it-swarm.com.de

Ist es für die meisten Enthusiasten wirklich möglich, die Wi-Fi-Netzwerke der Leute zu knacken?

Können die meisten begeisterten Benutzer (auch wenn sie keine Profis sind) bekannte Techniken anwenden, um die Sicherheit des durchschnittlichen Heimrouters zu durchbrechen?

Einige grundlegende Sicherheitsoptionen sind:

  • starkes Netzwerkkennwort mit verschiedenen Verschlüsselungsmethoden
  • benutzerdefiniertes Router-Zugangspasswort
  • WPS
  • keine SSID-Übertragung
  • MAC-Adressfilterung

Sind einige davon gefährdet und was ist zu tun, um das Heimnetzwerk sicherer zu machen?

157
kvhadzhiev

Ohne die Semantik zu diskutieren, ist die Aussage wahr.

Es gibt mehrere Standards für die WIFI-Verschlüsselung, einschließlich WEP, WPA und WPA2. WEP ist kompromittiert. Wenn Sie es verwenden, kann es trotz eines starken Passworts geringfügig beschädigt werden. Ich glaube, dass WPA viel schwieriger zu knacken ist (aber Sie haben möglicherweise Sicherheitsprobleme in Bezug auf WPS, die dies umgehen), und ab Oktober 2017 bietet WPA2 auch fragwürdige Sicherheit. Auch einigermaßen harte Passwörter können brachial erzwungen werden - Moxie Marlinspike - ein bekannter Hacker bietet einen Dienst an, der dies für 17 US-Dollar mithilfe von Cloud Computing ermöglicht - obwohl dies nicht garantiert ist.

Ein starkes Router-Passwort hindert niemanden auf der WIFI-Seite daran, Daten über den Router zu übertragen, sodass dies irrelevant ist.

Ein verstecktes Netzwerk ist ein Mythos - während es Kästchen gibt, die dafür sorgen, dass ein Netzwerk nicht in einer Liste von Standorten angezeigt wird, signalisieren die Clients dem WIFI-Router, dass seine Präsenz trivial erkannt wird.

Die MAC-Filterung ist ein Witz, da viele (die meisten/alle?) WLAN-Geräte so programmiert/umprogrammiert werden können, dass sie eine vorhandene MAC-Adresse klonen und die MAC-Filterung umgehen.

Die Netzwerksicherheit ist ein großes Thema, das einer Superuser-Frage nicht zugänglich ist, aber die Grundlage ist, dass die Sicherheit in Schichten aufgebaut ist, sodass auch bei einer Gefährdung einiger Systeme nicht alle gefährdet sind. Außerdem kann jedes System mit genügend Zeit und Ressourcen durchdrungen werden und Wissen, so ist Sicherheit eigentlich nicht so sehr eine Frage von "kann es gehackt werden", sondern "wie lange wird es dauern", um zu hacken. WPA und ein sicheres Passwort schützen vor "Joe Average".

Wenn Sie den Schutz Ihres WIFI-Netzwerks verbessern möchten, können Sie es nur als Transportschicht anzeigen und alles verschlüsseln und filtern, was sich über diese Schicht erstreckt. Dies ist für die allermeisten Menschen ein Overkill. Sie können dies jedoch auch tun, indem Sie den Router so einstellen, dass er nur den Zugriff auf einen bestimmten VPN-Server unter Ihrer Kontrolle zulässt und jeder Client sich über die WIFI-Verbindung über das VPN authentifizieren muss. Selbst wenn das WIFI kompromittiert ist, gibt es andere [schwierigere] Schichten, die es zu besiegen gilt. Eine Teilmenge dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.

