大多数热情的用户(即使他们不是专业人士)是否可以使用众所周知的技术来突破普通家用路由器的安全性?

一些基本的安全选项包括:


具有多种加密方法的强大网络密码
自定义路由器访问密码
WPS
不进行SSID广播
MAC地址过滤

其中一些是受到破坏的,如何使家庭网络更安全?

评论

有了合适的工具并有足够的时间,一切皆有可能。

MAC过滤绝对没有意义

@Mondrianaire要访问互联网,我的大学网络需要注册,稍后会通过MAC地址识别您的身份。欺骗我一个宿舍邻居的地址是微不足道的。如果我使用该连接做了任何不好的事情,那将被确定为她这样做。我会说,MAC地址过滤是很容易造成错误的安全感的事情之一。

我说的是MAC过滤不是安全功能

@Mondrianaire-它确实引入了一个孔。如果某人将其MAC地址掩盖为属于此处的地址,那么不应该有人出现在您的网络中就少了一个线索。如果您不过滤MAC地址,它们可能就不会这样做了。

#1 楼

无需争论语义,是的,声明是正确的。
WIFI加密有多种标准,包括WEP,WPA和WPA2。 WEP受到了威胁,因此,即使您使用强密码,也可能会轻易破坏它。我相信,虽然WPA很难破解(但是您可能会遇到与WPS相关的安全性问题,而绕过此问题),并且自2017年10月起,WPA2还提供了可疑的安全性。另外,即使是相当硬的密码也可以被强行使用-Moxie Marlinspike-著名的黑客提供了一项使用云计算的服务,价格为17美元-尽管并不能保证。阻止WIFI端的某人通过路由器传输数据,这是无关紧要的。
隐藏的网络是一个神话-尽管存在使网络不出现在站点列表中的框,但客户端信标WIFI路由器MAC过滤是一个玩笑,因为可以对许多(大多数/全部?)WIFI设备进行编程/重新编程以克隆现有的MAC地址并绕过MAC过滤。
网络安全是这是一个大问题,不是超级用户问题所能解决的问题,但基础知识是安全性是分层构建的,因此即使某些漏洞被破坏,也并非全部都是-而且,只要有足够的时间,资源和知识,任何系统都可以被渗透。安全实际上不是“可以被黑客入侵”,但是“需要多长时间”才能被黑客入侵。 WPA和安全密码可防止“ Joe Average”。
如果您想加强对WIFI网络的保护,则可以将其仅视为传输层,并对经过该层的所有内容进行加密和过滤。对于大多数人来说,这太过分了,但是您可以采用的一种方法是将路由器设置为仅允许访问您控制下的给定VPN服务器,并要求每个客户端通过VPN上的WIFI连接进行身份验证-因此,即使WIFI受到威胁,也要击败其他[更难]的层。在大型公司环境中,这种行为的一部分并不罕见。
更好地保护家庭网络的一种更简单的选择是完全放弃WIFI,只需要有线解决方案。如果您有手机或平板电脑之类的东西,则可能不切实际。在这种情况下,您可以通过降低路由器的信号强度来减轻风险(一定不能消除风险)。您还可以屏蔽房屋,以减少频率泄漏-我还没有做到,但有谣言(经研究)表明,即使房屋外部的铝网(如防蝇网)也能良好接地会逃逸的信号量的差异。 [但是,当然,再见的手机覆盖范围]
在保护方面,另一种选择可能是让您的路由器(如果能够这样做,则大多数都不会,但是我想路由器正在运行openwrt以及可能的Tomato / dd-wrt可以记录遍历您的网络并监视它的所有数据包-地狱,即使只是监视各种接口进出总字节的异常也可以为您提供良好的保护。 br />归根结底,也许要问的问题是“我该怎么做才能使不值得随意的黑客入侵我的网络的时间”或“让我的网络受到破坏的真正代价是什么” ,然后从那里去。没有快速简便的答案。
更新-2017年10月
大多数使用WPA2的客户端(除非进行了修补)都可以使用“密钥重新安装攻击-KRACK”以明文形式公开其流量,这是WPA2标准的一个弱点。值得注意的是,这不能访问网络或PSK,而只能访问目标设备的流量。

评论


是的,任何人都可以将其MAC地址更改为列入白名单的地址,但这不是a)对MAC地址的原始所有者立即造成明显的问题,并且b)默默无闻的安全性还不是很明显吗?一台计算机什么时候可以通过家庭网络以明文广播其MAC?

