¿Pueden los usuarios más entusiastas (incluso si no son profesionales) utilizar técnicas bien conocidas para romper la seguridad del enrutador doméstico promedio?
Algunas opciones de seguridad básicas son:
- contraseña de red segura con varios métodos de cifrado
- contraseña de acceso al enrutador personalizada
- WPS
- sin transmisión SSID
- Filtrado de direcciones MAC
¿Algunos de estos están comprometidos y qué hacer para que la red doméstica sea más segura?
Respuesta1
Sin discutir la semántica, sí, la afirmación es cierta.
Existen múltiples estándares para el cifrado WIFI, incluidos WEP, WPA y WPA2. WEP está comprometido, por lo que si lo está utilizando, incluso con una contraseña segura se puede romper de manera trivial. Sin embargo, creo que WPA es mucho más difícil de descifrar (pero es posible que tenga problemas de seguridad relacionados con WPS que lo eviten) y, a partir de octubre de 2017, WPA2 también ofrece una seguridad cuestionable. Además, incluso las contraseñas razonablemente difíciles pueden ser forzadas de forma bruta - Moxie Marlinspike - un conocido hackerofrece un serviciohacerlo por 17 dólares utilizando la computación en la nube, aunque no está garantizado.
Una contraseña de enrutador segura no hará nada para evitar que alguien en el lado WIFI transmita datos a través del enrutador, por lo que eso es irrelevante.
Una red oculta es un mito: si bien hay casillas para hacer que una red no aparezca en una lista de sitios, los clientes señalan el enrutador WIFI, por lo que su presencia se detecta de manera trivial.
El filtrado MAC es una broma, ya que muchos (¿la mayoría/todos?) los dispositivos WIFI se pueden programar/reprogramar para clonar una dirección MAC existente y evitar el filtrado MAC.
La seguridad de la red es un tema importante, y no es algo que pueda responder una pregunta de superusuario, pero lo básico es que la seguridad se construye en capas, de modo que incluso si algunas están comprometidas, no todas lo están; además, cualquier sistema puede ser penetrado si se le da suficiente tiempo y recursos. y conocimiento, por lo que la seguridad en realidad no es tanto una cuestión de "se puede hackear", sino de "cuánto tiempo llevará" hackearlo. WPA y una contraseña segura protegen contra "Joe Average".
Si desea mejorar la protección de su red WIFI, puede verla solo como una capa de transporte y cifrar y filtrar todo lo que pasa por esa capa. Esto es excesivo para la gran mayoría de las personas, pero una forma de hacerlo sería configurar el enrutador para que solo permita el acceso a un servidor VPN determinado bajo su control y exigir que cada cliente se autentique a través de la conexión WIFI a través de la VPN. por lo tanto, incluso si el WIFI se ve comprometido, hay otras capas [más difíciles] de vencer. Un subconjunto de este comportamiento no es infrecuente en entornos corporativos grandes.
Una alternativa más sencilla para proteger mejor una red doméstica es deshacerse del WIFI por completo y requerir únicamente soluciones cableadas. Sin embargo, si tienes cosas como teléfonos móviles o tabletas, esto puede no ser práctico. En este caso, puede mitigar los riesgos (ciertamente no eliminarlos) reduciendo la intensidad de la señal de su enrutador. También puede proteger su casa para que la frecuencia se pierda menos. No lo he hecho, pero hay fuertes rumores (investigados) que incluso una malla de aluminio (como una mosquitera) en el exterior de su casa, con una buena conexión a tierra, puede generar un gran impacto. diferencia con la cantidad de señal que escapará. [Pero, por supuesto, adiós a la cobertura del móvil]
En el frente de la protección, otra alternativa puede ser hacer que su enrutador (si es capaz de hacerlo, la mayoría no lo sea, pero me imagino que los enrutadores ejecutan openwrt y posiblemente tomate/dd-wrt) registren todos los paquetes que atraviesan su red. y vigilarlo: Demonios, incluso simplemente monitorear anomalías con un total de bytes dentro y fuera de varias interfaces podría brindarle un buen grado de protección.
Al final del día, tal vez la pregunta que debo hacer sea: "¿Qué debo hacer para que no valga la pena que un pirata informático ocasional penetre en mi red?" o "¿Cuál es el costo real de que mi red esté comprometida?", y seguir adelante. desde allí. No hay una respuesta rápida y fácil.
Actualización: octubre de 2017
La mayoría de los clientes que usan WPA2, a menos que estén parcheados, pueden exponer su tráfico en texto sin formato usando"Ataques de reinstalación de claves: KRACK" - lo cual es una debilidad del estándar WPA2. En particular, esto no da acceso a la red, ni al PSK, sólo al tráfico del dispositivo objetivo.
Respuesta2
Como han dicho otros, es fácil romper el ocultamiento del SSID. De hecho, su red aparecerá de forma predeterminada en la lista de redes de Windows 8 incluso si no transmite su SSID. La red todavía transmite su presencia a través de tramas de baliza en cualquier dirección; simplemente no incluye el SSID en el marco de la baliza si esa opción está marcada. El SSID es fácil de obtener a partir del tráfico de red existente.
El filtrado MAC tampoco es muy útil. Podría ralentizar brevemente el script kiddie que descargó un crack WEP, pero definitivamente no detendrá a nadie que sepa lo que está haciendo, ya que pueden falsificar una dirección MAC legítima.
En lo que respecta a WEP, está completamente roto. La seguridad de su contraseña no importa mucho aquí. Si está utilizando WEP, cualquiera puede descargar software que ingresará a su red con bastante rapidez, incluso si tiene una clave segura.