Eine einfachere Alternative zur besseren Sicherung eines Heimnetzwerks besteht darin, auf WLAN zu verzichten und nur verkabelte Lösungen zu benötigen. Wenn Sie Dinge wie Handys oder Tablets haben, ist dies jedoch möglicherweise nicht praktisch. In diesem Fall können Sie die Risiken durch Verringern der Signalstärke Ihres Routers mindern (auf keinen Fall beseitigen). Sie können Ihr Haus auch so abschirmen, dass die Frequenz weniger ausläuft - ich habe es nicht getan, aber es geht das starke Gerücht (recherchiert), dass selbst Aluminiumgitter (wie Fliegengitter) über die Außenseite Ihres Hauses mit guter Erdung eine große Wirkung haben können Differenz zu der Menge des Signals, das entweichen wird. [Aber natürlich auf Wiedersehen Handy-Berichterstattung]

Im Hinblick auf den Schutz besteht eine andere Möglichkeit darin, Ihren Router (wenn er dazu in der Lage ist, sind es die meisten nicht, aber ich stelle mir vor, Router, auf denen openwrt und möglicherweise tomato/dd-wrt ausgeführt wird) dazu zu bringen, alle Pakete zu protokollieren, die Ihr Netzwerk durchqueren und behalten Sie es im Auge - Hölle, selbst wenn Sie nur nach Anomalien mit Gesamtbytes in und aus verschiedenen Schnittstellen suchen, können Sie ein gutes Maß an Schutz erhalten.

Am Ende des Tages könnte die Frage lauten: "Was muss ich tun, damit es sich nicht lohnt, gelegentlich mit Hackern in mein Netzwerk einzudringen?" Oder "Was sind die tatsächlichen Kosten für die Beeinträchtigung meines Netzwerks?" von dort. Es gibt keine schnelle und einfache Antwort.

Update - Oktober 2017

Die meisten Clients, die WPA2 verwenden, können - sofern keine Patches vorhanden sind - ihren Datenverkehr mithilfe von "KRACK" (eine Schwäche des WPA2-Standards) im Klartext anzeigen. Dies gibt insbesondere keinen Zugriff auf das Netzwerk oder die PSK, nur auf den Datenverkehr des Zielgeräts.

147
davidgo

Wie andere gesagt haben, ist das Verstecken von SSID trivial zu brechen. Tatsächlich wird Ihr Netzwerk standardmäßig in der Windows 8-Netzwerkliste angezeigt, auch wenn die SSID nicht gesendet wird. Das Netzwerk sendet seine Präsenz weiterhin in beiden Richtungen über Beacon-Frames. Wenn diese Option aktiviert ist, wird die SSID nicht in den Beacon-Frame aufgenommen. Es ist trivial, die SSID aus dem vorhandenen Netzwerkverkehr abzurufen.

MAC-Filterung ist auch nicht besonders hilfreich. Es könnte das Skript-Kiddie, das einen WEP-Crack heruntergeladen hat, kurzzeitig verlangsamen, aber es wird definitiv niemanden aufhalten, der weiß, was er tut, da er nur eine legitime MAC-Adresse fälschen kann.

Was WEP betrifft, ist es völlig kaputt. Die Stärke Ihres Passworts spielt hier keine Rolle. Wenn Sie WEP verwenden, kann jeder Software herunterladen, die schnell in Ihr Netzwerk eindringt, selbst wenn Sie einen starken Passkey haben.

WPA ist deutlich sicherer als WEP, gilt jedoch weiterhin als fehlerhaft. Wenn Ihre Hardware WPA aber nicht WPA2 unterstützt, ist dies besser als nichts, aber ein entschlossener Benutzer kann es wahrscheinlich mit den richtigen Tools knacken.

WPS (Wireless Protected Setup) ist der Fluch der Netzwerksicherheit. Deaktivieren Sie es, unabhängig davon, welche Netzwerkverschlüsselungstechnologie Sie verwenden.

WPA2 - insbesondere die Version, die AES verwendet - ist ziemlich sicher. Wenn Sie ein anständiges Passwort haben, wird Ihr Freund nicht in Ihr WPA2-geschütztes Netzwerk gelangen, ohne das Passwort zu erhalten. Wenn NSA versucht, in Ihr Netzwerk zu gelangen, ist das eine andere Sache. Dann sollten Sie Ihr WLAN einfach ganz ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und all Ihre Computer. Wenn genügend Zeit und Ressourcen zur Verfügung stehen, kann WPA2 (und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und mehr Fähigkeiten erfordern, als ein durchschnittlicher Hobbyist zur Verfügung haben wird.

