Çoğu meraklı için insanların Wi-Fi ağlarını kırmak gerçekten mümkün mü?

Hevesli kullanıcılar (profesyoneller olmasalar bile) ortalama ev yönlendiricisinin güvenliğini aşmak için iyi bilinen teknikleri kullanabilirler mi?

Bazı temel güvenlik seçenekleri:

• çeşitli şifreleme yöntemleriyle güçlü ağ şifresi
• özel yönlendirici erişim şifresi
• WPS
• SSID yayını yok
• MAC adresi filtreleme

Bunlardan bazıları tehlikeye giriyor mu ve ev ağını daha güvenli hale getirmek için ne yapmalı?

Anlambilimi savunmadan, evet, ifade doğrudur.

WEP, WPA ve WPA2 dahil olmak üzere WIFI şifrelemesi için birçok standart vardır. WEP tehlikeye girer, bu yüzden kullanıyorsanız, güçlü bir şifre ile bile önemsiz şekilde kırılabilir. WPA'nın kırılması daha zor olduğuna inanıyorum (ancak bunu atlayan WPS ile ilgili güvenlik sorunlarınız olabilir) ve Ekim 2017 itibariyle, WPA2 de şüpheli güvenlik sunuyor. Ayrıca, makul derecede zor şifreler bile zorla zorlanabilir - Moxie Marlinspike - iyi bilinen bir bilgisayar korsanı , bunu yapmak için bulut bilişim kullanarak 17 ABD doları karşılığında bir hizmet sunar - garanti edilmese de.

Güçlü bir yönlendirici şifresi, WIFI tarafında birisinin yönlendiriciden veri iletmesini engellemek için hiçbir şey yapmaz, bu nedenle konuyla alakasızdır.

Gizli bir ağ bir efsanedir - bir ağın siteler listesinde görünmemesi için kutular varken, istemciler WIFI yönlendiriciyi işaret eder, böylece durumları önemsiz bir şekilde algılanır.

MAC filtreleme, bir şakadır (çoğu / tümü?) WIFI cihazları mevcut bir MAC adresini klonlamak ve MAC filtrelemeyi atlamak için programlanabilir / yeniden programlanabilir.

Ağ güvenliği büyük bir konudur ve bir Süper kullanıcı sorusuna uygun bir şey değildir, ancak temel hususlar, güvenlik katmanları halinde inşa edildiğinden, bazıları tehlikeye girse bile, hepsinin yeterli olmadığı durumlarda herhangi bir sisteme girilebilir, kaynaklar ve bilgi, yani güvenlik aslında "saldırıya uğrayabilir" değil, "kesilmesi ne kadar sürecek" sorusudur. WPA ve güvenli bir şifre "Joe Average" a karşı koruma sağlar.

WIFI ağınızın korumasını geliştirmek istiyorsanız, onu yalnızca bir taşıma katmanı olarak görüntüleyebilir ve bu katman boyunca giden her şeyi şifreleyip filtreleyebilirsiniz. Bu, insanların büyük çoğunluğu için çok büyük bir öneme sahiptir, ancak bunu yapmanın bir yolu, yönlendiriciyi yalnızca sizin kontrolünüzdeki belirli bir VPN sunucusuna erişime izin verecek şekilde ayarlamak ve her müşterinin VPN üzerinden WIFI bağlantısı üzerinden kimlik doğrulamasını gerektirmesidir - Bu nedenle, WIFI tehlikeye atılsa bile, yenilecek başka [daha sert] katmanlar vardır. Büyük kurumsal ortamlarda bu davranışın bir alt kümesi nadir değildir.

Bir ev ağını daha iyi güvenli hale getirmenin daha basit bir alternatifi, WIFI'yi tamamen çentiklemek ve yalnızca kablolu çözümler gerektirir. Cep telefonları veya tabletler gibi şeyler varsa, bu olsa pratik olmayabilir. Bu durumda, yönlendiricinizin sinyal gücünü azaltarak riskleri azaltabilirsiniz (kesinlikle ortadan kaldırmazsınız). Ayrıca evinizi koruyabilirsiniz, böylece frekans daha az sızıntı yapar - Yapmadım, ancak güçlü söylenti (araştırılmış), evin dışına bile alüminyum bir örgüsünün (sinek ekranı gibi) bile olsa, iyi topraklamanın çok büyük olabileceğini gösteriyor kaçacak sinyalin miktarı arasındaki fark. [Ama tabii ki, güle güle cep telefonu kapsama]