WPA es significativamente más seguro que WEP, pero aun así se considera que no funciona. Si su hardware admite WPA pero no WPA2, es mejor que nada, pero un usuario decidido probablemente pueda descifrarlo con las herramientas adecuadas.
WPS (configuración protegida inalámbrica) es la pesadilla de la seguridad de la red. Deshabilítelo independientemente de la tecnología de cifrado de red que esté utilizando.
WPA2, en particular la versión que usa AES, es bastante seguro. Si tiene una contraseña decente, su amigo no accederá a su red segura WPA2 sin obtener la contraseña. Ahora bien, si la NSA está intentando entrar en su red, ese es otro asunto. Entonces deberías apagar la conexión inalámbrica por completo. Y probablemente también tu conexión a Internet y todas tus computadoras. Con suficiente tiempo y recursos, WPA2 (y cualquier otra cosa) se puede piratear, pero probablemente requerirá mucho más tiempo y muchas más capacidades de las que un aficionado promedio tendrá a su disposición.
Como dijo David, la verdadera pregunta no es "¿Se puede piratear esto?" sino más bien: "¿Cuánto tiempo le tomará a alguien con un conjunto particular de capacidades hackearlo?" Obviamente, la respuesta a esa pregunta varía mucho con respecto a cuál es ese conjunto particular de capacidades. También tiene toda la razón en que la seguridad debe realizarse en capas. Las cosas que le interesan no deberían pasar por su red sin estar cifradas primero. Por lo tanto, si alguien ingresa a su conexión inalámbrica, no debería poder acceder a nada significativo aparte de tal vez usar su conexión a Internet. Cualquier comunicación que deba ser segura debe utilizar un algoritmo de cifrado sólido (como AES), posiblemente configurado a través de TLS o algún esquema PKI similar. Asegúrese de que su correo electrónico y cualquier otro tráfico web confidencial esté encriptado y que no esté ejecutando ningún servicio (como compartir archivos o impresoras) en sus computadoras sin el sistema de autenticación adecuado.
Actualización 17 de octubre de 2017: esta respuesta refleja la situación previa al reciente descubrimiento de una nueva vulnerabilidad importante que afecta tanto a WPA como a WPA2. ElAtaque de reinstalación de claves (KRACK)aprovecha una vulnerabilidad en el protocolo de enlace para Wi-Fi. Sin entrar en los complicados detalles de la criptografía (sobre los cuales puede leer en el sitio web vinculado), todas las redes Wi-Fi deben considerarse rotas hasta que sean parcheadas, independientemente del algoritmo de cifrado particular que estén usando.
Preguntas relacionadas de InfoSec.SE con respecto a KRACK:
Consecuencias del ataque WPA2 KRACK
¿Cómo puedo protegerme de KRACK cuando no puedo permitirme una VPN?
Respuesta3
Dado que otras respuestas en este hilo son buenas, creo que, para aquellos que solicitan una respuesta concreta (bueno... esto es SuperUsuario, ¿no?), la pregunta podría traducirse fácilmente como:"¿Qué debo saber para que mi red WiFi sea segura?".
Sin negar (ni confirmar) ninguna de las otras respuestas, esta es mi respuesta corta:
Las palabras del criptólogo Bruce Schenier podrían ser un consejo valioso que muchos usuarios deberían recordar:
La única solución real es desconectar el cable de alimentación.
Esto a menudo se puede aplicar aConexiones inalámbricas: ¿Necesitamos que funcione constantemente?
Muchos enrutadores tienen unbotón WiFipara habilitar/deshabilitar la conexión inalámbrica, como elD-Link DSL-2640B.
Si no, siempre puedesautomatizar la habilitación/deshabilitación webde la tecnología inalámbrica mediante el uso de herramientas comoiMacros (disponible como extensión para Firefox o como programa independiente) en Windows y muchos otros en Linux.
Y aquí tienes dos trucos paraWPA(por favor,olvídate de WEP) contraseña (unabuena contraseña WPAhará que los ataques sean muy difíciles) creación (no guardes la contraseña predeterminada) :
- Usarpalabras inexistentes y/o extranjeras: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (ya que no se puede utilizar ningún diccionario sencillo para encontrarlos).
- Crea tu propia frase fácil de recordar (al menos para ti) y define tu contraseña tomando el primer carácter de cada palabra. Los resultados serán undifícil de descifrar(8 caracteres mínimo) todavíaFácil de recordarcontraseña que incluyeLetras mayúsculas y minúsculas,númerosy algunos otrosno alfabéticopersonajes:
"Tienes dos hijos y 3 gatos, y los amas". --> "Yh2sa3c,aylt."
Y por amor de Dios:desactivar WPS¡ahora mismo! es totalmentedefectuoso.
Respuesta4
WEP y WPA1/2 (con WPS habilitado) pueden piratearse de forma trivial; el primero mediante el uso de IV capturados y el segundo con una fuerza bruta de PIN WPS (sólo 11.000 combinaciones posibles, a partir de un pin de 3 partes; 4 dígitos [10.000 posibles] + 3 dígitos [1.000 posibles] + suma de comprobación de 1 dígito [calculada a partir del resto]) .
Los WPA1/2 son más resistentes con una contraseña segura, pero el uso de descifrado de GPU y una técnica de fuerza bruta puede destruir algunos de los más débiles.
Personalmente descifré WEP y WPS en mi red de trabajo (con permiso, estaba demostrando las vulnerabilidades a mis empleadores), pero todavía tengo que descifrar WPA con éxito.