Können die meisten begeisterten Benutzer (auch wenn sie keine Profis sind) bekannte Techniken verwenden, um die Sicherheit eines durchschnittlichen Heimrouters zu durchbrechen?
Einige grundlegende Sicherheitsoptionen sind:
- starkes Netzwerkpasswort mit verschiedenen Verschlüsselungsmethoden
- benutzerdefiniertes Router-Zugriffskennwort
- WPS
- keine SSID-Übertragung
- MAC-Adressfilterung
Sind einige davon kompromittiert und was kann getan werden, um das Heimnetzwerk sicherer zu machen?
Antwort1
Ohne über die Semantik zu streiten: Ja, die Aussage ist wahr.
Es gibt mehrere Standards für die WLAN-Verschlüsselung, darunter WEP, WPA und WPA2. WEP ist kompromittiert, sodass es, wenn Sie es verwenden, selbst mit einem starken Passwort leicht geknackt werden kann. Ich glaube jedoch, dass WPA viel schwieriger zu knacken ist (aber Sie könnten Sicherheitsprobleme im Zusammenhang mit WPS haben, die dies umgehen), und seit Oktober 2017 bietet WPA2 auch fragwürdige Sicherheit. Außerdem können selbst einigermaßen schwere Passwörter mit Brute-Force-Methoden geknackt werden – Moxie Marlinspike – ein bekannter Hackerbietet einen ServiceDies ist für 17 US-Dollar per Cloud Computing möglich – allerdings ohne Garantie.
Ein sicheres Router-Passwort kann niemanden auf der WLAN-Seite daran hindern, Daten über den Router zu übertragen, daher ist das irrelevant.
Ein verstecktes Netzwerk ist ein Mythos. Zwar gibt es Kästchen, mit denen man ein Netzwerk aus einer Siteliste ausblenden kann, doch die Clients signalisieren dem WLAN-Router, dass seine Präsenz problemlos erkannt wird.
MAC-Filterung ist ein Witz, da viele (die meisten/alle?) WLAN-Geräte so programmiert/neu programmiert werden können, dass sie eine vorhandene MAC-Adresse klonen und die MAC-Filterung umgehen.
Netzwerksicherheit ist ein großes Thema und nichts, was sich für Superuser-Fragen eignet. Grundsätzlich ist Sicherheit in Schichten aufgebaut, sodass selbst wenn einige kompromittiert sind, nicht alle kompromittiert werden. Außerdem kann jedes System mit genügend Zeit, Ressourcen und Wissen infiltriert werden. Sicherheit ist also nicht so sehr eine Frage von „Kann es gehackt werden“, sondern „Wie lange wird es dauern“, bis es gehackt wird. WPA und ein sicheres Passwort schützen vor „Otto Normalverbraucher“.
Wenn Sie den Schutz Ihres WLAN-Netzwerks verbessern möchten, können Sie es nur als Transportschicht betrachten und alles, was über diese Schicht läuft, verschlüsseln und filtern. Für die meisten Leute ist das übertrieben, aber Sie könnten dies beispielsweise tun, indem Sie den Router so einstellen, dass er nur Zugriff auf einen bestimmten VPN-Server unter Ihrer Kontrolle zulässt und von jedem Client verlangt, sich über die WLAN-Verbindung über das VPN zu authentifizieren. Selbst wenn das WLAN kompromittiert ist, gibt es also noch andere [schwierigere] Schichten, die es zu überwinden gilt. Eine Untermenge dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.
Eine einfachere Alternative zur besseren Absicherung eines Heimnetzwerks besteht darin, ganz auf WLAN zu verzichten und nur noch kabelgebundene Lösungen zu verwenden. Wenn Sie beispielsweise Mobiltelefone oder Tablets besitzen, ist dies jedoch möglicherweise nicht praktikabel. In diesem Fall können Sie die Risiken verringern (aber sicher nicht beseitigen), indem Sie die Signalstärke Ihres Routers reduzieren. Sie können Ihr Zuhause auch abschirmen, damit weniger Frequenzen entweichen – ich habe es nicht getan, aber es gibt starke (recherchierte) Gerüchte, dass sogar ein Aluminiumgitter (wie ein Fliegengitter) an der Außenseite Ihres Hauses mit guter Erdung einen großen Unterschied bei der Menge des entweichenden Signals ausmachen kann. [Aber natürlich adieu Mobilfunkabdeckung]
In puncto Schutz könnte eine weitere Alternative darin bestehen, Ihren Router dazu zu bringen (sofern er dazu in der Lage ist (die meisten sind dazu nicht in der Lage, aber ich könnte mir vorstellen, dass Router mit OpenWRT und möglicherweise Tomato/DD-WRT dazu in der Lage sind) alle Pakete zu protokollieren, die Ihr Netzwerk durchlaufen, und diese im Auge zu behalten. Sogar die bloße Überwachung auf Anomalien bei der Gesamtzahl der ein- und ausgehenden Bytes verschiedener Schnittstellen könnte Ihnen ein gutes Maß an Schutz bieten.
