Question Est-il vraiment possible pour la plupart des amateurs de craquer les réseaux Wi-Fi des gens?


Les utilisateurs les plus enthousiastes (même s'ils ne sont pas des professionnels) peuvent-ils utiliser des techniques bien connues pour briser la sécurité du routeur domestique moyen?

Certaines options de sécurité de base sont les suivantes:

  • fort mot de passe réseau avec diverses méthodes de cryptage
  • mot de passe d'accès au routeur personnalisé
  • WPS
  • pas de diffusion SSID
  • Filtrage par adresse MAC

Certains de ces éléments sont-ils compromis et que faire pour améliorer la sécurité du réseau domestique?


156
2018-03-24 22:56


origine


Avec les bons outils et suffisamment de temps, tout est possible. - joeqwerty
Le filtrage MAC est absolument inutile - Ramhound
@Mondrianaire Pour accéder à Internet, mon réseau collégial a dû s'inscrire, et plus tard, il vous identifierait par adresse MAC. C'était banal de falsifier l'adresse de l'un de mes voisins de dortoir. Si j'avais fait quelque chose de mal en utilisant cette connexion, cela aurait été identifié comme le faisant. Je dirais que le filtrage d'adresses MAC est l'une de ces choses trop faciles à créer pour créer un faux sentiment de sécurité. - Izkata
Eh bien, je dis que le filtrage MAC n'est pas un élément de sécurité - Ramhound
@Mondrianaire - Il introduit un trou. Si quelqu'un masque son adresse MAC en tant qu'adresse appartenant à un utilisateur, il est un indice de moins que quelqu'un qui n'est pas censé être présent a été sur votre réseau. Si vous ne filtrez pas les adresses MAC, ils ne prendront probablement pas la peine de le faire. - Compro01


Réponses:


Sans argumenter la sémantique, oui l'affirmation est vraie.

Il existe plusieurs normes pour le cryptage WIFI, y compris WEP, WPA et WPA2. WEP est compromis, donc si vous l'utilisez, même avec un mot de passe fort, il peut être trivialement brisé. Je crois que le WPA est beaucoup plus difficile à casser (mais vous pouvez avoir des problèmes de sécurité liés au WPS qui contournent cela), et à partir d'octobre 2017, WPA2 offre également une sécurité discutable. En outre, même les mots de passe raisonnablement durs peuvent être forcés par la force - Moxie Marlinspike - un pirate bien connu offre un service faire cela pour 17 dollars en utilisant le cloud computing - bien que ce ne soit pas garanti.

Un mot de passe de routeur puissant ne fera rien pour empêcher une personne du côté WIFI de transmettre des données via le routeur, ce qui est sans importance.

Un réseau caché est un mythe - alors qu'il existe des boîtes pour faire en sorte qu'un réseau n'apparaisse pas dans une liste de sites, les clients commandent le routeur WIFI, donc sa détection est triviale.

Le filtrage MAC est une blague car de nombreux périphériques (la plupart / tous?) Peuvent être programmés / reprogrammés pour cloner une adresse MAC existante et contourner le filtrage MAC.

La sécurité réseau est un grand sujet, et non quelque chose prête à une question Superuser, mais les bases sont que la sécurité est construit en couches de sorte que même si certains compromis ne sont pas tous - aussi, tout système peut être pénétrée donné assez de temps, les ressources et la connaissance, donc la sécurité n'est pas vraiment une question de "peut-elle être piratée", mais "combien de temps faut-il" pour pirater. WPA et un mot de passe sécurisé protègent contre "Joe Average".

Si vous souhaitez améliorer la protection de votre réseau WIFI, vous pouvez l’afficher uniquement en tant que couche de transport, et crypter et filtrer tout ce qui traverse cette couche. C'est surpuissant pour la grande majorité des gens, mais d'une manière que vous pourriez faire serait de mettre le routeur pour autoriser l'accès à un serveur VPN donné sous votre contrôle, et exiger de chaque client pour authentifier à travers la connexion WIFI à travers le VPN - ainsi, même si le WIFI est compromis, il existe d'autres couches [plus difficiles] à vaincre. Un sous-ensemble de ce comportement n'est pas rare dans les grands environnements d'entreprise.

