kvh*_*iev 160 security router wireless-networking
大多数热心用户(即使他们不是专业人士)能否使用众所周知的技术来突破普通家用路由器的安全?
一些基本的安全选项是:
其中一些是否受到损害,如何使家庭网络更安全?
dav*_*dgo 148
在不争论语义的情况下,是的,该陈述是正确的。
WIFI 加密有多种标准,包括 WEP、WPA 和 WPA2。WEP 受到威胁,因此如果您正在使用它,即使使用强密码,它也可能被轻易破解。我相信 WPA 更难破解(但您可能会遇到与 WPS 相关的安全问题,可以绕过它),并且截至 2017 年 10 月,WPA2 还提供有问题的安全性。此外,即使相当硬的密码也可以被暴力破解——Moxie Marlinspike——一位著名的黑客提供了一项使用云计算的服务,只需 17 美元——尽管不能保证。
强大的路由器密码不会阻止WIFI端有人通过路由器传输数据,所以这无关紧要。
隐藏网络是一个神话 - 虽然有一些框可以使网络不会出现在站点列表中,但客户端会向 WIFI 路由器发出信标,因此它的存在很容易被检测到。
MAC 过滤是一个笑话,因为许多(大多数/全部?)WIFI 设备可以被编程/重新编程以克隆现有的 MAC 地址并绕过 MAC 过滤。
网络安全是一个很大的主题,不适合超级用户的问题,但基础是安全性是分层建立的,因此即使有些受到损害,也并非所有人都受到损害 - 此外,只要有足够的时间和资源,任何系统都可以被渗透和知识,所以安全其实不是“能不能被黑”的问题,而是“需要多长时间”才能被黑。WPA 和安全密码可防止“Joe Average”。
如果您想增强对 WIFI 网络的保护,您可以仅将其视为传输层,并加密和过滤穿过该层的所有内容。这对绝大多数人来说太过分了,但您可以这样做的一种方法是将路由器设置为仅允许访问您控制下的给定 VPN 服务器,并要求每个客户端通过 VPN 的 WIFI 连接进行身份验证 -因此,即使 WIFI 受到损害,还有其他 [更难] 层可以击败。这种行为的一个子集在大型企业环境中并不少见。
更好地保护家庭网络的一个更简单的替代方案是完全放弃 WIFI,只需要有线解决方案。如果你有手机或平板电脑之类的东西,这可能不太实用。在这种情况下,您可以通过降低路由器的信号强度来降低风险(当然不能消除它们)。您还可以屏蔽您的房屋,以减少频率泄漏 - 我没有这样做,但强烈的谣言(研究)表明,即使是铝网(如防蝇网)在您的房屋外面,良好的接地也可以使一个巨大的将逃逸的信号量的差异。[但是,当然,再见手机覆盖范围]
在保护方面,另一种选择可能是让你的路由器(如果它有能力这样做,大多数都不能,但我想路由器运行 openwrt 并且可能番茄/dd-wrt 可以)记录所有通过你的网络的数据包并密切关注它 - 地狱,即使只是监视进出各种接口的总字节数的异常也可以为您提供良好的保护程度。
归根结底,也许要问的问题是“我需要做什么才能让黑客不花时间侵入我的网络”或“让我的网络遭到入侵的真正成本是多少”,然后继续从那里。没有快速简便的答案。
大多数使用 WPA2 的客户端 - 除非修补 - 可以使用“密钥重新安装攻击 - KRACK”以明文形式公开其流量 - 这是 WPA2 标准中的一个弱点。值得注意的是,这不会仅允许目标设备的流量访问网络或 PSK。
rei*_*rab 52
正如其他人所说,SSID 隐藏很容易破解。事实上,您的网络默认会显示在 Windows 8 网络列表中,即使它没有广播其 SSID。无论哪种方式,网络仍然通过信标帧广播其存在;如果勾选了该选项,它只是不包括信标帧中的 SSID。从现有网络流量中获取 SSID 是微不足道的。
MAC 过滤也不是很有帮助。它可能会暂时减慢下载 WEP 破解的脚本小子的速度,但它绝对不会阻止任何知道他们在做什么的人,因为他们可以欺骗合法的 MAC 地址。
就 WEP 而言,它完全被破坏了。密码的强度在这里并不重要。如果您使用的是 WEP,那么任何人都可以下载可以很快侵入您网络的软件,即使您拥有强大的密钥。
