大多数热心用户(即使他们不是专业人士)是否可以使用众所周知的技术来突破普通家用路由器的安全性?
一些基本的安全选项包括:
- 采用多种加密方法的强网络密码
- 自定义路由器访问密码
- WPS
- 无 SSID 广播
- MAC 地址过滤
其中一些是否受到了损害?我们该怎么做才能使家庭网络更加安全?
答案1
不争论语义,这个陈述是正确的。
WIFI 加密有多种标准,包括 WEP、WPA 和 WPA2。WEP 很容易被破解,因此如果您使用 WEP,即使设置了强密码,也可能被轻易破解。我认为 WPA 更难破解(但您可能遇到与 WPS 相关的安全问题,从而绕过 WPA),截至 2017 年 10 月,WPA2 的安全性也值得怀疑。此外,即使是相当难破解的密码也可能被暴力破解 - Moxie Marlinspike - 著名黑客提供服务只需花费 17 美元使用云计算就可以实现这一点 - 尽管这并不能保证。
强大的路由器密码无法阻止WIFI端有人通过路由器传输数据,所以这无关紧要。
隐藏网络只是一个神话——虽然有一些框可以使网络不出现在站点列表中,但客户端会向 WIFI 路由器发送信标,因此很容易检测到它的存在。
MAC 过滤是一个笑话,因为许多(大多数/所有?)WIFI 设备可以被编程/重新编程来克隆现有的 MAC 地址并绕过 MAC 过滤。
网络安全是一个大课题,不是超级用户能回答的问题,但基本原则是,安全是分层构建的,因此即使有些被攻破,也不会全部被攻破 - 而且,只要有足够的时间、资源和知识,任何系统都可能被攻破,因此安全实际上不是“能否被黑客入侵”的问题,而是“需要多长时间才能被攻破”的问题。WPA 和安全密码可防止“普通人”被攻破。
如果您想增强 WIFI 网络的保护,您可以将其视为传输层,并加密和过滤通过该层的所有内容。对于绝大多数人来说,这有点过度了,但您可以采取一种方式,即设置路由器,使其仅允许访问您控制下的指定 VPN 服务器,并要求每个客户端通过 VPN 上的 WIFI 连接进行身份验证 - 这样,即使 WIFI 受到威胁,也还有其他 [更难] 的层可以攻破。这种行为的一部分在大型企业环境中并不少见。
更好地保护家庭网络的一个更简单的替代方法是完全放弃 WIFI,只需要有线解决方案。但是,如果您有手机或平板电脑之类的东西,这可能不切实际。在这种情况下,您可以通过降低路由器的信号强度来减轻风险(当然不是消除风险)。您还可以屏蔽您的家,以减少频率泄漏 - 我没有这样做,但有传言(经过研究)说,即使铝网(如纱窗)覆盖房屋外部,如果接地良好,也可以对泄漏的信号量产生巨大影响。[但是,当然,再见手机信号覆盖]
在保护方面,另一种选择可能是让您的路由器(如果它能够做到这一点,大多数都做不到,但我认为运行 openwrt 和可能的 tomato/dd-wrt 的路由器可以)记录穿过您的网络的所有数据包并密切关注它 - 哎呀,即使只是监控各种接口进出总字节数的异常也可以为您提供良好的保护程度。
归根结底,也许要问的问题是“我需要做什么才能让普通黑客不值得花时间侵入我的网络”或“我的网络被入侵的真正代价是什么”,然后从那里开始。没有快速而简单的答案。
更新 - 2017 年 10 月
大多数使用 WPA2 的客户端(除非进行了修补)都可能使用以下方式以纯文本形式暴露其流量:“密钥重新安装攻击——KRACK” - 这是 WPA2 标准的一个弱点。值得注意的是,这不授予对网络或 PSK 的访问权限,而只授予目标设备的流量访问权限。
答案2
正如其他人所说,SSID 隐藏很容易被破解。事实上,即使您的网络没有广播其 SSID,它也会默认显示在 Windows 8 网络列表中。无论如何,网络仍会通过信标帧广播其存在;只是如果勾选了该选项,它不会在信标帧中包含 SSID。从现有网络流量中获取 SSID 很容易。
MAC 过滤也没什么用。它可能会暂时减慢下载 WEP 破解文件的脚本小子的速度,但绝对无法阻止那些知道自己在做什么的人,因为他们可以伪造合法的 MAC 地址。
就 WEP 而言,它完全被破解了。密码的强度在这里并不重要。如果您使用 WEP,任何人都可以下载软件,该软件会很快侵入您的网络,即使您有强大的密钥。