Une solution plus simple pour mieux sécuriser un réseau domestique consiste à abandonner le WIFI et à n’avoir besoin que de solutions câblées. Si vous avez des choses comme des téléphones portables ou des tablettes, cela peut ne pas être pratique. Dans ce cas, vous pouvez atténuer les risques (certainement pas les éliminer) en réduisant la puissance du signal de votre routeur. Vous pouvez également protéger votre maison afin que les fuites de fréquence moins - je ne l'ai pas fait, mais la rumeur forte (recherches) a ce que même maille d'aluminium (comme moustiquaire) à travers l'extérieur de votre maison, avec une bonne mise à la terre peut faire une énorme différence à la quantité de signal qui va s'échapper. [Mais, bien sûr, bye-bye couverture de téléphone portable]

Sur le front de la protection, une autre alternative peut être d'obtenir votre routeur (s'il est capable de le faire, la plupart ne le sont pas, mais j'imagine des routeurs exécutant openwrt et éventuellement tomo / dd-wrt) pour enregistrer tous les paquets traversant votre réseau et en gardant un œil dessus - En fait, même la simple surveillance des anomalies avec le nombre total d'octets entrants et sortants des différentes interfaces peut vous apporter un bon degré de protection.

En fin de compte, la question à se poser est peut-être celle-ci: "Que dois-je faire pour ne pas laisser le temps aux pirates occasionnels de pénétrer mon réseau" ou "Quel est le coût réel de la compromission de mon réseau"? De là. Il n'y a pas de réponse rapide et facile.

Mise à jour - Oct 2017

La plupart des clients utilisant WPA2 - à moins qu’ils ne soient corrigés - peuvent voir leur trafic en clair en utilisant "Attaques de réinstallation de clés - KRACK"  - ce qui est une faiblesse dans la norme WPA2. Notamment, cela ne donne pas accès au réseau, ou au PSK, uniquement au trafic de l'appareil ciblé.


146
2018-03-24 23:23



Oui, n'importe qui peut changer son adresse MAC en une liste blanche, mais cela ne cause-t-il pas des problèmes immédiatement perceptibles pour le propriétaire d'origine de l'adresse MAC, et b) n'est-ce pas une sécurité assez obscure par l'obscurité? Quand un ordinateur diffuse-t-il son MAC en clair sur un réseau domestique? - bright-star
Le temps le plus courant d'un ordinateur expose c'est l'adresse MAC quand il utilise une connexion réseau - pas vraiment rare. Quant à obscur - il n'est pas obscur par rapport au contexte de la question qui est ce qu'un passionné pourrait faire qui inclut probablement la recherche sur le Web de manière efficace. - Ram
@landroni - Non, pas facilement, cependant si le mot de passe est composé de mots communs, il est toujours bien dans le domaine du craquage. Il n'est pas nécessaire que la machine tente de se connecter, car elle peut collecter les informations dont elle a besoin et les envoyer sur le cloud pour craquer avec beaucoup plus de puissance, de ressources et même de tables arc-en-ciel. Un mot de passe aléatoire de 20 caractères sera assez résistant. Jettes un coup d'oeil à cloudcracker.com - davidgo
@clabacchio parce que maintenant vous avez grandement dérangé vos utilisateurs? - Cruncher
@clabacchio fermant complètement le réseau le rendrait également plus "sécurisé". Les utilisateurs seraient-ils satisfaits de cela? - o0'.


Comme d'autres l'ont dit, cacher SSID est trivial à briser. En fait, votre réseau apparaîtra par défaut dans la liste du réseau Windows 8 même s’il ne diffuse pas son SSID. Le réseau diffuse encore sa présence par balise cadres de toute façon; il n'inclut tout simplement pas le SSID dans le cadre de la balise si cette option est cochée. Le SSID est trivial pour obtenir du trafic réseau existant.

Le filtrage MAC n'est pas très utile non plus. Il pourrait ralentir brièvement le script kiddie qui a téléchargé un crack WEP, mais il ne va certainement pas arrêter quiconque sait ce qu'il fait, car il peut simplement usurper une adresse MAC légitime.

En ce qui concerne WEP, il est complètement cassé. La force de votre mot de passe importe peu ici. Si vous utilisez WEP, n'importe qui peut télécharger des logiciels qui vont pénétrer votre réseau assez rapidement, même si vous avez un mot de passe fort.