Koruma cephesinde, bir başka alternatif yönlendiricinizi (eğer yapabiliyorsa, çoğu yapamaz, ama ağın üzerinden geçen tüm paketleri günlüğe kaydetmek için openwrt ve muhtemelen domates / dd-wrt çalıştırabilen router'lar) almak olabilir. ve ona göz kulak olmak - Cehennem, sadece çeşitli arayüzlerin içinde ve dışında toplam bayt bulunan anomalileri izlemeniz bile size iyi bir koruma sağlayabilir.

Günün sonunda, belki de sorulması gereken soru şudur: "Ağa sızmak için sıradan bir bilgisayar korsanlarının zamanına değmemesi için ne yapmalıyım" veya "Ağımın güvenliğini korumanın gerçek maliyeti nedir" ve Buradan. Hızlı ve kolay bir cevap yok.

Güncelleme - Ekim 2017

WPA2 kullanan çoğu müşteri - yamalı olmadığı sürece - WPA2 standardındaki bir zayıflık olan "Anahtar Yeniden Yükleme Atakları - KRACK" kullanarak trafiğini düz metin olarak gösterebilir . Özellikle, bu ağa veya PSK’ya yalnızca hedeflenen cihazın trafiğine erişim sağlamaz.

Diğerlerinin dediği gibi, SSID gizlenmesinin kırılması çok önemlidir. Aslında, ağınız SSID'sini yayınlamamış olsa bile Windows 8 ağ listesinde varsayılan olarak görünecektir. Ağ hala varlığını işaret çerçevelerinden biriyle yayınlamaktadır; bu seçenek işaretliyse sadece SSID'yi işaret çerçevesine dahil etmez. SSID, mevcut ağ trafiğinden elde etmek için çok önemlidir.

MAC filtreleme de çok faydalı değildir. Bir WEP çatlağını indiren senaryo kiddie'sini kısaca yavaşlatabilir, ancak kesinlikle ne yaptıklarını bilen bir kimseyi durdurmayacaktır, çünkü meşru bir MAC adresini bozabilirler.

WEP ile ilgili olarak, tamamen bozuldu. Şifrenizin gücü burada önemli değil. WEP kullanıyorsanız, güçlü bir şifreniz olsa bile, herkes ağınıza çok hızlı bir şekilde girecek yazılımı indirebilir.

WPA, WEP'ten çok daha güvenlidir, ancak yine de kırıldığı kabul edilmektedir. Donanımınız WPA'yı destekliyor ancak WPA2'yi desteklemiyorsa, hiç yoktan iyidir, ancak kararlı bir kullanıcı muhtemelen doğru araçlarla kırabilir.

WPS (kablosuz korumalı kurulum), ağ güvenliğinin temelidir. Hangi ağ şifreleme teknolojisini kullandığınızdan bağımsız olarak devre dışı bırakın.

WPA2 - özellikle AES kullanan versiyonu - oldukça güvenlidir. İyi bir şifreniz varsa, arkadaşınız şifreyi almadan WPA2 güvenli ağınıza giremez. Şimdi, NSA ağınıza girmeye çalışıyorsa, bu başka bir konudur. O zaman sadece kablosuz tamamen kapatmak gerekir. Ve muhtemelen internet bağlantınız ve tüm bilgisayarlarınız. Yeterli zaman ve kaynaklar göz önüne alındığında, WPA2 (ve başka herhangi bir şey) saldırıya uğrayabilir, ancak muhtemelen ortalama hobilerinizin emrinde olacağından çok daha fazla zaman ve daha fazla yetenek gerektirecektir.

