAC filtrēšana
Es gribu uzzināt, vai tas ir mīts vai nē. Ja maršrutētājam ir spēcīga parole un MAC filtrēšana, kā to var apiet (es šaubos, ka viņi izmanto brutālu spēku)? Vai arī, ja tas ir slēpts tīkls, kā to var atklāt, un, ja tas ir iespējams, ko jūs varat darīt, lai jūsu mājas tīkls patiešām būtu drošs?
Kā jaunākais datorzinātņu students es jūtos slikti, jo reizēm hobiji ar mani runā par šādiem priekšmetiem, un man nav spēcīgu argumentu vai to nevar tehniski izskaidrot.
Vai tas patiešām ir iespējams, un ja tā, kādi ir "vājie" punkti Wi-Fi tīklā, uz kuriem vērš uzmanību entuziasts?
SuperUser atbalstītāji davidgo un reirab ir atbilde mums. Pirmais uz augšu, davidgo:
Neapstrīdot semantiku, jā, paziņojums ir taisnība.
Ir vairāki Wi-Fi šifrēšanas standarti, tostarp WEP, WPA un WPA2. WEP tiek apdraudēts, tādēļ, ja jūs to lietojat, pat ar spēcīgu paroli, tas var būt nedaudz bojāts. Es uzskatu, ka WPA un WPA2 ir daudz grūtāk ielauzties (bet jums var būt drošības problēmas saistībā ar WPS, kas to apiet). Arī pat samērā grūti paroles var būt brutāli piespiedu kārtā. Moksija Marlispike, labi pazīstams hackers piedāvā pakalpojumu, lai to paveiktu apmēram 30 ASV dolāru apmērā, izmantojot mākoņdatošanu, lai gan tas nav garantēts.
Spēcīga maršrutētāja parole nedarīs neko, lai kāds no Wi-Fi pusei nevarētu pārraidīt datus maršrutētājā, tāpēc tas nav nozīmes.
Slēptais tīkls ir mīts. Kamēr ir lodziņi, lai tīkls netiktu parādīts vietņu sarakstā, klienti tiek pieslēgti WIFI maršrutētājam, tādēļ tā klātbūtne ir triviāli noteikta.
MAC filtrēšana ir joks, jo daudzi (lielākā daļa / visas?) Wi-Fi ierīces var ieprogrammēt / pārprogrammēt, lai klonētu esošo MAC adresi un apietu MAC filtrēšanu.
Tīkla drošība ir liels priekšmets, nevis kaut kas saistīts ar SuperUser jautājumu. Bet pamati ir tas, ka drošība tiek veidota slāņos tā, ka pat tad, ja daži ir apdraudēti, ne visi ir. Arī jebkura sistēma var iekļūt ar pietiekami daudz laika, resursiem un zināšanām; tāpēc drošība faktiski nav tik daudz jautājums par to, vai to var uzlauzt, bet gan par to, cik ilgi tas būs vajadzīgs. WPA un droša parole tiek aizsargāta pret "Joe Average".
Ja vēlaties uzlabot Wi-Fi tīkla aizsardzību, to var skatīt tikai kā transporta slāni, pēc tam šifrēt un filtrēt visu, kas notiek šajā slānī. Tas ir pārspīlēts lielākajai daļai cilvēku, taču viens no iespējamajiem risinājumiem ir maršrutētāja iestatīšana, kas ļauj piekļūt tikai konkrētam VPN serverim zem jūsu kontroles un pieprasīt, lai katrs klients autentificētu visā Wi-Fi savienojumā visā VPN. Tādējādi, pat ja Wi-Fi ir apdraudēta, ir citi (grūtāk) slāņi, lai uzvarētu. Šīs uzvedības apakškopas lielās korporatīvajās vidēs nav nekas neparasts.
Vienkāršāka alternatīva mājas tīkla labākajai aizsardzībai ir kopumā savienot Wi-Fi un pieprasīt tikai šķiedru risinājumus. Ja jums ir tādas lietas kā mobilajos tālruņos vai planšetdatoros, tas var nebūt praktiski. Šajā gadījumā jūs varat mazināt riskus (noteikti nenovērš tos), samazinot maršrutētāja signāla stiprumu. Jūs varat arī pasargāt savu māju, lai jūsu frekvence noplūdes mazāk. Es to neesmu izdarījis, taču spēcīgs baumas (izpētītas) liecina, ka pat alumīnija režģis (piemēram, lidojuma ekrāns) ārpus jūsu mājām ar labu zemējumu var būtiski mainīt signāla daudzumu, kas izbēgs. Bet, protams, līdzbraucēji mobilo telefonu segumu.