WPA 比 WEP 安全得多,但仍被认为存在漏洞。如果您的硬件支持 WPA 但不支持 WPA2,那也比没有强,但有决心的用户可能可以使用正确的工具破解它。
WPS(无线保护设置)是网络安全的祸根。无论你使用什么网络加密技术,都应将其禁用。
WPA2(尤其是使用 AES 的版本)非常安全。如果您有可靠的密码,您的朋友将无法在未获得密码的情况下进入您的 WPA2 安全网络。现在,如果 NSA 试图进入您的网络,那就另当别论了。那么您应该完全关闭无线。可能还要关闭您的互联网连接和所有计算机。如果有足够的时间和资源,WPA2(以及其他任何东西)都可以被破解,但这可能需要比普通爱好者所能掌握的更多的时间和更多的能力。
正如 David 所说,真正的问题不是“这能被黑客入侵吗?”而是“拥有特定能力的人需要多长时间才能破解它?”显然,这个问题的答案会因特定能力的不同而有很大差异。他还完全正确地指出,安全性应该分层进行。您关心的内容不应该在未先加密的情况下通过您的网络传输。因此,如果有人确实侵入了您的无线网络,那么除了可能使用您的互联网连接之外,他们不应该能够进行任何有意义的操作。任何需要安全的通信仍应使用强大的加密算法(如 AES),可能通过 TLS 或某些此类 PKI 方案进行设置。确保您的电子邮件和任何其他敏感的网络流量都经过加密,并且您没有在未安装适当身份验证系统的计算机上运行任何服务(如文件或打印机共享)。
2017 年 10 月 17 日更新 - 此答案反映了最近发现影响 WPA 和 WPA2 的重大新漏洞之前的情况。密钥重新安装攻击 (KRACK)利用了 Wi-Fi 握手协议中的漏洞。无需了解复杂的加密细节(您可以在链接的网站上阅读相关内容),所有 Wi-Fi 网络在修复之前都应视为已损坏,无论它们使用哪种特定的加密算法。
有关 KRACK 的 InfoSec.SE 问题:
WPA2 KRACK 攻击的后果
当我买不起 VPN 时,如何保护自己免受 KRACK 的攻击?
答案3
由于该帖子中的其他答案都很好,我认为,对于那些要求具体答案的人来说(嗯......这是超级用户,不是吗?),这个问题可以很容易地翻译为:“我应该知道什么才能保证我的WiFi网络安全?”。
在不否定(也不肯定)任何其他答案的情况下,这是我的简短回答:
密码学家 Bruce Schenier 的话可能是许多用户应该记住的宝贵建议:
唯一真正的解决办法是拔掉电源线。
这通常可以应用于无线网络:我们需要它一直工作吗?
许多路由器都有一个WiFi 按钮启用/禁用无线功能,例如D-Link DSL-2640B。
如果没有,您可以随时自动启用/禁用网络通过使用诸如宏 (可作为 Firefox 的扩展或独立程序使用)在 Windows 上以及在 Linux 上的许多其他平台上。
这里有两个技巧水务及私人有限公司(请,忘记 WEP) 密码(好的WPA密码将使攻击变得非常困难)创造(不要保留默认密码):
- 使用不存在的和/或外来的词:SilbeasterStallonarius、Armorgeddon、HomecitusSapiensante(因为没有简单的字典可以找到它们)。
- 创建您自己的容易记住的句子(至少对您而言),并通过取每个单词的第一个字符来定义您的密码。结果将是难以破解(至少 8 个字符)容易记住密码包括大写和小写字母,数字和其他一些非字母的人物:
“你有两个儿子和三只猫,你爱他们。”-->“Yh2sa3c,aylt。”
并且,为了上帝的缘故:禁用 WPS现在!这完全是有缺陷的。
答案4
WEP 和 WPA1/2(启用 WPS)很容易被黑客入侵;前者通过使用捕获的 IV 来破解,而后者则需要使用 WPS PIN 暴力破解(只有 11,000 个可能的组合,来自 3 部分 PIN;4 位数字 [10,000 个可能] + 3 位数字 [1,000 个可能] + 1 位数字校验和 [从其余部分计算得出])。
WPA1/2 的强密码更难破解,但使用 GPU 破解和暴力破解技术可以破解一些较弱的密码。
我亲自破解了我的工作网络上的 WEP 和 WPS(在获得许可的情况下,我向我的雇主展示了这些漏洞),但我尚未成功破解 WPA。