Letztendlich sollte man sich vielleicht fragen: „Was muss ich tun, damit es sich für einen Gelegenheitshacker nicht lohnt, in mein Netzwerk einzudringen?“ oder „Was sind die tatsächlichen Kosten, wenn mein Netzwerk kompromittiert wird?“ und dann weitermachen. Darauf gibt es keine schnelle und einfache Antwort.
Update - Oktober 2017
Bei den meisten Clients, die WPA2 verwenden, kann der Datenverkehr - sofern kein Patch vorhanden ist - im Klartext offengelegt werden, indem„Angriffe zur Neuinstallation von Schlüsseln – KRACK“ - Dies ist eine Schwäche des WPA2-Standards. Insbesondere wird dadurch kein Zugriff auf das Netzwerk oder den PSK gewährt, sondern nur auf den Datenverkehr des Zielgeräts.
Antwort2
Wie andere bereits gesagt haben, ist das Verstecken der SSID ganz einfach zu umgehen. Tatsächlich wird Ihr Netzwerk standardmäßig in der Netzwerkliste von Windows 8 angezeigt, auch wenn es seine SSID nicht sendet. Das Netzwerk sendet seine Präsenz in jedem Fall über Beacon-Frames; es schließt die SSID nur nicht in den Beacon-Frame ein, wenn diese Option aktiviert ist. Die SSID lässt sich ganz einfach aus dem vorhandenen Netzwerkverkehr ermitteln.
Auch MAC-Filterung ist nicht besonders hilfreich. Sie verlangsamt vielleicht kurzzeitig den Script-Kiddie, der einen WEP-Crack heruntergeladen hat, aber sie wird definitiv niemanden aufhalten, der weiß, was er tut, da er einfach eine legitime MAC-Adresse vortäuschen kann.
Was WEP betrifft, ist es völlig kaputt. Die Stärke Ihres Passworts spielt hier keine große Rolle. Wenn Sie WEP verwenden, kann jeder Software herunterladen, die ziemlich schnell in Ihr Netzwerk eindringt, selbst wenn Sie einen starken Passkey haben.
WPA ist deutlich sicherer als WEP, gilt aber dennoch als geknackt. Wenn Ihre Hardware WPA, aber nicht WPA2 unterstützt, ist das zwar besser als nichts, aber ein entschlossener Benutzer kann es mit den richtigen Tools wahrscheinlich knacken.
WPS (Wireless Protected Setup) ist der Fluch der Netzwerksicherheit. Deaktivieren Sie es, unabhängig davon, welche Netzwerkverschlüsselungstechnologie Sie verwenden.
WPA2 – insbesondere die Version, die AES verwendet – ist ziemlich sicher. Wenn Sie ein anständiges Passwort haben, kann Ihr Freund nicht in Ihr WPA2-gesichertes Netzwerk gelangen, ohne das Passwort zu erhalten. Wenn die NSA jedoch versucht, in Ihr Netzwerk einzudringen, ist das eine andere Sache. Dann sollten Sie einfach Ihr WLAN vollständig ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und alle Ihre Computer. Mit genügend Zeit und Ressourcen kann WPA2 (und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und viel mehr Fähigkeiten erfordern, als einem durchschnittlichen Hobbyisten zur Verfügung stehen wird.
Wie David sagte, lautet die eigentliche Frage nicht: „Kann das gehackt werden?“, sondern vielmehr: „Wie lange wird jemand mit bestimmten Fähigkeiten brauchen, um es zu hacken?“ Natürlich hängt die Antwort auf diese Frage stark davon ab, um welche Fähigkeiten es sich handelt. Er hat auch absolut Recht, dass Sicherheit in Schichten erfolgen sollte. Dinge, die Ihnen wichtig sind, sollten nicht ohne vorherige Verschlüsselung über Ihr Netzwerk laufen. Wenn also jemand in Ihr WLAN eindringt, sollte er nicht in der Lage sein, auf irgendetwas Sinnvolles zuzugreifen, außer vielleicht Ihre Internetverbindung zu nutzen. Jede Kommunikation, die sicher sein muss, sollte weiterhin einen starken Verschlüsselungsalgorithmus (wie AES) verwenden, möglicherweise eingerichtet über TLS oder ein ähnliches PKI-Schema. Stellen Sie sicher, dass Ihre E-Mails und anderer sensibler Webverkehr verschlüsselt sind und dass Sie keine Dienste (wie Datei- oder Druckerfreigabe) auf Ihren Computern ausführen, ohne dass das entsprechende Authentifizierungssystem vorhanden ist.
