Können die meisten begeisterten Benutzer (auch wenn sie keine Profis sind) bekannte Techniken anwenden, um die Sicherheit eines durchschnittlichen Heimrouters zu durchbrechen?
Einige grundlegende Sicherheitsoptionen sind:
- starkes Netzwerkkennwort mit verschiedenen Verschlüsselungsmethoden
- Passwort für den benutzerdefinierten Router-Zugriff
- WPS
- keine SSID-Übertragung
- MAC-Adressenfilterung
Sind einige davon gefährdet und was ist zu tun, um das Heimnetzwerk sicherer zu machen?
wireless-networking
router
security
kvhadzhiev
quelle
quelle
Antworten:
Ohne die Semantik zu streiten, ist die Aussage richtig.
Für die WLAN-Verschlüsselung gibt es mehrere Standards, einschließlich WEP, WPA und WPA2. WEP ist kompromittiert. Wenn Sie es verwenden, kann es auch mit einem starken Passwort unwichtig sein. Ich bin jedoch der Meinung, dass WPA viel schwieriger zu knacken ist (möglicherweise haben Sie jedoch Sicherheitsprobleme in Bezug auf WPS, die dies umgehen), und ab Oktober 2017 bietet WPA2 auch fragwürdige Sicherheit. Auch ziemlich harte Passwörter können brutal erzwungen werden - Moxie Marlinspike - ein bekannter Hacker bietet einen Service an Um dies mit Cloud Computing um 17 US-Dollar zu erreichen, ist dies jedoch nicht garantiert.
Ein starkes Router-Passwort verhindert nicht, dass jemand auf der WLAN-Seite Daten über den Router überträgt, so dass dies keine Rolle spielt.
Ein verstecktes Netzwerk ist ein Mythos - während es Boxen gibt, in denen ein Netzwerk nicht in einer Liste von Standorten angezeigt wird, werden die Clients vom WIFI-Router überwacht, sodass ihre Anwesenheit trivial erkannt wird.
MAC-Filterung ist ein Witz, da viele (die meisten / alle?) WIFI-Geräte programmiert werden können, um eine vorhandene MAC-Adresse zu klonen und die MAC-Filterung zu umgehen.
Netzwerksicherheit ist ein großes Thema und nicht etwas, das für eine Superuser-Frage nicht geeignet ist. Grundsätzlich ist jedoch die Sicherheit in Schichten aufgebaut, so dass, auch wenn einige davon betroffen sind, nicht alle davon betroffen sind. Außerdem kann jedes System mit genügend Zeit und Ressourcen durchdrungen werden und Wissen, also ist Sicherheit eigentlich nicht so sehr eine Frage des "kann es gehackt werden", sondern "wie lange wird es dauern", um zu hacken. WPA und ein sicheres Passwort schützen vor "Joe Average".
Wenn Sie den Schutz Ihres WLAN-Netzwerks verbessern möchten, können Sie es nur als Transportschicht anzeigen und alles verschlüsseln und filtern, das über diese Schicht hinweg geht. Dies ist für die überwiegende Mehrheit der Menschen ein Overkill, aber Sie können den Router so einstellen, dass nur der Zugriff auf einen bestimmten VPN-Server unter Ihrer Kontrolle möglich ist. Selbst wenn das WIFI beeinträchtigt ist, gibt es andere [härtere] Schichten, die zu besiegen sind. Ein Teil dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.
Eine einfachere Alternative zur besseren Absicherung eines Heimnetzwerks besteht darin, WIFI insgesamt aufzugeben und nur verkabelte Lösungen zu benötigen. Wenn Sie Dinge wie Handys oder Tablets haben, ist dies möglicherweise nicht praktikabel. In diesem Fall können Sie die Risiken verringern (sicherlich nicht beseitigen), indem Sie die Signalstärke Ihres Routers reduzieren. Sie können Ihr Haus auch so abschirmen, dass die Frequenz weniger leckt - ich habe es nicht getan, aber ein starkes Gerücht (recherchiert) besagt, dass selbst Aluminiumgitter (wie Fliegengitter) außerhalb Ihres Hauses, mit guter Erdung, eine große Wirkung haben können Differenz zur Signalmenge, die entweicht. [Aber natürlich Bye-Bye-Handy-Berichterstattung]
Auf der Schutzseite kann es eine andere Alternative sein, Ihren Router dazu zu bringen (wenn er dazu in der Lage ist, die meisten nicht, aber ich würde mir vorstellen, dass Router mit openwrt laufen und möglicherweise tomato / dd-wrt can), um alle Pakete zu protokollieren, die Ihr Netzwerk durchqueren Und im Auge behalten - Hölle, schon allein das Überwachen von Anomalien mit Gesamtbytes in und aus verschiedenen Schnittstellen kann einen guten Schutz bieten.
