大多數熱心用戶(即使他們不是專業人士)是否可以使用眾所周知的技術來突破普通家用路由器的安全性?
一些基本的安全選項是:
- 具有多種加密方法的強網路密碼
- 自訂路由器存取密碼
- WPS
- 沒有 SSID 廣播
- MAC位址過濾
其中一些是否受到損害?
答案1
在不爭論語義的情況下,是的,該陳述是正確的。
WIFI 加密有多種標準,包括 WEP、WPA 和 WPA2。 WEP 已洩露,因此如果您使用它,即使使用強密碼也可能被輕易破解。我認為 WPA 更難破解(但您可能會遇到與 WPS 相關的安全問題而繞過此問題),截至 2017 年 10 月,WPA2 的安全性也存在問題。此外,即使是相當困難的密碼也可以被暴力破解 - Moxie Marlinspike - 一位著名的駭客提供服務使用雲端運算花費 17 美元即可做到這一點 - 儘管不能保證。
強大的路由器密碼無法阻止 WIFI 端的某人透過路由器傳輸數據,因此這是無關緊要的。
隱藏網路是一個神話——雖然有一些盒子可以使網路不出現在網站清單中,但用戶端會向 WIFI 路由器發送信標,從而輕鬆檢測到其存在。
MAC 過濾是一個笑話,因為許多(大多數/全部?)WIFI 設備可以透過編程/重新編程來克隆現有的 MAC 位址並繞過 MAC 過濾。
網路安全是一個大課題,不適合超級用戶的問題,但基礎是安全性是分層構建的,因此即使某些系統受到損害,也並非全部受到損害- 而且,只要有足夠的時間和資源,任何系統都可以被滲透和知識,所以安全其實與其說是「能不能被駭客攻擊」的問題,不如說是「駭客攻擊需要多長時間」的問題。 WPA 和安全密碼可防止「Joe Average」。
如果您想增強 WIFI 網路的保護,您可以將其僅視為傳輸層,並對穿過該層的所有內容進行加密和過濾。對於絕大多數人來說,這有點過分了,但實現此目的的一種方法是將路由器設定為僅允許訪問您控制下的給定VPN 伺服器,並要求每個客戶端透過VPN 上的WIFI 連接進行身份驗證 -因此,即使 WIFI 受到損害,還有其他[更難]的層需要克服。這種行為的一部分在大型企業環境中並不罕見。
更好地保護家庭網路的一個更簡單的替代方案是完全放棄 WIFI,只需要有線解決方案。如果您有手機或平板電腦之類的東西,這可能不切實際。在這種情況下,您可以透過降低路由器的訊號強度來減輕風險(當然不能消除風險)。你也可以屏蔽你的家,這樣頻率洩漏就會減少——我沒有這樣做,但有強烈的謠言(研究)說,即使是在你房子外面的鋁網(如防蠅網),如果接地良好,也可以產生巨大的影響。 [但是,當然,再見手機訊號覆蓋]
在保護方面,另一種選擇可能是讓您的路由器(如果它能夠做到這一點,大多數都不能,但我想像運行openwrt 的路由器,可能tomato/dd-wrt 可以)記錄穿過您網路的所有資料包並密切關注它 - 天哪,即使只是監控各種介面進出的總位元組數異常也可以為您提供良好程度的保護。
歸根結底,也許要問的問題是“我需要做什麼才能讓黑客不值得花時間滲透我的網絡”或“讓我的網絡受到損害的真正成本是多少”,然後去從那裡。沒有快速簡單的答案。
更新 - 2017 年 10 月
大多數使用 WPA2 的用戶端(除非修補)可以使用以下方式以明文方式公開其流量“金鑰重新安裝攻擊 - KRACK” - 這是 WPA2 標準的一個弱點。值得注意的是,這並不能存取網路或 PSK,而只能存取目標設備的流量。
答案2
正如其他人所說,SSID 隱藏很容易破解。事實上,即使您的網路沒有廣播其 SSID,預設也會顯示在 Windows 8 網路清單中。無論哪種方式,網路仍然透過信標幀廣播其存在;如果勾選了該選項,它只是不會在信標訊框中包含 SSID。從現有網路流量中取得 SSID 很簡單。
MAC 過濾也不是很有幫助。它可能會暫時減慢下載 WEP 破解的腳本小子的速度,但它絕對不會阻止任何知道自己在做什麼的人,因為他們只能欺騙合法的 MAC 位址。
就WEP而言,它已經完全被破壞了。密碼的強度在這裡並不重要。如果您使用 WEP,任何人都可以下載能夠快速侵入您網路的軟體,即使您擁有強大的密碼。