Wie David sagte, lautet die eigentliche Frage nicht "Kann das gehackt werden?" sondern: "Wie lange wird jemand mit bestimmten Fähigkeiten brauchen, um es zu hacken?" Offensichtlich ist die Antwort auf diese Frage sehr unterschiedlich in Bezug auf die jeweiligen Fähigkeiten. Er hat auch absolut Recht, dass Sicherheit in Schichten erfolgen sollte. Was Ihnen wichtig ist, sollte nicht ohne vorherige Verschlüsselung über Ihr Netzwerk übertragen werden. Wenn also jemand in Ihr drahtloses Netzwerk eindringt, sollte er nicht in der Lage sein, etwas Sinnvolles zu tun, abgesehen davon, dass er möglicherweise Ihre Internetverbindung nutzt. Jede Kommunikation, die sicher sein muss, sollte weiterhin einen starken Verschlüsselungsalgorithmus (wie AES) verwenden, der möglicherweise über TLS oder ein solches PKI-Schema eingerichtet wurde. Stellen Sie sicher, dass Ihre E-Mails und jeglicher andere vertrauliche Webverkehr verschlüsselt sind und dass auf Ihren Computern keine Dienste (wie Datei- oder Druckerfreigabe) ausgeführt werden, ohne dass das richtige Authentifizierungssystem vorhanden ist.


Update 17. Oktober 2017 - Diese Antwort spiegelt die Situation vor der jüngsten Entdeckung einer neuen Sicherheitsanfälligkeit wider, die sowohl WPA als auch WPA2 betrifft. Der Key Reinstallation AttaCK (KRACK) nutzt eine Schwachstelle im Handshake-Protokoll für Wi-Fi aus. Ohne auf die unübersichtlichen Kryptografiedetails (die Sie auf der verlinkten Website nachlesen können) einzugehen, sollten alle Wi-Fi-Netzwerke als defekt betrachtet werden, bis sie gepatcht sind, unabhängig davon, welchen Verschlüsselungsalgorithmus sie verwenden.

Verwandte InfoSec.SE-Fragen zu KRACK:
Folgen des WPA2-KRACK-Angriffs
Wie kann ich mich vor KRACK schützen, wenn ich mir kein VPN leisten kann?

52
reirab

Nichts, was Sie erwähnen (außer dem Netzwerkkennwort), wirkt sich wirklich auf das Hacken eines Wi-Fi-Netzwerks aus. Insofern hilft ein MAC-Adressfilter und eine versteckte SSID nicht wirklich bei der Sicherheit.

Was wirklich zählt, ist der im Netzwerk verwendete Verschlüsselungstyp. Ältere Netzwerkverschlüsselungen wie WEP waren trivial zu knacken, da Sie sie mit genügend Datenverkehr dekodieren und sie zwingen konnten, den von Ihnen benötigten Datenverkehr zu generieren.

Neuere wie WPA2 sind jedoch viel sicherer. Jetzt ist nichts mehr gegen alle Gegner 'sicher', aber dies ist normalerweise genug für Heim-WLAN.

Es ist ein großes Thema, das nur die Spitze des Eisbergs berührt, aber hoffentlich hilft es.

7
Sirex

WEP und WPA1/2 (mit aktiviertem WPS) können trivial gehackt werden. Ersteres durch Verwendung von erfassten IVs und Letzteres mit einer WPS PIN-Bruteforce (nur 11.000 mögliche Kombinationen, aus einem dreiteiligen Pin; 4 Ziffern [10.000 möglich] + 3 Ziffern [1.000 möglich] + 1 Ziffer Prüfsumme [ aus dem Rest berechnet]).