WPA est nettement plus sécurisé que WEP, mais est toujours considéré comme cassé. Si votre matériel prend en charge WPA mais pas WPA2, c'est mieux que rien, mais un utilisateur déterminé peut probablement le casser avec les bons outils.

WPS (configuration protégée sans fil) est le fléau de la sécurité réseau. Désactivez-le, quelle que soit la technologie de cryptage réseau utilisée.

WPA2 - en particulier la version qui utilise AES - est très sécurisée. Si vous avez un mot de passe correct, votre ami ne va pas entrer dans votre réseau sécurisé WPA2 sans obtenir le mot de passe. Maintenant, si la NSA essaie d'entrer dans votre réseau, c'est autre chose. Ensuite, vous devez simplement éteindre entièrement votre sans fil. Et probablement votre connexion Internet et tous vos ordinateurs. Avec suffisamment de temps et de ressources, le WPA2 (et toute autre chose) peut être piraté, mais il faudra probablement beaucoup plus de temps et plus de capacités que ce que votre amateur moyen aura à sa disposition.

Comme David l’a dit, la vraie question n’est pas «Est-ce que ça peut être piraté? mais plutôt "Combien de temps faudra-t-il à quelqu'un avec un ensemble de capacités particulier pour le pirater?" De toute évidence, la réponse à cette question varie grandement en fonction de cet ensemble de capacités. Il a aussi absolument raison de dire que la sécurité doit être faite en couches. Les choses qui vous intéressent ne devraient pas passer par votre réseau sans être cryptées en premier. Donc, si quelqu'un s'introduit par effraction dans votre réseau sans fil, il ne devrait pas être en mesure d'entrer dans quelque chose de significatif en dehors peut-être de votre connexion Internet. Toute communication qui doit être sécurisée doit toujours utiliser un algorithme de chiffrement fort (comme AES), éventuellement configuré via TLS ou un tel schéma PKI. Assurez-vous que votre courrier électronique et tout autre trafic Web sensible sont chiffrés et que vous n'exécutez aucun service (tel que le partage de fichiers ou d'imprimantes) sur vos ordinateurs sans disposer du système d'authentification approprié.


Mise à jour 17 octobre 2017 - Cette réponse reflète la situation antérieure à la récente découverte d'une nouvelle vulnérabilité majeure affectant à la fois WPA et WPA2. le Key Reinstallation AttaCK (KRACK) profite d'une vulnérabilité du protocole de prise de contact pour le Wi-Fi. Sans entrer dans les détails de la cryptographie désordonnée (que vous pouvez consulter sur le site Web lié), tous les réseaux Wi-Fi doivent être considérés comme endommagés jusqu'à ce qu'ils soient corrigés, quel que soit l'algorithme de chiffrement particulier qu'ils utilisent.

Questions liées à InfoSec.SE concernant KRACK:
Conséquences de l'attaque WPA2 KRACK
Comment puis-je me protéger contre KRACK quand je ne peux pas me permettre un VPN? 


52
2018-03-25 02:22



Bonne réponse, surtout le bit sur WPA2-AES. J'ajouterais que le SSID est utilisé pour salir une clé WPA, donc si vous ne voulez pas que votre clé WPA soit mise en arc-en-ciel, mieux vaut la changer pour autre chose que "NETGEAR". - zigg
À quel point est-il difficile d'usurper une adresse MAC, puisque vous devriez en obtenir une qui se trouve sur la liste blanche. Je sais tout ce qui est transmis pouvez être ramassé manuellement, mais n'est-ce pas beaucoup de travail? - Seth
Non, c'est incroyablement facile. Il est envoyé en texte brut au début de chaque image, il suffit donc de capturer un seul paquet légitime sur le réseau afin de trouver un MAC sur la liste blanche. Comme je l'ai dit dans ma réponse, c'est trivial pour quiconque sait ce qu'ils font. - reirab


Comme les autres réponses sur ce sujet sont bonnes, je pense que pour ceux qui demandent une réponse concrète (enfin ... c'est SuperUser, ce n'est pas le cas?), La question pourrait facilement être traduite par: "Que dois-je savoir pour sécuriser mon réseau WiFi?".
Sans nier (ni confirmer) aucune des autres réponses, voici ma réponse courte:

Les mots du cryptologue Bruce Schenier pourraient être des conseils utiles pour de nombreux utilisateurs à retenir:

La seule vraie solution consiste à débrancher le cordon d'alimentation.