David'in dediği gibi asıl soru 'Bu saldırıya uğrayabilir mi?' Değil. ama, "Belirli bir yetenek grubuna sahip birini kesmek ne kadar sürer?" Açıkçası, bu sorunun cevabı, bu özel yeteneklerin ne olduğuna bağlı olarak büyük ölçüde değişiyor. Ayrıca güvenliğin katmanlarda yapılması gerektiği konusunda kesinlikle haklı. Önemsediğiniz şeyler, önce şifrelenmeden ağınız üzerinden geçmemelidir. Yani, eğer biri kablosuzyken zorla girerse, internet bağlantınızı kullanmanın dışında bir anlam ifade edemez. Güvenli olması gereken herhangi bir iletişim, muhtemelen TLS veya bu tür bir PKI şeması aracılığıyla kurulmuş güçlü bir şifreleme algoritması (AES gibi) kullanmalıdır. E-postanızın ve diğer hassas web trafiğinin şifreli olduğundan ve girmediğinizden emin olun.

Güncelleme 17 Ekim 2017 - Bu cevap, hem WPA hem de WPA2'yi etkileyen önemli bir yeni güvenlik açığı keşfedilmeden önceki durumu yansıtır. Anahtar Yeniden yükleme Saldırı (Krack) Wi-Fi için el sıkışma protokolünde bir güvenlik açığının yararlanır. Dağınık şifreleme ayrıntılarına girmeden (bağlantılı web sitesinden okuyabilirsiniz), tüm Wi-Fi ağları, hangi şifreleme algoritmasını kullandıklarına bakılmaksızın yamaları kadar kırılmış olarak kabul edilmelidir.

İlgili InfoSec.SE KRACK ile ilgili sorular:
WPA2 KRACK saldırısının sonuçları
VPN'i karşılayamazsam kendimi KRACK'tan nasıl koruyabilirim?

Bu konudaki diğer cevaplar iyi olduğu için, somut bir cevap isteyenler için (peki ... bu Süper Kullanıcı, öyle değil mi?), Sorunun kolayca çevrilebileceğini düşünüyorum: "Ne yapmalıyım? WiFi ağı güvenli mi? " .
Diğer cevaplardan herhangi birini ihmal etmeden (veya onaylamadan), bu benim kısa cevabım:

Kriptolog Bruce Schenier'in sözleri birçok kullanıcının hatırlaması için faydalı olabilir:

Tek gerçek çözüm, güç kablosunu prizden çekmektir.

Bu genellikle kablosuz ağlara uygulanabilir : sürekli çalışmasına ihtiyacımız var mı?
Birçok yönlendirici , D-Link DSL-2640B gibi kablosuz bağlantıyı etkinleştirmek / devre dışı bırakmak için bir WiFi düğmesine sahiptir . Değilse , Windows'ta iMacros (Firefox için bir uzantı olarak bulunur) veya bağımsız bir program olarak bulunur) ve Windows'taki Linux gibi pek çok aracı kullanarak kablosuzyı etkinleştirme / devre dışı bırakma özelliğini her zaman otomatikleştirebilirsiniz .

Ve işte WPA (lütfen, unut WEP ) şifresi için iki püf noktası ( iyi bir WPA şifresi saldırıları çok zorlaştıracaktır) oluşturma ( varsayılan şifreyi saklamayın ):

1. Var olmayan ve / veya yabancı sözcükleri kullanın : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (bunları bulmak için basit bir sözlük kullanılamaz).
2. Kendi hatırlaması kolay (en azından sizin için) cümlenizi oluşturun ve her kelimenin ilk karakterini alarak şifrenizi tanımlayın. Sonuçlar, kırılması zor (minimum 8 karakter) ancak büyük ve küçük harfler , sayılar ve diğer bazı alfabetik olmayan karakterler içeren şifreyi hatırlaması kolay olacak : "İki oğlunuz ve 3 kediniz var ve onları seviyorsunuz. " -> "Yh2sa3c, aylt."
   

Ve, Tanrı aşkına: şu anda WPS'yi devre dışı bırak ! Tamamen kusurlu .

Bahsettiğiniz hiçbir şey (ağ şifresi dışında) bir Wi-Fi ağının kesilmesini gerçekten etkilemez. Bir MAC adres filtresi ve gizli SSID olarak insomuch, güvenlik açısından gerçekten yardımcı olacak hiçbir şey yapmaz.

Asıl önemli olan ağda kullanılan şifreleme türüdür. WEP gibi eski ağ şifrelemeleri kırmak için önemsizdi, çünkü yeterince trafikle onları deşifre edebilir ve ihtiyaç duyduğunuz trafiği oluşturmaya zorlayabilirsiniz.