WPA1/2 ist härter mit einem starken Passwort, aber die Verwendung von GPU-Cracking und einer Bruteforce-Technik kann einige der schwächeren schlagen.

Ich habe persönlich WEP und WPS in meinem Arbeitsnetzwerk geknackt (mit Erlaubnis habe ich die Sicherheitslücken gegenüber meinen Arbeitgebern aufgezeigt), aber ich habe WPA noch nicht erfolgreich geknackt.

6
hanetzer

Dies ist eine großartige Frage, und die Richtlinien für eine sehr sichere drahtlose Verbindung sollten bekannt sein. Konfigurieren Sie Ihren Router/Gateway/AP so, dass:

  • wLAN-Sicherheit ist nur WPA2
  • verschlüsselung ist nur AES
  • verwenden Sie einen vorinstallierten Schlüssel, der mehrere Wörter enthält (z. B. IloveSuperUser).
  • wPS deaktivieren
  • deaktivieren Sie die Remoteverwaltung

Das ist es! Für alle praktischen Zwecke steht Ihnen jetzt ein vollständig sicheres drahtloses Netzwerk zur Verfügung.

5
Jason

Im Cisco Learning Network Forum fragte ein Thread-Starter:

Kann WPA/TKIP geknackt werden? Entweder hat jemand in meinem Gästehaus 80 GB Daten verbraucht oder jemand in der Nähe hat das Passwort geknackt und verwendet. Ich vermute, dass jemand im Gästehaus ist, weil es mir schwerfällt zu glauben, dass WPA/TKIP geknackt werden kann, und selbst wenn es geknackt werden kann, wäre das nicht einfach. Wie schwierig, wenn überhaupt, WPA/TKIP zu knacken? Ich möchte das Passwort für sie trotzdem ändern, kann ich - und _ und? Zeichen?

Ein offensichtlich sehr kluger Kerl namens "Zach" machte diesen Beitrag den der Thread-Starter hier (und auch andere hier, wenn sie interessiert sind) lesen sollte.

Lesen Sie insbesondere etwa zwei Drittel des Weges in seinem Posting nach, wo er mit den Worten "The solutions:" beginnt.

Ich verwende die Einstellung " WPA-PSK (TKIP)/WPA2-PSK (AES) " meines Gateways. In Übereinstimmung mit dieser von Zachs Posting ...

Ändern Sie den Namen Ihres Routers in einen eindeutigen Namen. Ihre ESSID wird von Ihrem WLAN-Supplicant als Kryptografiesalz über das PMK verwendet. Wenn Sie dies ändern, werden Vorberechnungsangriffe vermieden.

... Ich habe lange meine eigene eindeutige ESSID verwendet. Darüber hinaus im Einklang mit seiner ...

Erstellen Sie ein eindeutiges Kennwort, das eindeutige Zeichen, Zahlen und Großbuchstaben enthält. mehrere Wörter und Kleinbuchstaben. Das ist wichtiger als die Länge. Durch Erhöhen der Länge des Kennworts wird nur die Kennwortstärke erhöht, es muss jedoch nicht übermäßig lang sein. Die Stärke liegt in Varianz des Potentials. Dies eliminiert Wörterbuchangriffe und macht Brute-Force ohne einen Supercomputer unmöglich.

... mir gehören 25 Zeichen, die aus Buchstaben, Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehen. Kein Teil davon buchstabiert etwas.

Ich mache mehrere andere Dinge, die Zach dort tut und nicht aufzählt; aber zusätzlich zu dem oben Gesagten und anderen Dingen und zumindest im Geiste dessen, was er hier schrieb ...

Aktivieren Sie die detaillierte Protokollierung und leiten Sie diese nach Möglichkeit an Ihre E-Mail weiter.