–璀璨之星
2014年3月25日在2:23

计算机公开其MAC地址的最常见时间是使用网络连接时-并非罕见。至于模糊的问题,相对于问题的上下文而言,这并不是一个模糊的问题,爱好者可以做什么,大概可以有效地进行网络搜索。

– Ram
2014年3月25日下午3:01

@landroni-不,不容易,但是,如果密码是由普通单词串在一起组成的,那么它仍然很容易破解。不需要通过尝试连接的机器来完成破解-而是它可以收集所需的信息并将其发送到云中,以使用更多的功能,资源甚至是彩虹表进行破解。不过,随机的20个字符的密码将非常安全。看看cloudcracker.com

– davidgo
2014年3月25日在6:58

@clabacchio,因为现在您给用户带来了极大的不便?

– Cruncher
2014年3月25日15:50

@clabacchio完全关闭网络也将使其更加“安全”。用户会对此感到满意吗?

– o0'。
2014-03-25 17:22

#2 楼

就像其他人说的那样,隐藏SSID很容易。实际上,即使您的网络没有广播其SSID,它也会默认显示在Windows 8网络列表中。网络仍然通过信标帧广播其存在。如果选中该选项,它只是在信标帧中不包含SSID。从现有网络流量中获取SSID并不容易。

MAC过滤也不是非常有用。它可能会暂时减慢下载WEP破解程序的脚本小子的速度,但绝对不会阻止任何知道自己在做什么的人,因为他们只能欺骗合法的MAC地址。

到目前为止就WEP而言,它已完全损坏。您的密码强度在这里无关紧要。如果您使用的是WEP,则即使您拥有强大的密码,任何人都可以下载将很快打入您网络的软件。

WPA比WEP安全得多,但仍然被认为是安全的。破碎。如果您的硬件支持WPA但不支持WPA2,那总比没有好,但是确定的用户可以使用正确的工具来破解它。

WPS(无线保护设置)是网络安全的祸根。无论您使用哪种网络加密技术,都请禁用它。

WPA2(尤其是使用AES的版本)非常安全。如果您有一个不错的密码,那么您的朋友在没有获得密码的情况下不会进入您的WPA2安全网络。现在,如果NSA试图进入您的网络,那是另一回事。然后,您应该完全关闭无线设备。可能还有您的Internet连接和所有计算机。如果有足够的时间和资源,WPA2(以及其他任何东西)可能会被黑客入侵,但它可能需要比普通的业余爱好者更多的时间和更多的功能。

正如大卫所说,真正的问题不在于“可以被黑客入侵吗?”但是,相反,“拥有一套特定功能的人需要多长时间才能破解它?”显然,该问题的答案在特定的功能集方面有很大的不同。他也绝对正确地认为安全性应该分层进行。您关心的东西不应该先加密就不能通过网络。因此,如果有人确实闯入了您的无线设备,那么他们可能除了使用您的Internet连接之外,还无法进入其他有意义的事情。任何需要确保安全的通信仍应使用可能通过TLS或某些此类PKI方案设置的强大加密算法(例如AES)。确保您的电子邮件和其他任何敏感的网络通信都经过加密,并且没有适当的身份验证系统,您还没有在计算机上运行任何服务(例如文件或打印机共享)。


Update 2017年10月17日-此答案反映了在最近发现一个同时影响WPA和WPA2的重大新漏洞之前的情况。密钥重新安装附件(KRACK)利用了Wi-Fi握手协议中的漏洞。无需深入研究混乱的密码学细节(您可以在链接的网站上找到),在修补所有Wi-Fi网络之前,无论它们使用的是哪种特定的加密算法,都应视为已断开。

有关KRACK的相关InfoSec.SE问题:WPA2 KRACK攻击的后果当我买不起VPN时如何保护自己免受KRACK的侵害?

评论


好的答案,尤其是有关WPA2-AES的知识。我还要补充一点,SSID用于给WPA密钥加盐,因此,如果您不希望WPA密钥呈彩虹状,最好将其切换为“ NETGEAR”以外的名称。

– Zigg
2014年3月25日15:10

欺骗MAC地址有多难,因为您必须获得一个列入白名单的地址。我知道所传输的任何内容都可以手动提取,但这不是很多工作吗?