WPA2 gibi daha yeni olanlar, ancak çok daha güvenlidir. Şimdi, hiçbir şey tüm rakiplere karşı 'güvenli' değildir, ancak bu genellikle ev Wi-Fi için yeterlidir.

Bu büyük bir konu ve bu sadece buzdağının tepesine değiyor, ama umarım yardımcı olur.

WEP ve WPA1 / 2 (WPS etkin) önemsiz şekilde saldırıya uğrayabilir; birincisi, ele geçirilmiş IV'leri ve ikincisi WPS PIN bruteforce kullanarak (3 parça pininden sadece 11.000 olası kombinasyon); 4 rakam [10,000 mümkün] + 3 rakam [1.000 mümkün] + 1 rakam sağlama [geri kalandan hesaplanmıştır]) .

WPA1 / 2 güçlü bir parola ile daha zordur, ancak GPU kırma ve bruteforce tekniği kullanmak, bazı zayıf olanları etkileyebilir.

İş ağımdaki şahsen WEP ve WPS'i kırdım (izniyle, işverenime açıkları gösterdim), ancak henüz WPA'yı başarılı bir şekilde kırmadım.

Bu büyük bir soru ve çok güvenli kablosuz hazırlamak için kritik noktalar gereken iyi bilinmelidir. Yönelticinizi / ağ geçidinizi / AP'nizi aşağıdaki şekilde yapılandırın:

• kablosuz güvenlik yalnızca WPA2'dir
• şifreleme yalnızca AES
• birden çok kelime içeren önceden paylaşılmış bir anahtar kullanın (örn. IloveSuperUser)
• WPS'yi devre dışı bırak
• uzaktan yönetimi devre dışı bırak

Bu kadar! Tüm pratik amaçlar için artık tamamen güvenli kablosuz bağlantıya sahipsiniz.

Over Cisco Learning Network forum, bir iş parçacığı marş sorular:

WPA / TKIP kırılabilir mi? Konukevimdeki biri 80 gig veri kullandı ya da yakınlardaki biri şifreyi kırdı ve kullandı. Konukevinde birinden şüpheliyim, çünkü WPA / TKIP'nin çatlayabileceğine ve kırılması durumunda bile kolay yapılamayacağına inanmak zor. WPA / TKIP'yi kırmak ne kadar zorsa? Yine de onlar için şifreyi değiştirmek istiyorum, kullanabilir miyim - ve _ ve? karakterler?

Belli ki çok "zeki" bir zeki adam, bu konuşmayı , iş parçacığı başlatıcısının, burada (ve diğerleri de, eğer ilgileniyorlarsa, burada da) okuması gereken bir yazı yazdı .

Özellikle, “Çözümler:” kelimeleriyle başladığı yerdeki kayıtlarının aşağı yukarı üçte ikisinden okumak.

Ağ geçidimin " WPA-PSK (TKIP) / WPA2-PSK (AES) " ayarını kullanıyorum. Zach'in ilanına uyduğunda ...

Yönlendiricinizin adını benzersiz bir şeyle değiştirin. ESSID'niz WLAN yardımcınız tarafından PMK üzerindeki şifreleme tuzu olarak kullanılır. Bunu değiştirmek, hesaplama öncesi saldırıları ortadan kaldıracaktır.

... uzun zamandır kendi benzersiz ESSID'imi kullandım. Ayrıca, onun ...

Benzersiz karakterler, sayılar, büyük harfler yanlış benzersiz bir şifre oluşturun. birden çok kelime ve küçük harf Bu, uzunluktan daha önemlidir. Şifrenin uzunluğunun arttırılması, yalnızca şifreler gücünü artıracak ancak gizlice uzun olması gerekmez. Güç , potansiyelin varyansında yatmaktadır . Bu, sözlük saldırılarını ortadan kaldıracak ve bir süper bilgisayar olmadan kaba kuvveti imkansız hale getirecektir.

... benimki, harflerden, sayılardan, büyük ve küçük harflerden ve özel karakterlerden oluşan 25 karakterdir. Hiçbir kısmı hiçbir şey ifade etmiyor.

Zach'in yaptığı ve saymadığı birkaç şey daha yapıyorum; ama yukarıda belirtilenlere ek olarak ve başka şeyler de söyledi ve en azından burada yazdıklarının ruhunda ...