... Ich habe vor langer Zeit ein bisschen Skriptcode geschrieben, der beim Starten von Windows automatisch gestartet wird und nur in der Taskleiste ausgeführt wird. Durch diesen Code wird die Webseite in meinem Gateway, auf der alle angeschlossenen Geräte aufgelistet sind, regelmäßig aktualisiert und anschließend analysiert. und es sagt mir dann beides als Pop-up-mit-Triple-Piep-Through-The-Motherboard-Lautsprecher (nicht die normalen Audio-Lautsprecher, nur für den Fall, dass sie stummgeschaltet sind oder so) auf meinem Desktop-Ersatz-Laptop-Computer Bildschirm und auch per SMS an mein Telefon (das sich entweder in einem Beutel an meinem Gürtel befindet oder mindestens einen halben Meter von mir entfernt ist, 24/7/365), wenn sich etwas Neues zeigt.

Für diejenigen, die nicht über diese Fähigkeiten verfügen, gibt es mehrere Apps vom Typ "Wer ist in meinem WI-FI?", Von denen einige kostenlos sind. Ein guter und einfacher ist [dieser Badboy] [3]. Starten Sie es einfach automatisch mit Windows, lassen Sie es in der Taskleiste sitzen und sagen Sie ihm, dass es "auf neuem Gerät piepen" soll, und Sie haben etwas Ähnliches wie mein Skript (außer dass es nicht funktioniert SMS Sie). Mit [einem einfachen Skript-Tool] [5] können Sie jedoch veranlassen, dass eine SMS oder E-Mail an Ihr Telefon gesendet wird, wenn die App bei einem neuen Gerät im LAN einen Signalton ausgibt.

Hoffentlich hilft das.

3
Gregg DesElms

Zweifelhaft .

Ich stimme Davidgos Antwort nicht zu. Obwohl es gut recherchiert ist und ich den meisten seiner Informationen zustimme, halte ich es für etwas pessimistisch.

Es gibt Schwachstellen in WPA2, die bereits in den anderen Antworten behandelt wurden. Keines davon ist jedoch unvermeidlich.

Insbesondere ist anzumerken, dass der von davidgo erwähnte Brute-Force-Angriff ein Angriff auf eine Schwachstelle in MS-CHAPv2 ist. Siehe die Referenz des zitierten Autors [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Wenn Ms-CHAP nicht verwendet wird, kann diese Schwachstelle nicht ausgenutzt werden. (gelöscht aufgrund eines Kommentars des Autors - falscher Verweis)

Mit der richtigen Passphrase, der SSID und der Vermeidung kompromittierter Technologie sehe ich keinen Grund, warum ein WPA2-geschütztes Netzwerk, das AES256 verwendet, derzeit nicht sicher ist. Brute-Force-Angriffe auf solche Netzwerke sind nicht möglich, und selbst Moxy Marlinspike schlägt dies vor.

Ich stimme jedoch der Antwort von davidgo zu, dass die meisten Benutzer diese Anstrengungen nicht unternehmen. Ich weiß, dass mein eigenes Heimnetzwerk ausgenutzt werden kann, und obwohl ich weiß, wie man es repariert, ist es meine Zeit und Mühe einfach nicht wert.

2
timbo

Eine weitere Überlegung bei jeder Sicherheitsanalyse betrifft die Vermögenswerte, die geschützt werden müssen, und den Wert dieser Vermögenswerte für den Eigentümer und einen potenziellen Angreifer. Ich würde vermuten, dass Ihre Bankverbindung, Kreditkartennummer und andere Anmeldeinformationen wahrscheinlich die wertvollsten Informationen sind, die über ein Heimnetzwerk übertragen werden. Die meisten dieser Informationen sollten durch TLS/SSL-Verschlüsselung über eine https-Verbindung abgedeckt sein. Wenn Sie also einen WPA2-Schlüssel auf Ihrem WLAN-Router verwenden und sicherstellen, dass Ihr Browser nach Möglichkeit https verwendet (mit einem Tool wie https von eff überall), sind Sie ziemlich sicher. (Ein potenzieller Angreifer muss sich die Mühe machen, Ihren WPA2-Schlüssel zu knacken, um vielleicht ein Passwort zu erhalten, das nicht über https oder die http-Seiten geht, die Sie durchsuchen.)

2
user119824