–赛斯
2014年3月30日,下午3:54

不,这非常容易。它实际上是在每个帧的开头以纯文本发送的,因此您要做的就是捕获网络上的一个合法数据包,以便在白名单上找到MAC。正如我在回答中所说的,对于任何知道自己在做什么的人来说,这都是微不足道的。

– reirab
2014年3月30日4:53



#3 楼

由于此线程上的其他答案都不错,我认为,对于那些要求具体答案的人(嗯……这是SuperUser,不是吗?),问题可以轻松地翻译为:“我应该知道什么才能使我的WiFi网络是安全的吗?”。
在没有否定(也没有确认)任何其他答案的情况下,这是我的简短答案:

密码学家布鲁斯·谢尼叶(Bruce Schenier)的话对于许多用户而言可能是值得建议的要记住:


唯一真正的解决方案是拔掉电源线。


这通常可以应用于无线网络:我们经常
许多路由器都有一个WiFi按钮来启用/禁用无线功能,例如D-Link DSL-2640B。
如果没有,您可以始终使用以下工具自动执行Web启用/禁用无线功能Windows上的iMacros(可作为Firefox的扩展或独立程序使用),在Linux上为许多其他工具。

这是创建WPA(请忘记WEP)密码的两个技巧(一个好的WPA密码将使攻击变得非常困难)创建(不保留默认密码):


使用不存在的和/或外来词:SilbeasterStallonarius,Armorgeddon,HomecitusSapiensante(因为无法使用简单的词典来找到它们)。
创建自己的易于记忆(至少对您来说)的句子并通过使用每个单词的第一个字符来定义密码。结果将是一个难以破解的密码(最少8个字符),但易于记住的密码,包括大写和小写字母,数字和一些其他非字母字符:
”您有两个儿子和3只猫,并且你爱他们。” ->“ Yh2sa3c,aylt。”

为了上帝,现在就禁用WPS!这是完全有缺陷的。

评论


请忘记WPA和WPA2-TKIP。在WPA2-AES上使用技巧。

– Darth Android
2014-03-25 18:45



容易记住的wifi密码有什么意义?毕竟,您很少连接设备。只需使用一个很好的长随机密码-例如Lm,-TMzQ7cf \ 6。“ owhAnpqC *。

–汉斯·彼得·斯托尔
2014年3月26日19:52



如果您有很少更改的静态设备集,请确定。某人中有需要启用的小工具的朋友,这里随机密码是有问题的。 (可能还有其他解决方案,例如访客网络,但是仍然可以访问想要使用您的资源的非访客访客)

– davidgo
2014年3月26日20:19在

@hstoerr,以我作为最终用户和企业顾问的经验,我(几乎)总是发现复杂的密码令人讨厌,最终被丢弃了。您需要一个折衷的解决方案。

– Sopalajo de Arrierez
2014-3-27的2:49

您说得对,@ IQAndreas:它更令人难忘,更难破解。但是键入起来并不容易。而且,在我使用HashCat进行的测试中,仅对于最短的模式Yh2sa3c,aylt。,暴力破解的估计时间将超过10年(即使使用您今天买得起的最快的个人计算机之一)。

– Sopalajo de Arrierez
2014年3月28日10:40



#4 楼

您提到的所有内容(除了网络密码外)都不会真正影响Wi-Fi网络的入侵。由于存在MAC地址过滤器和隐藏的SSID,因此对安全性没有任何帮助。

真正重要的是网络上使用的加密类型。像WEP这样的较旧的网络加密很容易被破解,因为只要有足够的流量,您就可以解码它们,并且可以强制它们生成所需的流量。

像WPA2这样的较新的加密方法更加安全。现在,没有任何东西可以“对抗”所有对手,但这对于家庭Wi-Fi来说通常就足够了。

这是一个很大的话题,虽然触及了冰山一角,但希望能有所帮助。

#5 楼

WEP和WPA1 / 2(启用WPS)可以被微不足道;前者使用捕获的IV,后者使用WPS PIN暴力破解(仅3个部分使用11,000种可能的组合; 4位数字[10,000种可能] + 3位数字[1,000种可能] + 1位校验和[由其余部分计算]) 。

WPA1 / 2的密码设置更严格,但是使用GPU破解和蛮力技术可以破坏一些较弱的应用。我的工作网络上的WPS(经允许,我正在向雇主演示该漏洞),但我尚未成功破解WPA。

#6 楼

这是一个很大的问题,拥有非常安全的无线网络的准则应该是众所周知的。配置路由器/网关/ AP,以便:


无线安全仅适用于WPA2
加密仅适用于AES
使用包含多个单词的预共享密钥(例如IloveSuperUser)
禁用WPS
禁用远程管理

就这样!出于所有实际目的,您现在拥有了完全安全的无线网络。

评论


@Jason马上有一个问题;你对空间有什么?