Am Ende des Tages ist vielleicht die Frage zu stellen: "Was muss ich tun, damit ein gelegentlicher Hacker keine Zeit mehr braucht, um mein Netzwerk zu durchdringen?" von dort. Es gibt keine schnelle und einfache Antwort.
Update - Oktober 2017
Bei den meisten Clients, die WPA2 verwenden, kann der Datenverkehr - sofern gepatcht - im Klartext angezeigt werden "Schlüsselinstallationsangriffe - KRACK" - was eine Schwäche des WPA2-Standards ist. Insbesondere gewährt dies keinen Zugriff auf das Netzwerk oder die PSK nur auf den Datenverkehr des Zielgeräts.
quelle
Wie andere schon gesagt haben, ist das Verstecken von SSIDs einfach zu brechen. Tatsächlich wird Ihr Netzwerk standardmäßig in der Windows 8-Netzwerkliste angezeigt, auch wenn die SSID nicht gesendet wird. Das Netzwerk überträgt seine Präsenz immer noch über Beacon-Frames; Die SSID wird einfach nicht in den Beacon-Frame aufgenommen, wenn diese Option aktiviert ist. Die SSID ist einfach aus dem vorhandenen Netzwerkverkehr zu beziehen.
Die MAC-Filterung ist auch nicht besonders hilfreich. Das Skriptkiddie, das einen WEP-Crack heruntergeladen hat, wird möglicherweise kurzzeitig verlangsamt, aber es wird definitiv niemanden aufhalten, der weiß, was es tut, da es nur eine legitime MAC-Adresse fälschen kann.
Was WEP betrifft, ist es völlig kaputt. Die Stärke Ihres Passworts spielt hier keine Rolle. Wenn Sie WEP verwenden, kann jeder eine Software herunterladen, die schnell in Ihr Netzwerk eindringt, selbst wenn Sie einen starken Schlüssel haben.
WPA ist wesentlich sicherer als WEP, gilt jedoch immer noch als fehlerhaft. Wenn Ihre Hardware WPA, aber nicht WPA2 unterstützt, ist dies besser als nichts, aber ein entschlossener Benutzer kann es wahrscheinlich mit den richtigen Tools knacken.
WPS (Wireless Protected Setup) ist der Schutz vor Netzwerksicherheit. Deaktivieren Sie es unabhängig von der verwendeten Netzwerkverschlüsselungstechnologie.
WPA2 - insbesondere die Version von AES - ist ziemlich sicher. Wenn Sie ein anständiges Passwort haben, kann Ihr Freund nicht in Ihr WPA2-gesichertes Netzwerk gelangen, ohne das Passwort zu erhalten. Wenn die NSA versucht, in Ihr Netzwerk zu gelangen, ist das eine andere Sache. Dann sollten Sie Ihr WLAN einfach komplett ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und alle Ihre Computer. Wenn genügend Zeit und Ressourcen zur Verfügung stehen, kann WPA2 (und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und mehr Fähigkeiten erfordern, als einem durchschnittlichen Hobbyisten zur Verfügung steht.
Wie David gesagt hat, lautet die eigentliche Frage nicht: Kann dies gehackt werden? Sondern "Wie lange wird es dauern, bis jemand mit einem bestimmten Satz an Fähigkeiten gehackt wird?" Offensichtlich variiert die Antwort auf diese Frage in Bezug auf die jeweiligen Fähigkeiten. Er ist auch absolut richtig, dass Sicherheit in Schichten erfolgen sollte. Dinge, die Sie interessieren, sollten nicht über Ihr Netzwerk geleitet werden, ohne zuvor verschlüsselt zu werden. Wenn also jemand in Ihre drahtlose Verbindung einbricht, sollte er nicht in der Lage sein, sich neben der Verwendung Ihrer Internetverbindung auf etwas sinnvolles zu beziehen. Jede Kommunikation, die sicher sein muss, sollte immer noch einen starken Verschlüsselungsalgorithmus (wie AES) verwenden, der möglicherweise über TLS oder ein solches PKI-Schema eingerichtet wird. Stellen Sie sicher, dass Ihre E-Mails und der andere sensible Webdatenverkehr verschlüsselt sind und dass auf Ihrem Computer keine Dienste (z. B. Datei- oder Druckerfreigabe) ohne das richtige Authentifizierungssystem ausgeführt werden.
Update 17.10.2017 - Diese Antwort spiegelt die Situation vor der kürzlich erfolgten Entdeckung einer neuen Schwachstelle wider, die sowohl WPA als auch WPA2 betrifft. Das Schlüsselinstallationsanweisung (KRACK) nutzt eine Sicherheitslücke im Handshaking-Protokoll für Wi-Fi. Ohne auf die chaotischen Kryptografiedetails einzugehen (die Sie auf der verlinkten Website nachlesen können), sollten alle Wi-Fi-Netzwerke bis zum Patch als fehlerhaft betrachtet werden, unabhängig davon, welchen Verschlüsselungsalgorithmus sie verwenden.
