Startpagina » hoe » Is het echt mogelijk voor de meeste liefhebbers om wifi-netwerken te hacken?

    Is het echt mogelijk voor de meeste liefhebbers om wifi-netwerken te hacken?

    Hoewel de meesten van ons zich waarschijnlijk nooit zorgen hoeven te maken dat iemand ons wifi-netwerk hackt, hoe moeilijk is het dan voor een liefhebber om iemands wifi-netwerk te hacken? De SuperUser Q & A-post van vandaag biedt antwoorden op de vragen van één lezer over de beveiliging van het wifi-netwerk.

    De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.

    Foto met dank aan Brian Klug (Flickr).

    De vraag

    SuperUser reader Sec wil weten of het echt mogelijk is voor de meeste enthousiastelingen om wifi-netwerken te hacken:

    Ik hoorde van een vertrouwde computerbeveiligingsdeskundige dat de meeste enthousiastelingen (zelfs als ze geen professionals zijn) alleen gidsen van internet en gespecialiseerde software gebruiken (bijv. Kali Linux met de meegeleverde hulpmiddelen), de beveiliging van uw eigen router kunnen doorbreken.

    Mensen beweren dat het mogelijk is, zelfs als u:

    • Een sterk netwerkwachtwoord
    • Een sterk routerwachtwoord
    • Een verborgen netwerk
    • MAC-filtering

    Ik wil weten of dit een mythe is of niet. Als de router een sterk wachtwoord en MAC-filtering heeft, hoe kan dat dan worden omzeild (ik betwijfel of ze brute-force gebruiken)? Of als het een verborgen netwerk is, hoe kunnen ze het detecteren en, als het mogelijk is, wat kunt u doen om uw thuisnetwerk echt te beveiligen?

    Als een student informatica voor junioren, voel ik me slecht omdat hobbyisten soms met mij over deze onderwerpen discussiëren en ik heb geen sterke argumenten of kan het technisch niet uitleggen.

    Is het echt mogelijk, en zo ja, wat zijn de 'zwakke' punten in een Wi-Fi-netwerk waarop een liefhebber zich zou kunnen concentreren?

    Het antwoord

    SuperUser-bijdragers davidgo en reirab hebben het antwoord voor ons. Als eerste, davidgo:

    Zonder de semantiek te betwisten, ja, de bewering is waar.

    Er zijn meerdere standaarden voor Wi-Fi-codering, waaronder WEP, WPA en WPA2. WEP is gecompromitteerd, dus als u het gebruikt, zelfs met een sterk wachtwoord, kan het triviaal worden verbroken. Ik ben van mening dat WPA en WPA2 een stuk moeilijker te kraken zijn (maar mogelijk hebt u beveiligingsproblemen met betrekking tot WPS die dit omzeilen). Ook kunnen zelfs redelijk harde wachtwoorden bruut-geforceerd worden. Moxy Marlispike, een bekende hacker biedt een service om dit te doen voor ongeveer US $ 30 met behulp van cloud computing - hoewel het niet is gegarandeerd.

    Een sterk routerwachtwoord doet niets om te voorkomen dat iemand aan de Wi-Fi-zijde gegevens via de router verzendt, dus dat is niet relevant.

    Een verborgen netwerk is een mythe. Hoewel er vakjes zijn om een ​​netwerk niet in een lijst met sites te laten verschijnen, bakenen de clients de WIFI-router, waardoor de aanwezigheid ervan triviaal wordt gedetecteerd..

    MAC-filtering is een grapje omdat veel (meest / alle?) Wifi-apparaten kunnen worden geprogrammeerd / opnieuw geprogrammeerd om een ​​bestaand MAC-adres te klonen en om MAC-filtering te omzeilen.

    Netwerkbeveiliging is een groot onderwerp en niet iets dat vatbaar is voor een SuperUser-vraag. Maar de basis is dat de beveiliging in lagen is opgebouwd, zodat zelfs als sommige zijn aangetast, niet alles zijn. Ook kan elk systeem worden doordrongen op basis van voldoende tijd, middelen en kennis; dus beveiliging is eigenlijk niet zozeer een kwestie van "kan het worden gehackt", maar "hoe lang duurt het" om te hacken. WPA en een beveiligd wachtwoord beschermen tegen "Joe Average".

    Als je de bescherming van je wifi-netwerk wilt verbeteren, kun je het alleen als een transportlaag bekijken en vervolgens alles versleutelen en filteren dat zich in die laag afspeelt. Dit is overkill voor de overgrote meerderheid van de mensen, maar een manier om dit te doen zou zijn om de router zodanig in te stellen dat alleen toegang wordt verleend tot een bepaalde VPN-server die u beheert, en vereist dat elke client zich via de Wi-Fi-verbinding over de VPN. Dus, zelfs als de Wi-Fi wordt aangetast, zijn er andere (moeilijkere) lagen om te verslaan. Een deelverzameling van dit gedrag is niet ongebruikelijk in grote bedrijfsomgevingen.