WPA 比 WEP 安全得多,但仍被認為已被破解。如果您的硬體支援 WPA 但不支援 WPA2,那總比不支援好,但堅定的用戶可能可以使用正確的工具破解它。
WPS(無線保護設定)是網路安全的禍根。無論您使用哪種網路加密技術,都將其停用。
WPA2 - 特別是使用 AES 的版本 - 非常安全。如果您有一個合適的密碼,您的朋友在沒有獲得密碼的情況下將不會進入您的 WPA2 安全網路。現在,如果國家安全局試圖進入您的網絡,那就是另一回事了。那你應該完全關閉你的無線網路。可能還有您的網路連線和所有電腦。如果有足夠的時間和資源,WPA2(以及其他任何東西)都可以被駭客攻擊,但這可能需要比普通愛好者更多的時間和能力。
正如大衛所說,真正的問題不是“這會被黑客攻擊嗎?”而是“具有特定能力的人需要多長時間才能破解它?”顯然,這個問題的答案因特定功能集的不同而有很大差異。他也認為安全應該分層進行,這也是絕對正確的。您關心的內容不應該在未經加密的情況下通過您的網路。因此,如果有人確實侵入了您的無線網絡,那麼除了使用您的互聯網連接之外,他們不應該能夠進入任何有意義的內容。任何需要安全的通訊仍應使用強大的加密演算法(如 AES),可能透過 TLS 或某些此類 PKI 方案設定。確保您的電子郵件和任何其他敏感網路流量都已加密,並且如果沒有適當的身份驗證系統,您不會在電腦上執行任何服務(例如檔案或印表機共用)。
2017 年 10 月 17 日更新 - 此答案反映了最近發現影響 WPA 和 WPA2 的重大新漏洞之前的情況。這金鑰重裝攻擊 (KRACK)利用 Wi-Fi 握手協定中的漏洞。無需深入了解混亂的加密細節(您可以在連結網站上閱讀),所有 Wi-Fi 網路在修補之前都應被視為已損壞,無論它們使用哪種特定加密演算法。
關於 KRACK 的相關 InfoSec.SE 問題:
WPA2 KRACK 攻擊的後果
當我買不起 VPN 時,如何保護自己免受 KRACK 侵害?
答案3
由於該線程上的其他答案都很好,我認為,對於那些要求具體答案的人(嗯......這是超級用戶,不是嗎?),這個問題可以很容易地翻譯為:“我應該知道什麼才能確保我的 WiFi 網路安全?”。
在不否定(也不確認)任何其他答案的情況下,這是我的簡短回答:
密碼學家 Bruce Schenier 的話對許多使用者來說可能是值得記住的建議:
唯一真正的解決方案是拔掉電源線。
這通常可以應用於無線網路:我們是否一直需要它工作?
許多路由器都有一個無線網路按鈕啟用/停用無線,例如D-Link DSL-2640B。
如果沒有,您可以隨時自動啟用/停用網絡透過使用諸如iMacros (可作為 Firefox 的擴充功能或作為獨立程式)在 Windows 上和 Linux 上的許多其他程式上使用。
這裡有兩個技巧無線PA(請,忘記 WEP)密碼(一個好的 WPA 密碼將使攻擊變得非常困難)創建(不要保留預設密碼):
- 使用不存在的和/或外來詞:SilbeasterStallonarius、Armorgeddon、HomecitusSapiensante(因為沒有簡單的字典可以用來找到它們)。
- 創建您自己的易於記憶的句子(至少對您而言),並透過使用每個單字的第一個字元來定義您的密碼。結果將是難以破解(最少 8 個字元)還沒有容易記住密碼包括大寫和小寫字母,數位和其他一些非字母的人物:
“你有兩個兒子和三隻貓,你愛他們。” -->“Yh2sa3c,aylt。”
而且,看在上帝的份上:禁用 WPS現在!這完全是有缺陷的。
答案4
WEP 和 WPA1/2(啟用 WPS)容易被駭客攻擊;前者使用捕獲的IV,後者使用WPS PIN 暴力破解(3 部分PIN 中只有11,000 個可能的組合;4 位數字[10,000 個可能] + 3 位數字[1,000 個可能] + 1 位校驗和[從其餘部分計算]) 。
WPA1/2 的密碼強度更高,但使用 GPU 破解和暴力破解技術可以破解一些較弱的密碼。
我親自破解了工作網路上的 WEP 和 WPS(經過許可,我向我的雇主展示了這些漏洞),但我還沒有成功破解 WPA。