Verwandte InfoSec.SE-Fragen zu KRACK:
Folgen des WPA2-KRACK-Angriffs
Wie kann ich mich vor KRACK schützen, wenn ich mir kein VPN leisten kann?
quelle
Da andere Antworten in diesem Thread gut sind, denke ich, dass für diejenigen, die eine konkrete Antwort verlangen (gut ... das ist SuperUser, ist es nicht?), Die Frage leicht übersetzt werden könnte als "Was muss ich wissen, um mein WiFi-Netzwerk sicher zu machen?" .
Ohne die anderen Antworten zu negieren (oder zu bestätigen), ist dies meine kurze Antwort:
Die Worte des Kryptologen Bruce Schneier sind für viele Benutzer ein lohnender Rat:
Dies kann häufig angewendet werden drahtlose Netzwerke : Brauchen wir ständig, dass es funktioniert?
Viele Router haben eine WiFi-Taste zum Aktivieren / Deaktivieren von Wireless, wie z D-Link DSL-2640B .
Wenn nicht, kannst du es immer Automatisieren Sie das Aktivieren / Deaktivieren von Web kabellos mit Tools wie iMacros (verfügbar als Erweiterung für Firefox oder als eigenständiges Programm) unter Windows und vielen anderen unter Linux.
Und hier sind zwei Tricks für WPA (Bitte, vergiss WEP ) Passwort (a gutes WPA-Passwort wird Angriffe sehr schwierig machen) Behalten Sie das Standardkennwort nicht bei ):
"Sie haben zwei Söhne und drei Katzen und Sie lieben sie." - & gt; "Yh2sa3c, aylt."
Und um Gottes willen: WPS deaktivieren jetzt sofort! Es ist total fehlerhaft .
quelle
Yh2sa3c,aylt., Bruteforce wird eine geschätzte Zeit von mehr als 10 Jahren dauern (selbst mit einem der schnellsten PCs, den Sie sich heute leisten können).Nichts von dem, was Sie erwähnen (abgesehen vom Netzwerkkennwort), beeinflusst das Hacken eines WLAN-Netzwerks wirklich. Insofern helfen ein MAC-Adressenfilter und eine ausgeblendete SSID nicht wirklich aus Sicherheitsgründen.
Was wirklich zählt, ist der im Netzwerk verwendete Verschlüsselungstyp. Ältere Netzwerkverschlüsselungen wie WEP waren trivial, da sie mit genügend Datenverkehr entschlüsselt werden könnten und sie zwingen könnten, den benötigten Datenverkehr zu erzeugen.
Neuere wie WPA2 sind jedoch viel sicherer. Gegen jeden Gegner ist nichts „sicher“, aber normalerweise reicht es für Wi-Fi zu Hause aus.
Es ist ein großes Thema, und dies berührt nur die Spitze des Eisbergs, aber hoffentlich hilft es.
quelle
WEP und WPA1 / 2 (mit aktiviertem WPS) können trivial gehackt werden; Ersteres durch Verwendung von erfassten IVs und Letzteres mit einer WPS-PIN-Bruteforce (nur 11.000 mögliche Kombos aus 3-teiligem Pin; 4 Ziffern [10.000 möglich] + 3 Ziffern [1.000 möglich] + 1-stellige Prüfsumme [aus dem Rest berechnet]) .
WPA1 / 2 sind schwieriger mit einem starken Passwort, aber die Verwendung von GPU-Cracking und einer Bruteforce-Technik kann einige der schwächeren überfordern.
Ich habe WEP und WPS persönlich in meinem Arbeitsnetzwerk geknackt (mit Erlaubnis habe ich die Schwachstellen gegenüber meinen Arbeitgebern gezeigt), aber ich habe WPA noch nicht erfolgreich geknackt.
quelle
Dies ist eine großartige Frage und die Richtlinien für ein sehr sicheres WLAN sollte bekannt sein. Konfigurieren Sie Ihren Router / Gateway / AP so, dass:
Das ist es! Für alle praktischen Zwecke haben Sie jetzt ein absolut sicheres WLAN.
quelle
Über in der Cisco Learning Network Forum, fragte ein Thread-Starter:
Ein offensichtlich sehr kluger Kerl namens "Zach" gemacht dieses Posting was der Thread-Starter hier (und auch andere hier, falls er interessiert ist) lesen soll.
Lesen Sie vor allem aus etwa zwei Dritteln des Postens, wo er mit den Worten "Die Lösungen:" beginnt.