    Een eenvoudiger alternatief om een ​​thuisnetwerk beter te beveiligen, is om Wi-Fi helemaal te verwijderen en alleen bekabelde oplossingen te gebruiken. Als je dingen zoals mobiele telefoons of tablets hebt, is dit misschien niet praktisch. In dit geval kunt u de risico's beperken (zeker niet elimineren) door de signaalsterkte van uw router te verminderen. Je kunt je huis ook beschermen, zodat je frequentie minder lekt. Ik heb het niet gedaan, maar een sterk gerucht (onderzocht) zegt dat zelfs aluminium gaas (zoals een vliegenhor) aan de buitenkant van je huis met goede aarding een groot verschil kan maken voor de hoeveelheid signaal die zal ontsnappen. Maar natuurlijk, dag in dag uit mobiele telefoon dekking.

    Aan de voorkant van de beveiliging kan een ander alternatief zijn om je router te krijgen (als het in staat is om het te doen, de meeste zijn dat niet, maar ik kan me voorstellen dat routers met openwrt en mogelijk tomaat / dd-wrt kunnen) alle pakketten loggen die je netwerk doorkruisen en in de gaten houden. Zelfs het monitoren van anomalieën met totale bytes in en uit verschillende interfaces kan u een goede mate van bescherming bieden.

    Aan het eind van de dag is de vraag wellicht: wat moet ik doen om ervoor te zorgen dat een hacker niet de tijd heeft om mijn netwerk binnen te dringen? Of: "Wat zijn de werkelijke kosten van een gecompromitteerd netwerk?", en vanaf daar gaan. Er is geen snel en eenvoudig antwoord.

    Gevolgd door het antwoord van reirab:

    Zoals anderen al hebben gezegd, is verbergen van SSID triviaal om te verbreken. In feite wordt uw netwerk standaard weergegeven in de Windows 8-netwerklijst, zelfs als het zijn SSID niet uitzendt. Het netwerk zendt zijn aanwezigheid nog steeds via beacon-frames uit, hoe dan ook; het bevat gewoon niet de SSID in het bakenframe als die optie is aangevinkt. De SSID is triviaal om te verkrijgen van bestaand netwerkverkeer.

    MAC-filtering is ook niet erg nuttig. Het kan de scriptkiddie die een WEP-crack downloadt even vertragen, maar het zal zeker niemand stoppen die weet wat ze doen, omdat ze gewoon een legitiem MAC-adres kunnen vervalsen.

    Wat WEP betreft, is het volledig verbroken. De kracht van uw wachtwoord maakt hier niet veel uit. Als u WEP gebruikt, kan iedereen software downloaden die snel in uw netwerk zal binnendringen, zelfs als u over een sterk wachtwoord beschikt.

    WPA is aanzienlijk veiliger dan WEP, maar wordt nog steeds als verbroken beschouwd. Als uw hardware WPA maar niet WPA2 ondersteunt, is het beter dan niets, maar een vastberaden gebruiker kan het waarschijnlijk kraken met de juiste tools.

    WPS (Wireless Protected Setup) is de vloek van netwerkbeveiliging. Schakel het uit, ongeacht welke netwerkcoderingstechnologie u gebruikt.

    WPA2, in het bijzonder de versie ervan die AES gebruikt, is behoorlijk veilig. Als u een afdalingswachtwoord hebt, krijgt uw vriend geen toegang tot uw beveiligde WPA2-netwerk zonder het wachtwoord te verkrijgen. Nu, als de NSA probeert in uw netwerk te komen, is dat een andere zaak. Dan moet je gewoon je draadloze volledig uitschakelen. En waarschijnlijk ook uw internetverbinding en al uw computers. Gezien genoeg tijd en middelen kan WPA2 (en wat dan ook) gehackt worden, maar het zal waarschijnlijk veel meer tijd en veel meer mogelijkheden vereisen dan je gemiddelde hobbyist tot zijn beschikking zal hebben.

    Zoals David zei, is de echte vraag niet "Kan dit worden gehackt?", Maar eerder: "Hoelang duurt het iemand met een bepaald aantal mogelijkheden om het te hacken?". Het is duidelijk dat het antwoord op die vraag sterk varieert met betrekking tot dat specifieke pakket aan mogelijkheden. Hij heeft ook absoluut gelijk dat de beveiliging in lagen moet worden uitgevoerd. Dingen waar u om geeft moeten niet over uw netwerk gaan zonder eerst te worden gecodeerd. Dus als iemand inbreekt op uw draadloze netwerk, zouden ze niets betekenisvols moeten kunnen doen, behalve misschien via uw internetverbinding. Elke communicatie die beveiligd moet zijn, moet nog steeds een sterk versleutelingsalgoritme (zoals AES) gebruiken, mogelijk ingesteld via TLS of een dergelijk PKI-schema. Zorg ervoor dat uw e-mail en elk ander gevoelig webverkeer gecodeerd is en dat u geen services (zoals het delen van bestanden of printers) op uw computers uitvoert zonder dat het juiste authenticatiesysteem aanwezig is.


    Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.