Cela peut souvent être appliqué à réseaux sans fil: en avons-nous constamment besoin?
De nombreux routeurs ont un Bouton WiFi pour activer / désactiver le sans fil, comme le D-Link DSL-2640B .
Sinon, vous pouvez toujours automatiser l'activation / désactivation du Web de sans fil en utilisant des outils comme iMacros  (disponible en tant qu'extension pour Firefox ou en tant que programme autonome) sous Windows et bien d'autres encore sous Linux.

Et voici deux astuces pour WPA (S'il vous plaît, oublier WEP) mot de passe (a bon mot de passe WPA va rendre les attaques très difficiles) création (ne conserve pas le mot de passe par défaut):

  1. Utilisation mots inexistants et / ou étrangers: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (car aucun dictionnaire simple ne peut être utilisé pour les trouver).
  2. Créez votre propre phrase facile à retenir (pour vous au moins) et définissez votre mot de passe en prenant le premier caractère de chaque mot. Les résultats seront un difficile à craquer (8 caractères minimum) pour le moment facile à retenir mot de passe qui comprend majuscules et minuscules, Nombres et d'autres non alphabétique personnages:
    "Vous avez deux fils et 3 chats et vous les aimez." -> "Yh2sa3c, aylt."

Et pour l'amour de Dieu: désactiver le WPS maintenant! C'est totalement imparfait.


14
2018-03-25 02:51



S'il vous plaît, oubliez WPA et WPA2-TKIP. Utilisez vos astuces sur WPA2-AES. - Darth Android
Quel serait l'intérêt d'un mot de passe wifi facilement mémorisable? Après tout, vous connectez très rarement des appareils. Utilisez simplement un bon mot de passe aléatoire long - comme Lm, -TMzQ7cf \ 6. "OwhAnpqC *. - Hans-Peter Störr
Si vous avez un ensemble statique de périphériques qui change rarement, OK. Une personne a des amis avec des gadgets dont ils ont besoin pour activer, et les mots de passe aléatoires sont problématiques ici. (Il peut exister d’autres solutions, comme un réseau invité, mais cela permettra toujours d’accéder à des invités non invités qui souhaitent utiliser vos ressources) - davidgo
@hstoerr, dans mon expérience en tant qu'utilisateur final et consultant en entreprise, j'ai (presque) toujours trouvé qu'un mot de passe complexe était agaçant et finalement rejeté. Vous avez besoin d'une solution de compromis. - Sopalajo de Arrierez
Vous avez raison, @IQAndreas: c'est plus mémorable et plus difficile à casser. Mais pas plus facile à taper. Et, dans mes tests avec HashCat, juste pour le mode le plus court Yh2sa3c,aylt., il durera une estimation de plus de 10 ans pour bruteforce (même en utilisant l'un des ordinateurs personnels les plus rapides que vous pouvez vous permettre aujourd'hui). - Sopalajo de Arrierez


Aucune des choses que vous mentionnez (à part le mot de passe réseau) n’affecte réellement le piratage d’un réseau Wi-Fi. De même qu'un filtre d'adresse MAC et un SSID caché ne contribuent pas vraiment à la sécurité.

Ce qui compte vraiment, c'est le type de cryptage utilisé sur le réseau. Les anciens chiffrements de réseau tels que WEP étaient insignifiants car, avec un trafic suffisant, vous pouviez les décoder et les forcer à générer le trafic nécessaire.

Les plus récents comme WPA2 sont cependant beaucoup plus sécurisés. Maintenant, rien n'est «sécurisé» contre tous les adversaires, mais cela suffit généralement pour le Wi-Fi domestique.

C'est un sujet important, et cela ne touche que le sommet de l'iceberg, mais j'espère que cela aide.


7
2018-03-24 23:05





WEP et WPA1 / 2 (avec WPS activé) peuvent être piratés. le premier en utilisant les IV capturés et le second avec un bruteforce WPS PIN (seulement 11 000 combos possibles, à partir d'un code PIN en 3 parties; 4 chiffres [10 000 possibles] + 3 chiffres [1 000 possibles] + 1 chiffre de contrôle [calculé à partir du reste]) .