–deworde
2014年3月27日在12:07

我说的@ryyker是出于实际目的。

–詹森
2014年3月27日15:22

@deworde我不知道,但是一些便宜的路由器和连接管理器可以。

–詹森
2014年3月27日15:23

#7 楼

在思科学习网络论坛上,一个线程启动程序询问:


是否可以破解WPA / TKIP?我旅馆的某个人用完了80份数据,或者附近某人破解了密码并使用了它。我怀疑旅馆中有人,因为我很难相信WPA / TKIP会被破解,即使可以破解也很难。破解WPA / TKIP到底有多困难?我仍然想为他们更改密码,我可以使用-和_和吗?字符? 。

特别是从他的帖子中大约三分之二的地方开始阅读,他以“解决方案:”开头。

我正在使用我的网关的“ WPA-PSK(TKIP)/ WPA2-PSK(AES)”设置。为了与Zach的发布保持一致...


将路由器的名称更改为唯一的名称。您的WLAN请求方会将您的ESSID用作PMK上的加密盐。更改此设置将消除计算前攻击。


...我长期以来一直使用自己的唯一ESSID。此外,为了与他保持一致...


设置一个包含唯一字符,数字和大写字母的唯一密码。多个单词和小写字母。这比长度更重要。增加密码的长度只会增加密码的强度,但不必太长
。力量在于潜力的变化。这将消除字典攻击,并在没有超级计算机的情况下使暴力破解成为不可能。


... mine是25个字符,由字母,数字,大写和小写字母和特殊的角色。它的任何部分都不会拼写任何东西。

我在做Zach要做和不列举的其他几件事;但除了上述内容,并说了其他话,至少是按照他在这里写的精神...


启用详细的日志记录,并在可能的情况下将其转发到您的电子邮件中。


...我很早以前就编写了一些脚本代码,这些代码可以在Windows启动时自动启动,并且只在系统托盘中运行;全天定期刷新哪些代码,然后解析我的网关中的网页,其中列出了所有已连接的设备;然后它告诉我,这是在台式机,笔记本电脑和台式机上弹出的带有三声蜂鸣声的主板扬声器(不是普通的音频扬声器,以防万一它们静音了)。屏幕,也可以通过短信发送到我的手机(位于我腰带上的一个小袋中,或者离我至少不超过5英尺(24/7/365),如果出现了新情况。

对于那些没有这种技能的人,那里有几个“谁在我的WI-FI上”类型的应用程序,其中一些是免费的。一个好简单的人是[这个坏男孩] [3]。只需使用Windows自动启动它,将其放到系统托盘中,并告诉它“在新设备上蜂拥而至”,您将获得与我的脚本相似的内容(除了它不会发送短信给您)。但是,使用[简单的脚本工具] [5],当LAN上的新设备使应用程序发出哔哔声时,您可以使SMS或电子邮件发送到您的手机。

希望有所帮助。

评论


您的答案的最后一段似乎缺少两个链接。

–我说恢复莫妮卡
17年5月21日,2:10

#8 楼

任何安全分析的另一个考虑因素是需要保护的资产,以及这些资产对所有者和潜在攻击者的价值。我猜想您的银行登录信息,信用卡号和其他登录凭据可能是通过家庭网络传输的最有价值的信息,并且大多数信息应通过https连接进行TLS / SSL加密处理。因此,如果您在wifi路由器上使用WPA2密钥,并确保您的浏览器尽可能使用https(在各处都使用eff's https之类的工具),那似乎很安全。 (潜在的攻击者将不得不破解WPA2密钥,以获取可能无法通过https或浏览的http页面访问的密码。)

#9 楼

令人怀疑。

我不同意大卫的回答。尽管对此进行了充分的研究并且我同意他的大部分信息,但我认为这有些悲观。

其他答案中已经涵盖了WPA2中的漏洞。但是,这些都不是不可避免的。

特别要注意的是,davidgo提到的蛮力攻击是对MS-CHAPv2弱点的攻击。请参阅引用的作者参考[https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v​​2/]。如果不使用Ms-CHAP,则无法利用此弱点。
(根据作者的评论删除-错误的参考文献)

使用正确的口令,SSID并避免技术受到损害,我看到没有理由为什么目前使用AES256的WPA2安全网络不安全。对这样的网络进行蛮力攻击是不可行的,甚至Moxy Marlinspike都建议这样做。

但是,我同意davidgo的回答是,大多数用户没有做出这些努力。我知道我自己的家庭网络可以被利用,即使我知道如何修复它,但这也不值得我花时间和精力。

评论


MS-CHAP有所不同(它在PPTP上使用,即VPN连接而不是无线连接,除非您通过Wifi运行PPTP,这毫无意义。众所周知,MS-CHAP已完全损坏)。我指的是Cloudcracker,还有其他东西。您准备并发送了一个网络流量示例,该服务尝试对其进行暴力破解。除其他外,它尝试破解WPA和WPA2密码。链接是cloudcracker.com(之后没有其他内容)。我同意使用强密码,WPA2对于暴力破解可能不切实际。

– davidgo
14年6月29日在5:58