Update 17. Oktober 2017 - Diese Antwort spiegelt die Situation vor der jüngsten Entdeckung einer großen neuen Sicherheitslücke wider, die sowohl WPA als auch WPA2 betrifft. DieAngriff zur Neuinstallation von Schlüsseln (KRACK)nutzt eine Schwachstelle im Handshake-Protokoll für WLAN aus. Ohne auf die komplizierten Kryptografiedetails einzugehen (über die Sie auf der verlinkten Website lesen können), sollten alle WLAN-Netzwerke als defekt betrachtet werden, bis sie gepatcht werden, unabhängig davon, welchen speziellen Verschlüsselungsalgorithmus sie verwenden.
Verwandte InfoSec.SE-Fragen zu KRACK:
Folgen des WPA2-KRACK-Angriffs
Wie kann ich mich vor KRACK schützen, wenn ich mir kein VPN leisten kann?
Antwort3
Da die anderen Antworten in diesem Thread gut sind, denke ich, dass die Frage für diejenigen, die eine konkrete Antwort verlangen (also... dies ist SuperUser, oder nicht?), einfach wie folgt übersetzt werden könnte:„Was muss ich wissen, um mein WLAN-Netzwerk sicher zu machen?“.
Ohne eine der anderen Antworten zu negieren (oder zu bestätigen), ist dies meine kurze Antwort:
Die Worte des Kryptologen Bruce Schenier könnten für viele Benutzer ein wertvoller Ratschlag sein:
Die einzige wirkliche Lösung besteht darin, das Netzkabel abzuziehen.
Dies gilt häufig fürdrahtlose Netzwerke: müssen wir es ständig in Betrieb haben?
Viele Router haben eineWiFi-Tastezum Aktivieren/Deaktivieren der drahtlosen Verbindung, wie dieD-Link DSL-2640B.
Wenn nicht, können Sie immerAutomatisches Aktivieren/Deaktivieren des Websvon Wireless durch den Einsatz von Tools wieiMacros (verfügbar als Erweiterung für Firefox oder als eigenständiges Programm) unter Windows und viele andere unter Linux.
Und hier sind zwei Tricks fürWPA(Bitte,vergiss WEP) Passwort (eingutes WPA-Passwortwird Angriffe sehr schwierig machen) Erstellung (Behalten Sie nicht das Standardkennwort bei) :
- Verwendennicht vorhandene und/oder Fremdwörter: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (da sie nicht mit einem einfachen Wörterbuch gefunden werden können).
- Erstellen Sie Ihren eigenen, leicht zu merkenden Satz (zumindest für Sie) und definieren Sie Ihr Passwort, indem Sie den ersten Buchstaben jedes Wortes nehmen. Das Ergebnis ist einschwer zu knacken(mindestens 8 Zeichen) nochleicht zu erinnernPasswort, das Folgendes enthält:Groß-und Kleinbuchstaben,Zahlenund einige anderenicht alphabetischCharaktere:
„Sie haben zwei Söhne und drei Katzen, und Sie lieben sie.“ --> „Yh2sa3c,aylt.“
Und um Gottes Willen:WPS deaktivierenjetzt! Es ist totalfehlerhaft.
Antwort4
WEP und WPA1/2 (mit aktiviertem WPS) können problemlos gehackt werden; ersteres mithilfe erfasster IVs und letzteres mit einer WPS-PIN-Bruteforce-Attacke (nur 11.000 mögliche Kombinationen aus einer 3-teiligen PIN; 4 Ziffern [10.000 möglich] + 3 Ziffern [1.000 möglich] + 1 Ziffer Prüfsumme [aus dem Rest berechnet]).
WPA1/2 sind mit einem starken Passwort schwieriger, aber durch GPU-Cracking und Brute-Force-Techniken lassen sich einige der schwächeren Passwörter knacken.
Ich habe persönlich WEP und WPS in meinem Arbeitsnetzwerk geknackt (mit Erlaubnis, ich habe meinem Arbeitgeber die Schwachstellen demonstriert), aber WPA ist mir noch nicht gelungen.