Aizsardzības priekšā cita iespēja ir iegūt maršrutētāju (ja tas to var izdarīt, lielākā daļa no tiem nav, bet es domāju, ka maršrutētāji, kas darbojas openwrt un, iespējams, tomātu / dd-wrt var), lai reģistrētu visus paketes, kas šķērso jūsu tīklu un paturot acu par to. Pat vienkārša novērošana anomālijām ar kopējiem baitiem dažādās saskarnēs un no tām var jums nodrošināt labu aizsardzības pakāpi.
Dienas beigās varbūt jautājums, ko uzdot, ir: "Kas man jādara, lai nebūtu vērts, lai ikdienas hakeru laiks tiktu iekļuvis manā tīklā?" Vai "Kādas ir reālās izmaksas, kas saistītas ar mana tīkla traucējumiem?" un iet no turienes. Nav ātras un viegli atbildes.
Seko atbilde no reirab:
Kā citi teica, SSID slēpšana ir triviāla, lai pārtrauktu. Patiesībā, jūsu tīkls pēc noklusējuma parādīsies Windows 8 tīkla sarakstā, pat ja tas netiek pārsūtīts ar savu SSID. Tīkls joprojām pārraida savu klātbūtni, izmantojot bākas stacijas; tas tikai neietver SSID bāka, ja šī opcija ir atzīmēta. SSID ir maznozīmīgs, lai iegūtu no esošās tīkla trafikas.
MAC filtrēšana arī nav ārkārtīgi noderīga. Tas var īslaicīgi palēnināt skripta kiddie, kas lejupielādēja WEP kreka, bet tas noteikti nenāks apturēt ikvienu, kurš zina, ko viņi dara, jo tas var tikai šifrēt likumīgu MAC adresi.
Ciktāl tas attiecas uz WEP, tas ir pilnīgi sadalīts. Paroles spēks nav svarīgs šeit. Ja jūs izmantojat WEP, ikviens var lejupielādēt programmatūru, kas ielauž jūsu tīklu diezgan ātri, pat ja jums ir spēcīga parole.
WPA ir ievērojami drošāks nekā WEP, taču tas joprojām tiek uzskatīts par salauztu. Ja jūsu aparatūra atbalsta WPA, bet ne WPA2, tas ir labāks nekā nekas, bet noteiktu lietotājs, iespējams, var ielauzties ar pareizajiem rīkiem.
WPS (Wireless Protected Setup) ir tīkla drošības trūkums. Atspējojiet to neatkarīgi no tīkla šifrēšanas tehnoloģijas, kuru izmantojat.
WPA2, jo īpaši tā versija, kurā izmanto AES, ir diezgan droša. Ja jums ir nolaišanās parole, jūsu draugs nesaņems savu WPA2 drošo tīklu, neiegūstot paroli. Tagad, ja NSA mēģina iekļūt jūsu tīklā, tas ir vēl viens jautājums. Tad jums vajadzētu vienkārši pilnībā izslēgt bezvadu. Un, iespējams, arī jūsu interneta pieslēgums un visi jūsu datori. Ņemot pietiekami daudz laika un resursu, WPA2 (un kaut kas cits) var tikt uzlauzts, bet tas, visticamāk, prasīs daudz vairāk laika un daudz vairāk iespēju, nekā jūsu vidējais hobijs būs savā rīcībā.
Kā teica Dāvids, patiesais jautājums nav "Vai to var uzlauzt?", Bet drīzāk, "cik ilgi tas prasīs kādu, kam ir īpašas iespējas, lai to iznīcinātu?" Acīmredzot atbilde uz šo jautājumu ievērojami atšķiras atkarībā no tā, kāda ir šī konkrētā spēju kopa. Viņš arī ir pilnīgi pareizi, ka drošība jāveic slāņos. Sīkumi, kas jums rūpējas, nevajadzētu iet pa tīklu, vispirms šifrējot. Tātad, ja kāds ielaužas jūsu bezvadu sakaru ierīcēs, viņiem nevajadzētu iekļūt neko vietā, izņemot, iespējams, izmantojot jūsu interneta pieslēgumu. Jebkurā komunikācijā, kas ir droša, joprojām vajadzētu izmantot spēcīgu šifrēšanas algoritmu (piemēram, AES), kas, iespējams, ir izveidots, izmantojot TLS vai kādu no šādām PKI shēmām. Pārliecinieties, vai jūsu e-pasts un jebkura cita jutīga tīmekļa trafika ir šifrēta un ka datoros netiek izmantoti nekādi pakalpojumi (piemēram, failu vai printera koplietošana), nepastāvot pienācīgai autentifikācijas sistēmai.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