WPA 比 WEP 安全得多,但仍被认为是被破坏的。如果您的硬件支持 WPA 但不支持 WPA2,那总比没有好,但是有决心的用户可能可以使用正确的工具破解它。
WPS(无线保护设置)是网络安全的祸根。无论您使用何种网络加密技术,都应禁用它。
WPA2 - 特别是使用 AES 的版本 - 非常安全。如果您有一个合适的密码,您的朋友将不会在没有获得密码的情况下进入您的 WPA2 安全网络。现在,如果 NSA 试图进入你的网络,那就是另一回事了。那么你应该完全关闭你的无线。也可能是您的互联网连接和所有计算机。如果有足够的时间和资源,WPA2(和其他任何东西)可以被黑客入侵,但它可能需要比普通业余爱好者更多的时间和更多的功能。
正如大卫所说,真正的问题不是“这可以被黑客入侵吗?” 而是,“具有特定能力的人需要多长时间才能破解它?” 显然,该问题的答案因该特定功能集是什么而有很大差异。他也绝对正确,安全应该分层完成。你关心的东西不应该在没有先加密的情况下通过你的网络。因此,如果有人确实闯入了您的无线网络,那么除了可能使用您的互联网连接之外,他们不应该能够进入任何有意义的事情。任何需要安全的通信仍应使用强加密算法(如 AES),可能通过 TLS 或某些此类 PKI 方案设置。确保您的电子邮件和任何其他敏感的网络流量已加密,并且您没有
2017 年 10 月 17 日更新 - 此答案反映了最近发现影响 WPA 和 WPA2 的主要新漏洞之前的情况。所述密钥重新安装攻击(KRACK)发生在用于Wi-Fi的握手协议中的漏洞的优势。无需进入混乱的加密细节(您可以在链接的网站上阅读),所有 Wi-Fi 网络在修补之前都应被视为已损坏,无论它们使用哪种特定的加密算法。
有关 KRACK 的相关 InfoSec.SE 问题:
WPA2 KRACK 攻击的
后果当我买不起 VPN 时,如何保护自己免受 KRACK 的侵害?
Sop*_*rez 15
由于此线程上的其他答案很好,我认为,对于那些要求具体答案的人(嗯......这是超级用户,不是?),这个问题可以很容易地翻译为:“我应该知道什么才能使我的WiFi 网络安全吗?” .
没有否定(也没有确认)任何其他答案,这是我的简短回答:
密码学家 Bruce Schenier 的话对于许多用户来说可能是值得记住的建议:
唯一真正的解决方案是拔掉电源线。
这通常可以应用于无线网络:我们是否经常需要它工作?
许多路由器都有一个WiFi 按钮来启用/禁用无线,例如D-Link DSL-2640B。
如果没有,您始终可以使用 Windows 上的iMacros(可作为 Firefox 的扩展程序或独立程序提供)等工具自动启用/禁用无线网络。
以下是WPA(请忘记 WEP)密码(一个好的 WPA 密码会使攻击变得非常困难)创建(不要保留默认密码)的两个技巧:
而且,看在上帝的份上:立即禁用 WPS!它完全有缺陷。
您提到的所有内容(除了网络密码)都不会真正影响对 Wi-Fi 网络的黑客攻击。就安全而言,MAC 地址过滤器和隐藏的 SSID 对安全没有任何帮助。
真正重要的是网络上使用的加密类型。较旧的网络加密(如 WEP)很容易破解,因为只要有足够的流量,您就可以解码它们,并且可以强制它们生成您需要的流量。
然而,像 WPA2 这样的新版本要安全得多。现在,对于所有对手来说,没有什么是“安全的”,但这对于家庭 Wi-Fi 来说通常已经足够了。
这是一个很大的话题,这只是冰山一角,但希望它有所帮助。
小智 6
WEP 和 WPA1/2(启用 WPS)可以被轻易破解;前者使用捕获的 IV,后者使用 WPS PIN 暴力破解(只有 11,000 个可能的组合,来自 3 部分引脚;4 位数字 [10,000 可能] + 3 位数字 [1,000 可能] + 1 位校验和 [从其余部分计算]) .
WPA1/2 使用强密码更难,但使用 GPU 破解和暴力破解技术可以破解一些较弱的密码。
我个人在我的工作网络上破解了 WEP 和 WPS(经许可,我向我的雇主展示了这些漏洞),但我还没有成功破解 WPA。
这是一个很好的问题,非常安全的无线网络的准则应该是众所周知的。配置您的路由器/网关/AP,以便:
就是这样!出于所有实际目的,您现在拥有完全安全的无线网络。