Ich verwende mein Gateway " WPA-PSK (TKIP) / WPA2-PSK (AES) "Einstellung. In Übereinstimmung mit diesem Beitrag von Zach ...
... Ich habe schon lange meine eigene ESSID verwendet. Darüber hinaus passend zu seinen ...
Mein ist 25 Zeichen, die aus Buchstaben, Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehen. Kein Teil davon bedeutet etwas.
Ich mache mehrere andere Dinge, die Zach dort macht und nicht aufführt. aber zusätzlich zu den oben genannten und anderen Dingen, und zumindest den Geist dessen, was er hier schrieb ...
Ich habe vor langer Zeit ein bisschen Scripting-Code geschrieben, der beim Start von Windows automatisch gestartet wird und einfach in der Taskleiste ausgeführt wird. welcher Code während des Tages regelmäßig aktualisiert wird, und analysiert dann die Webseite in meinem Gateway, die alle verbundenen Geräte auflistet; und es sagt mir dann sowohl als Pop-Up-mit-Triple-Beep-Through-Motherboard-Lautsprecher (nicht die normalen Audio-Lautsprecher, nur für den Fall, dass sie stummgeschaltet sind oder so) auf meinem Desktop-Ersatz-Laptop-Computer Bildschirm und auch per Text an mein Telefon (der entweder in einem Beutel an meinem Gürtel ist oder zumindest nie mehr als fünf Fuß von mir entfernt ist, 24/7/365), wenn sich etwas Neues gezeigt hat.
Für diejenigen ohne diese Fertigkeit gibt es mehrere "Wer ist auf meinem WI-FI" -Typ, einige davon kostenlos. Ein guter und einfacher ist [dieser Badboy] [3]. Starten Sie es einfach mit Windows, lassen Sie es sich in der Taskleiste befinden und sagen Sie "Piep auf neuem Gerät", und Sie haben etwas Ähnliches wie mein Skript (außer dass es Ihnen keine SMS sendet). Mit [einem einfachen Skriptwerkzeug] [5] können Sie jedoch eine SMS oder E-Mail an Ihr Telefon senden, wenn ein neues Gerät im LAN die App piept.
Hoffentlich hilft das.
quelle
Eine weitere Überlegung bei jeder Sicherheitsanalyse ist die zu schützende Ressource und der Wert dieser Assets für den Eigentümer und einen potenziellen Angreifer. Ich würde vermuten, dass Ihr Banking-Login, Ihre Kreditkartennummer und andere Anmeldeinformationen wahrscheinlich die wertvollsten Informationen sind, die über ein Heimnetzwerk gesendet werden. Die meisten davon sollten durch eine TLS / SSL-Verschlüsselung über eine https-Verbindung abgedeckt werden. Es sieht also so aus, als würden Sie, wenn Sie einen WPA2-Schlüssel in Ihrem WLAN-Router verwenden, sicherstellen, dass Ihr Browser möglichst immer https verwendet (wenn Sie ein Tool wie das https von eff überall einsetzen), sind Sie ziemlich sicher. (Ein potenzieller Angreifer müsste sich die Mühe machen, Ihren WPA2-Schlüssel zu knacken könnte sein ein Passwort erhalten, das nicht über https oder die von Ihnen durchsuchten http-Seiten geht.)
quelle
Zweifelhaft .
Ich stimme der Antwort von Davidgo nicht zu. Obwohl es gut recherchiert ist und ich mit den meisten Informationen übereinstimme, halte ich es für ein wenig pessimistisch.
In den anderen Antworten sind bereits Sicherheitslücken in WPA2 enthalten. Nichts davon ist jedoch unvermeidlich.
Insbesondere ist zu beachten, dass der von davidgo erwähnte Brute-Force-Angriff ein Angriff auf eine Schwäche in MS-CHAPv2 ist. Siehe die zitierte Referenz des Autors. https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Wenn Ms-CHAP nicht verwendet wird, kann diese Schwachstelle nicht ausgenutzt werden.(gelöscht aufgrund von Kommentar des Autors - falsche Referenz)Mit der richtigen Passphrase, der SSID und der Vermeidung kompromittierter Technologien, sehe ich keinen Grund, warum ein WPA2-gesichertes Netzwerk mit AES256 im Moment nicht sicher ist. Brute-Force-Angriffe auf solche Netzwerke sind nicht möglich, und sogar Moxy Marlinspike schlägt dies vor.
Wenn ich mit der Antwort von davidgo übereinstimme, gibt es jedoch die meisten Benutzer, die diese Anstrengungen nicht unternehmen. Ich weiß, dass mein eigenes Heimnetzwerk ausgenutzt werden kann, und obwohl ich weiß, wie das Problem behoben wird, ist es meine Zeit und meinen Aufwand nicht wert.
quelle