Ayrıntılı günlük kaydını etkinleştirin ve mümkünse e-postanıza iletin.

... Uzun zaman önce, Windows başlangıcında otomatik olarak başlayan ve sadece sistem tepsisinde çalışan bir kod dosyası kodu yazdım; hangi kodun periyodik olarak, gün boyunca, yenilenmesi ve ardından tüm bağlı cihazları listeleyen ağ geçidimdeki web sayfasını ayrıştırması; ve daha sonra masaüstündeki dizüstü bilgisayarımın her ikisinde de anakart hoparlöründen üçlü bir bip sesi çıkardığını (normal ses hoparlörleri değil, sadece sessiz veya başka bir şey olması durumunda) olduğunu söyledi. ekrana ve ayrıca telefonumun metinlerine (ya benim kemerimdeki kese içinde ya da en azından hiçbir zaman benden beş metreden fazla, 24/7/365), eğer yeni bir şey ortaya çıktıysa.

Bu beceriye sahip olmayanlar için, bazıları ücretsiz olan birkaç tane "WI-FI'ımda kim var" tipi uygulamalar var. İyi ve basit olanı [bu kötü çocuk] [3]. Yalnızca Windows ile otomatik olarak başlatın, sistem tepsisinde oturmasına izin verin ve "yeni cihazda bip sesi çıkarmasını" söyleyin; betiğimde yaptığınıza benzer bir şeye sahip olacaksınız (SMS göndermemeniz dışında). Ancak, [basit bir komut dosyası aracı] [5] kullanarak, LAN üzerindeki yeni bir cihaz uygulamayı bip sesi çıkardığında telefonunuza SMS veya e-posta gönderilmesine neden olabilirsiniz.

Umarım yardımcı olur.

Herhangi bir güvenlik analizine bir başka dikkat edilmesi gereken korumaya sahip varlıklar ve bu varlıkların mal sahibi ve potansiyel bir saldırganın değeridir. Bankacılık giriş bilgilerinizin, kredi kartı numaranızın ve diğer giriş bilgilerinizin muhtemelen bir ev ağından geçen en değerli bilgiler olduğunu ve bunun çoğunun bir https bağlantısı üzerinden TLS / SSL şifrelemesi kapsamında olması gerektiğini tahmin ediyorum. Görünen o ki, wifi yönlendiricinizde bir WPA2 anahtarı kullanıyorsanız ve tarayıcınızın mümkün olduğunda https kullandığından emin olun (her yerde eff's https gibi bir araç kullanarak), oldukça güvendesiniz. (Bir potansiyel saldırgan için WPA2 anahtarını çatlama sorun gitmek zorunda kalacak belki tarama konum https veya http sayfaları üzerinden gitmez bir şifre almak.)

Şüpheli .

Davidgo'nun cevabına katılmıyorum. İyi araştırılmış ve bilgilerinin çoğuyla aynı fikirdeyken, biraz karamsar olduğunu düşünüyorum.

WPA2'de zaten diğer cevaplarda kapsanan güvenlik açıkları vardır. Ancak bunların hiçbiri kaçınılmaz değildir.

Özellikle, davidgo tarafından belirtilen kaba kuvvet saldırısının MS-CHAPv2'de bir zayıflığa yönelik bir saldırı olduğu not edilmelidir. Alıntı yapılan yazarın referansına bakınız [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Ms-CHAP kullanılmazsa, bu zayıflıktan yararlanılamaz. (yazarın yorumuna dayanarak silindi - yanlış referans)

Doğru geçiş ifadesi olan SSID ve ödün vermeyen teknolojiden kaçınmakla, AES256 kullanan bir WPA2 güvenli ağın şu anda güvenli olmayacağına dair hiçbir neden göremiyorum. Bu tür ağlara yapılan kaba kuvvet saldırıları mümkün değildir ve Moxy Marlinspike bile bunu önermektedir.

Ancak, davidgo'nun cevabına katılıyorum, çoğu kullanıcının bu çabaları yapmadığı yönünde. Kendi ev ağımın sömürülebileceğini biliyorum ve nasıl düzelteceğimi bilmeme rağmen, bu benim zamanım ve çabam için değmez.