Действительно ли возможно для большинства энтузиастов взломать сети Wi-Fi?

Вопрос

Читатель SuperUser Sec хочет знать, действительно ли большинство энтузиастов могут взломать сети Wi-Fi:

Я слышал от надежного эксперта по компьютерной безопасности, что большинство энтузиастов (даже если они не профессионалы), использующих только руководства из Интернета и специализированное программное обеспечение (например, Kali Linux с включенными в комплект инструментами), могут прорваться через систему безопасности вашего домашнего маршрутизатора.

Люди утверждают, что это возможно, даже если у вас есть:

• Надежный сетевой пароль
• Надежный пароль роутера
• Скрытая сеть
• Фильтрация MAC

Я хочу знать, миф это или нет. Если маршрутизатор имеет надежный пароль и фильтрацию MAC, как это можно обойти (я сомневаюсь, что они используют грубую силу)? Или, если это скрытая сеть, как они могут обнаружить ее, и если это возможно, что вы можете сделать, чтобы сделать вашу домашнюю сеть действительно безопасной?

Как младший студент информатики, я чувствую себя плохо, потому что иногда со мной спорят по таким предметам, и у меня нет веских аргументов или я не могу объяснить это технически.

Действительно ли это возможно, и если да, то на какие «слабые стороны» в сети Wi-Fi будет ориентироваться энтузиаст?

Ответ

Авторы SuperUser Дэвидго и Рейраб имеют ответ для нас. Прежде всего, Давидго:

Не оспаривая семантику, да, утверждение верно.

Существует множество стандартов для шифрования Wi-Fi, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы используете его, даже с надежным паролем, он может быть тривиально нарушен. Я считаю, что WPA и WPA2 намного сложнее взломать (но у вас могут быть проблемы безопасности, связанные с WPS, которые обходят это). Кроме того, даже достаточно надежные пароли могут быть взломаны. Мокси Марлиспайк, известный хакер, предлагает услугу для этого примерно за 30 долларов США с использованием облачных вычислений — хотя это не гарантируется.

Надежный пароль маршрутизатора не сделает ничего, чтобы помешать кому-либо на стороне Wi-Fi передавать данные через маршрутизатор, так что это не имеет значения.

Скрытая сеть — это миф. В то время как есть поля, чтобы сеть не появлялась в списке сайтов, клиенты передают сигнал WIFI-маршрутизатору, поэтому его присутствие обнаруживается тривиально.

Фильтрация MAC-адресов — это шутка, поскольку многие (большинство / все?) Устройства Wi-Fi могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов.

Сетевая безопасность — это большая тема, и она не поддается вопросу SuperUser. Но основы в том, что безопасность строится по уровням, так что даже если некоторые из них скомпрометированы, не все. Кроме того, в любую систему можно проникнуть, если у нее достаточно времени, ресурсов и знаний; так что безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени это займет» для взлома. WPA и безопасный пароль защищают от «Joe Average».

Если вы хотите улучшить защиту вашей сети Wi-Fi, вы можете рассматривать ее только как транспортный уровень, а затем шифровать и фильтровать все, что происходит на этом уровне. Это избыточно для подавляющего большинства людей, но один из способов сделать это — настроить маршрутизатор так, чтобы он разрешал доступ только к определенному VPN-серверу под вашим контролем, и требовал, чтобы каждый клиент проходил аутентификацию через соединение Wi-Fi через VPN. Таким образом, даже если Wi-Fi скомпрометирован, есть и другие (более сложные) уровни, которые нужно победить. Подмножество этого поведения весьма распространено в больших корпоративных средах.

Более простой альтернативой более надежной защите домашней сети является отказ от Wi-Fi и использование только кабельных решений. Если у вас есть такие вещи, как сотовые телефоны или планшеты, это может быть непрактично. В этом случае вы можете уменьшить риски (конечно, не устранить их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом так, чтобы ваша частота просачивалась меньше. Я этого не делал, но ходят слухи о том, что даже алюминиевая сетка (например, экран от мух) с внешней стороны вашего дома с хорошим заземлением может иметь огромное значение для количества сигнала, который будет выходить. Но, конечно, до свидания покрытие сотового телефона.

Что касается защиты, другой альтернативой может быть получение вашего маршрутизатора (если он способен это делать, большинство не способны, но я бы предположил, что маршрутизаторы, работающие с openwrt и, возможно, tomato / dd-wrt) могут регистрировать все пакеты, проходящие через вашу сеть, и следить за этим. Даже простой мониторинг аномалий с общим количеством байтов в и из различных интерфейсов может дать вам хорошую степень защиты.

В конце дня, возможно, возникнет вопрос: «Что мне нужно сделать, чтобы случайный хакер не потратил время на проникновение в мою сеть?» Или «Какова реальная стоимость взлома моей сети?», и идти оттуда. Там нет быстрого и простого ответа.

Далее следует ответ от Рейраба:

Как уже говорили другие, сокрытие SSID тривиально сломать. Фактически, ваша сеть будет отображаться по умолчанию в списке сетей Windows 8, даже если она не передает свой SSID. Сеть все еще транслирует свое присутствие через фреймы маяка; он просто не включает SSID в кадр маяка, если эта опция отмечена. SSID тривиально получить из существующего сетевого трафика.

Фильтрация MAC также не очень полезна. Это может на короткое время замедлить работу сценариста, который скачал взлом WEP, но это определенно не остановит тех, кто знает, что они делают, поскольку они могут просто подделать действительный MAC-адрес.

Что касается WEP, он полностью сломан. Надежность вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое довольно быстро проникнет в вашу сеть, даже если у вас есть надежный пароль.

WPA значительно более безопасен, чем WEP, но все еще считается сломанным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но решительный пользователь, вероятно, сможет взломать его с помощью подходящих инструментов.

WPS (Wireless Protected Setup) — это угроза сетевой безопасности. Отключите его независимо от того, какую технологию шифрования сети вы используете.

WPA2, в частности версия, в которой используется AES, достаточно безопасна. Если у вас есть пароль снижения, ваш друг не сможет войти в защищенную сеть WPA2 без получения пароля. Теперь, если АНБ пытается проникнуть в вашу сеть, это другое дело. Тогда вам следует просто полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но для этого, вероятно, потребуется гораздо больше времени и гораздо больше возможностей, чем будет у вашего среднего любителя.

Как сказал Дэвид, реальный вопрос не в том, «это можно взломать?», А в том, «сколько времени потребуется, чтобы взломать кого-то с определенным набором способностей?». Очевидно, что ответ на этот вопрос сильно различается в зависимости от того, что это за набор возможностей. Он также абсолютно прав, что безопасность должна быть сделана слоями. Вещи, которые вас интересуют, не должны передаваться по вашей сети без предварительного шифрования. Так что, если кто-то взломает вашу беспроводную связь, он не сможет проникнуть во что-то значимое, кроме использования вашего интернет-соединения. Любая связь, которая должна быть безопасной, должна по-прежнему использовать надежный алгоритм шифрования (например, AES), возможно, настроенный с помощью TLS или какой-либо подобной схемы PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрованы и что на ваших компьютерах не запущены никакие службы (например, общий доступ к файлам или принтерам) без надлежащей системы аутентификации.

Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других опытных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .