it-swarm.com.de

Was ist der beste Verschlüsselungsalgorithmus für drahtlose Heimnetzwerke?

Was ist der beste Verschlüsselungsalgorithmus für drahtlose Heimnetzwerke? Mir ist klar, dass sich die beste Antwort wahrscheinlich im Laufe der Zeit ändern wird, und hoffentlich können die Leute aktualisierte Antworten geben, wenn neue Standards herauskommen. Bisher ist mein Wissen ab Anfang 2015:

  • WEP - Schrecklich/veraltet, aber immer noch ein bisschen besser als nichts (oder sogar schlechter als nichts, weil es ein falsches Sicherheitsgefühl bietet, wie unten ausgeführt).
  • WPA - Bietet etwas Sicherheit, ist aber wahrscheinlich besser für WPA2 geeignet.
  • WPA2 - Ziemlich gut (besonders mit AES-Verschlüsselung), aber immer noch nicht perfekt. Es ist das Beste, was ich für ein Heimnetzwerk kenne.

Gibt es bessere Verschlüsselungsstandards als WPA2 für ein drahtloses Heimnetzwerk oder ist das das Beste, was es gibt? Wenn es das Beste ist, ist es einfach zu hacken?

Wenn es stimmt, wie andere angeben, dass WPA-2 nicht angemessen ist und nichts Besseres existiert, scheint es eine gute Idee zu sein, vielleicht sogar eine gute Gelegenheit, um Geld zu verdienen, damit jemand etwas Besseres entwickelt!

Bearbeiten (1. Juli 2019) : WPA3 ist jetzt eine bessere Option als WPA2.

43
Jonathan

Aus Sicherheitsgründen denke ich, dass Sie die falsche Frage stellen. WPA2 ist die grundlegende Antwort. Aber es ist völlig unvollständig! Bei einer vollständigeren Antwort wird WPA2 als eine Komponente Ihrer drahtlosen Netzwerkverteidigung angesehen. Natürlich gibt es starke Verschlüsselungsmethoden mit Zertifikaten/VPN usw., aber diese sind für die meisten Menschen zu schwierig einzurichten und normalerweise reserviert für Unternehmen. Nehmen wir also an, WPA-2 ist die 'beste' Antwort auf die Grundfrage. Wie Sie sehen werden, gibt es jedoch viele schwächere Punkte, die Angreifer anstreben und die letztendlich Ihr WPA2-Passwort enthüllen. Deshalb habe ich sie in die folgenden Punkte aufgenommen.

Ich gehe davon aus, dass viele Leute auf dieser Seite landen und Antworten sehen werden, die sagen: "Ja, verwenden Sie einfach ein gutes Passwort und eine WPA2-Verschlüsselung", was ein schlechter Rat ist. Ihr WPA2-Netzwerk ist immer noch vollständig anfällig, wie Sie sehen werden :

  1. das Wichtigste, was Sie tun können, ist, die am schwersten Person zu sein, die sich um Sie herum hackt. Das ist die größte Abschreckung. Wenn ich dich hacken werde, aber du zu lange brauchst oder zu teuer zum Knacken bist, werde ich es mit der nächsten Person versuchen. Dies erfordert ein wenig Herumspielen in Ihren Router-Einstellungen.

  2. Ich gehe davon aus, dass Sie niemals WEP verwenden. 10 Minuten auf Youtube und deine Mutter kann es knacken.

  3. WPS ausschalten. Dies ist EXTREM anfällig für Brute-Force-Angriffe und kann in Sekunden gehackt werden, auch wenn Sie WPA2 mit einem lächerlich komplexen Passwort verwenden. Werkzeuge wie Reaver und Revdk3 oder Bully machen diese leicht. Sie sind nur ein bisschen besser geschützt, wenn Ihr Router eine Ratenbegrenzung unterstützt, die langsamer wird, aber Brute-Force-Angriffe gegen den Pin Ihres Routers nicht verhindert. Besser sicher sein und einfach WPS ausschalten und 100% sicher gegen diese Angriffe sein.

  4. Fernzugriff ausschalten, DMZ, UPNP, unnötige Portweiterleitung

  5. einschalten, alle eingebauten Intrusion Detection Systeme, MAC-Adressfilterung (mühsam einzurichten, wenn Besucher Ihres Hauses Zugang zu Ihrem WLAN wünschen (müssen Sie) Fügen Sie das Gerät Ihres Freundes zur MAC-Whitelist des Routers hinzu, um den Zugriff zu ermöglichen.) Dies kann gehackt werden durch einfaches Fälschen einer MAC-Adresse, und das Abrufen Ihres MAC ist auch mit einem Airodump-ng-Scan einfach, aber Dies verlangsamt Angreifer erfordert, dass sie sich in der Nähe eines Client-Geräts befinden (Mobiltelefon oder Laptop in der Whitelist). Es ist ziemlich effektiv gegen einige Remote-Angriffe.

  6. habe ein sehr langes, nicht menschliches, komplexes Passwort. Wenn Sie jemals versucht haben, ein Passwort zu entschlüsseln, wissen Sie, dass es exponentiell schwieriger wird, ein Passwort zu knacken, je komplexer, weniger vorhersehbar und länger ist es. Wenn Ihr Passwort auch nur aus der Ferne einem Wort ähnelt oder möglicherweise aus einer Reihe von Wörtern besteht (siehe: Markov-Ketten), sind Sie fertig. Machen Sie sich auch nicht die Mühe, Zahlen am Ende von Passwörtern und dann ein Symbol hinzuzufügen ... diese können leicht mit einem Wörterbuchangriff mit Regeln gehackt werden, die das Wörterbuch so ändern, dass es mehr Passwörter enthält. Dadurch werden alle Wörter oder Wörter im Wörterbuch verwendet und gängige Syntax und Strukturen hinzugefügt, z. B. Kennwörter, die wie Großbuchstaben aussehen, Kleinbuchstaben, einige Zahlen und dann ein Symbol. Cat111 $, Cat222 # oder was auch immer der Cracker will. Diese Wörterbücher sind riesig, einige können auf einer Crackstation untersucht werden oder schauen Sie sich einfach Moxie Marlinspikes 'cloudcrackr.com an. Das Ziel hier ist es, 'rechenintensiv' zu sein. Wenn das Cracken mit Cloud-basierten Cracking-Computern mit ultrahoher Geschwindigkeit zu viel kostet, sind Sie gegen fast jeden sicher. Idealerweise möchten Sie die maximal 64 Zeichen für Ihr Passwort verwenden und es am besten aussehen lassen Das nervige, mit Symbolen infundierte Stück inkohärenten Dribblings in Groß- und Kleinbuchstaben, das Sie jemals gesehen haben, ist durcheinander. Nach 14 Zeichen sind Sie wahrscheinlich sicher, hier gibt es einiges an Entropie, aber es ist viel einfacher, Zeichen hinzuzufügen als zu entschlüsseln.

  7. Ändern Sie das Standardkennwort und die SSID Ihres Routers. niemand tut das, aber jeder sollte. Es ist buchstäblich das Dümmste. Sei auch nicht faul. und behalten Sie nicht die Modellnummer des Routers in der SSID, das ist nur ein Problem.

  8. aktualisieren Sie die Firmware Ihres Routers. Außerdem wenn Ihr Router alt ist. wirf es raus und kaufe einen neueren, weil dein Router wahrscheinlich auf einer Website wie routerpwn.com/ ist und du den Kampf bereits verloren hast. Alte Router sind voll von Fehlern, können leicht abgelehnt werden, haben normalerweise keine Firewalls oder Intrusion Detection-Systeme und unter anderem keine Brute-Force-WPS-Ratenbegrenzung. hol einfach einen neuen.

  9. lerne etwas über böse Zwillings-Hacks. Der einfachste Weg, sich davor zu schützen, besteht darin, die automatische Verbindung Ihres Geräts zu stoppen. Dies könnte Sie jedoch immer noch stören. Machen Sie sich mit Software wie Wiphishing und Airbase-ng vertraut. Diese Apps klonen Ihren Router und dann Denial-of-Service Ihres Routers, sodass Ihr Gerät eine Verbindung zum geklonten Router des Angreifers herstellt, sodass dieser Ihren Datenverkehr abfangen kann. Sie werden normalerweise versuchen, das WPA2-Passwort zu fälschen von Ihnen hier. Sie sind vor diesen Angriffen sicherer, wenn Sie tatsächlich wissen, wie die Webkonsole Ihres Routers aussieht, da die mit diesen Arten von Apps gelieferten Standard-Phishing-Seiten normalerweise ziemlich alt aussehen, jedoch ein hoch entwickelter Angreifer kann eine gute Landingpage erstellen. Einfach ausgedrückt: Wenn Ihr 'Router' jemals möchte, dass Sie ein Passwort eingeben, geben Sie es nicht ein ! Sie werden immer nur gefragt, wenn Sie das Passwort erstellen, wenn Sie sich speziell anmelden auf die Benutzeroberfläche von 192.168.0.1 oder 10.1.1.1, dann werden Sie phishing und das Spiel ist vorbei. Um diesen Angriff zu verhindern, können Sie auch die Reichweite Ihres Routers künstlich verringern. Ziehen Sie die Antenne heraus und erstellen Sie einen kleinen Faradayschen Käfig um sie herum. Lassen Sie dabei einen kleinen Bereich, der auf Ihre ideale WLAN-Position zeigt. Alternativ können Sie einfach ein Kabel zu Ihrem Laptop oder Computer verwenden, bis der Angreifer aufgibt.

  10. Handshake-Angriffe sind sehr beliebt. Hier sendet der Angreifer ein Deauthorisierungspaket an jeden, der mit Ihrem Passwort mit Ihrem Router verbunden ist. Wenn dieses Gerät (z. B. ein iPhone) versucht, die Verbindung wiederherzustellen, erfasst es das '4-Wege-Handshake', mit dem sich Gerät und Router mit Ihrem WPA2-Passwort authentifizieren. Dies ist, was Hacker verwenden, um mit den Passwortangriffen in Punkt 6 offline zu knacken. Wenn Sie jedoch ein starkes Passwort (wie in Punkt 6 beschrieben) verwendet haben, dann haben Sie dies gemildert schon angreifen.

  11. Ich habe mich also auf die Router-basierte Verteidigung konzentriert, aber es gibt noch einfachere Möglichkeiten, angegriffen zu werden. Wenn der Angreifer weiß, wer Sie sind, sind Sie fertig. Mit ein wenig Social Engineering können sie Ihr Facebook, Ihre E-Mail-Adresse oder eine andere Möglichkeit finden, Sie zu kontaktieren und einen böswilligen Code-Ausschnitt einzufügen, der unsichtbar ist, und Ihren gesamten Computer entführen, wodurch sie dies tun können Überprüfen Sie einfach die WLAN-Einstellungen in Ihrem Computer und erhalten Sie das extrem sichere Passwort, das Sie so lange erstellt haben. Eine beliebte Methode besteht darin, Ihnen eine Junk-E-Mail zu senden und diese so lange zu senden, bis Sie auf "Abbestellen" klicken, wie Sie es normalerweise für Junk-E-Mails tun würden, außer dass dieser Link genau das Schlimmste ist. Sie haben das Kardinalgesetz der E-Mail gebrochen. Klicken Sie nicht auf Links in E-Mails. Wenn Sie auf eines klicken müssen, überprüfen Sie zumindest, wohin es zuerst führt.

  12. Wenn jemand Zugriff auf eines Ihrer Geräte hat oder ein Gerät an Ihren Laptop anschließt, sind Sie weg. Dinge wie USB-Sticks 'USB Rubber Ducky' kann Ihren Computer gefährden und Ihr WPA2-Passwort einem relativ unerfahrenen Hacker preisgeben.

  13. wenn Sie eine drahtlose Tastatur verwenden und in der Nähe eines angreifenden Nachbarn wohnen, können diese Dinge wie Keysweeper verwenden, um Ihr WLAN zu gefährden, und vieles mehr. Dies kann kreativ mit einem bösen Zwillingsangriff verwendet werden, um die Wahrscheinlichkeit zu erhöhen, dass Sie Ihr Passwort eingeben (es hört auf drahtlose Tastatursignale). Die Möglichkeit, diesen Angriff zu verhindern, besteht darin, keine drahtlose Microsoft-Tastatur zu verwenden.

Es gibt viele andere Möglichkeiten, und Sie werden sie niemals alle verhindern

aber normalerweise, wenn Ihr Router gesperrt ist, hat ein schönes Passwort, hat WPS aus, WPA2 an, einen starken (neuen) Router mit einem Passwort, nein Remote-Web-Zugriff, unnötige Ports werden geschlossen, MAC-Filter werden verwendet und die Intrusion Detection im Router ist eingeschaltet. Sie verhindern normalerweise sogar ziemlich engagierte Angreifer. Sie müssen härtere Methoden ausprobieren und werden wahrscheinlich einfach aufgeben.

38
catsquid

Kurz gesagt, WPA2 ist derzeit das sicherste drahtlose Sicherheitsschema.

Persönlich und Unternehmen

Es unterstützt zwei Hauptauthentifizierungsmodi, WPA2-Personal und WPA2-Enterprise. Ersteres verwendet einen Pre-Shared Key (PSK) und wird im Allgemeinen als am besten für Heimnetzwerke geeignet angesehen, während letzteres 802.1x ist, für das ein Authentifizierungsserver erforderlich ist.

WPS

Ein dritter Authentifizierungsmodus, Wi-Fi Protected Setup (WPS), ist bekanntermaßen anfällig und sollte in allen drahtlosen Netzwerken deaktiviert werden. Wenn dieser Authentifizierungsmodus aktiviert ist (und dies häufig standardmäßig der Fall ist), kann das zugehörige PIN in der Regel innerhalb weniger Stunden aufgelistet werden).

Pre-Shared Keys

Die PSK-Authentifizierung, der in Heimnetzwerken verwendete Typ, ist anfällig für Offline-Brute-Force-Angriffe. Wenn ein Angreifer einen WPA/WPA2-Handshake erfassen kann, kann er Brute-Force- und Wörterbuchangriffe verwenden (wie Sie es mit einem Hash tun könnten) und im Wesentlichen eine große Anzahl möglicher Werte durchlaufen, bis eine Übereinstimmung gefunden wird. Glücklicherweise ist das Generieren von WPA Handshakes) ziemlich langsam, was dies für einen Angreifer schwieriger macht, aber sobald der Handshake erfasst wurde, müssen sie nicht in der Nähe bleiben und können möglicherweise monatelang verschwinden offline zu knacken (wenn sie sehr entschlossen sind)!

Mögliche Gegenmaßnahmen gegen diese PSK-Angriffe sind:

  • Ein ausreichend starker Schlüssel, der lang und komplex ist und nicht auf einem Wörterbuchwort oder einer allgemeinen Phrase basiert (idealerweise zufällig), sodass das Knacken extrem lange dauern würde.

  • Ein Schlüssel, der in regelmäßigen Abständen geändert wird, sodass es unwahrscheinlich ist, dass ein Angreifer ihn knacken kann, bevor er sich ändert.

  • Verwenden Sie nicht die Standard-SSID. Durch Ändern des "Namens" des drahtlosen Netzwerks wird verhindert, dass Rainbow-Tabellen nützlich ist. Regenbogentabellen wurden für viele gängige SSIDs kompiliert. Diese können die Zeit zum Knacken der PSK erheblich verkürzen.

WPA2-Enterprise zu Hause

Wenn Sie wirklich sicherheitsbewusst sind, ist es durchaus möglich, WPA2-Enterprise in einer häuslichen Umgebung einzurichten, obwohl Sie einen RADIUS - Server konfigurieren und einen Router verwenden müssen, der dies unterstützt - also Es ist ein viel komplexerer Prozess. Beispiel


Die obigen Empfehlungen beziehen sich nur auf die Verringerung der Wahrscheinlichkeit, dass WPA2 spezifisch geknackt wird. In jedem drahtlosen Netzwerk müssen eine Reihe anderer Überlegungen angestellt werden, z. B. das Ändern des Konfigurationsbenutzernamens und des Kennworts des Routers und die Frage, ob Gerätelisten überwacht oder die MAC-Adressfilterung verwendet werden soll.

27
itscooper

Die kurze Antwort lautet: Verwenden Sie WPA2. WPA wäre etwas erträglich, aber WPA2 sollte wirklich bevorzugt werden. Verwenden Sie nicht WEP, das nicht wirklich besser als nichts ist (wohl ist WEP schlechter als nichts). weil es den Benutzern den Eindruck gibt, dass Sicherheit geschieht, während dies nicht der Fall ist).

Noch wichtiger ist, dass Sie ein sicheres Passwort verwenden (was bedeutet: sehr zufällig) und versuchen, "allgemeine SSID" wie (sagen wir) "homewifi" zu vermeiden (einige Leute haben große Tabellen mit vorberechneten Passwort-Hashes für einige gemeinsame SSID-Werte zusammengestellt; Sie können Besiege Angreifer in dieser Situation immer noch, indem du ein noch zufälligeres Passwort verwendest, aber die Verwendung einer ungewöhnlichen SSID verbessert deine Chancen. Beachten Sie, dass normale Benutzer das WLAN-Passwort nur einmal eingeben. Danach wird das Passwort in den Eingeweiden ihres Computers oder Mobilgeräts gespeichert. Daher gibt es kein wirkliches Problem damit, ein langes, fettes, zufälliges, nicht speicherbares Passwort für Ihr WiFi-Netzwerk zu haben.

Versteckte SSID verbessern die Sicherheit nicht (obwohl einige Leute davon überzeugt sind). Bei einer nicht ausgeblendeten SSID müssen Benutzer diese niemals einmal eingeben, sodass eine zufällig ausgewählte SSID ohne negative Auswirkungen verwendet werden kann. Eine zufällig ausgewählte SSID ist wahrscheinlich "ungewöhnlich" im oben genannten Sinne.

(In all dem oben genannten meine ich mit "zufällig" "mit Münzen/Würfeln/Computer erzeugen, nicht mit Ihrem menschlichen, fleischigen Gehirn, wobei letzteres völlig unfähig ist, Zufälligkeit von nicht pathetisch zu erzeugen Qualität.)


Mir ist kein laufender Plan für die Erstellung eines neueren, verbesserten WPA3 bekannt. WPA2 ist innerhalb der Grenzen des WiFi-Designs bereits ziemlich stark - insbesondere geht es bei WPA2 darum, das Netzwerk vor Außenstehenden zu schützen, aber nicht bedeutet, dass regelmäßig verbundene Benutzer sich nicht gegenseitig ausspionieren können. Wenn Sie weiter gehen möchten, müssten Sie eine weitere Ebene hinzufügen, z. Erzwingen der IPSec-Nutzung zwischen Benutzercomputern und dem Gateway.

10
Thomas Pornin