WPA1 / 2 est plus difficile avec un mot de passe fort, mais l'utilisation de la fissuration GPU et d'une technique de bruteforce peut détruire certains des plus faibles.

J'ai personnellement craqué WEP et WPS sur mon réseau de travail (avec ma permission, je montrais les vulnérabilités de mes employeurs), mais je n'ai pas encore réussi à déchiffrer le WPA.


6
2018-03-26 01:03





C’est une excellente question et les directives pour avoir une connexion sans fil très sécurisée. devrait être bien connu. Configurez votre routeur / passerelle / AP pour que:

  • la sécurité sans fil est WPA2 uniquement
  • le cryptage est uniquement AES
  • utiliser une clé pré-partagée contenant plusieurs mots (par exemple, IloveSuperUser)
  • désactiver le WPS
  • désactiver l'administration à distance

C'est tout! À toutes fins pratiques, vous disposez maintenant d'une connexion sans fil entièrement sécurisée.


5
2018-03-26 21:26



@Jason Une question immédiatement; qu'avez-vous contre les espaces? - deworde
@ryyker je l'ai dit à des fins pratiques. - Jason
@deworde non, mais certains routeurs et gestionnaires de connexions bon marché le font. - Jason


Dans le Cisco Learning Network forum, un démarreur de fil demandé:

Le WPA / TKIP peut-il être fissuré? Soit quelqu'un dans mon guesthouse a utilisé 80 Go de données, soit quelqu'un a fermé le mot de passe et l'a utilisé. Je soupçonne quelqu'un dans la guest house car je trouve difficile de croire que WPA / TKIP peut être craqué et même si cela peut être craqué, ce ne sera pas facile à faire. Quelle est la difficulté de craquer le WPA / TKIP? Je veux changer le mot de passe pour eux de toute façon, puis-je utiliser - et _ et? personnages?

Un homme évidemment très intelligent nommé "Zach" a fait cette annonce que le thread-starter, ici (et d'autres, ici aussi, s'ils sont intéressés), devrait lire.

En particulier, lisez environ les deux tiers de sa publication, où il commence par les mots "Les solutions:".

J'utilise ma "passerelle"WPA-PSK (TKIP) / WPA2-PSK (AES)"réglage. En accord avec cela de l'affichage de Zach ...

Changez le nom de votre routeur en quelque chose d'unique. Votre ESSID est utilisé par votre demandeur WLAN en tant que sel cryptographique sur la PMK. Changer cela éliminera les attaques de pré-calcul.

... j'ai longtemps utilisé mon propre ESSID unique. En outre, en accord avec son ...

Créez un mot de passe unique intégrant des caractères uniques, des chiffres et des majuscules. plusieurs mots et minuscules. Ceci est plus important que la longueur. L'augmentation de la longueur du mot de passe ne fera qu'augmenter la force des mots de passe, mais il n'est pas nécessaire qu'il soit obscur   longue. La force réside dans variance de potentiel. Cela permettra d'éliminer les attaques par dictionnaire et de rendre la force brute impossible sans un super-ordinateur.

... le mien comprend 25 caractères composés de lettres, de chiffres, de majuscules et de minuscules et de caractères spéciaux. Aucune partie ne dit rien.

Je fais plusieurs autres choses que Zach fait et ne énumère pas là; mais en plus de ce qui précède, et dit d'autres choses, et au moins l'esprit de ce qu'il a écrit ici ...

Activez la journalisation détaillée et, si possible, transmettez-la à votre courrier électronique.

... Il y a longtemps, j'ai écrit un code de script qui se lance automatiquement au démarrage de Windows et qui s'exécute dans la barre d'état système. quel code périodiquement, tout au long de la journée, rafraîchit puis analyse la page Web de ma passerelle qui répertorie tous les appareils connectés; et il me dit alors à la fois comme un pop-up-avec-triple-bip-par-le-haut-parleur-carte mère (pas les haut-parleurs audio réguliers, juste au cas où ils sont en sourdine ou quelque chose) sur mon ordinateur de bureau-ordinateur portable de remplacement écran, et aussi par SMS sur mon téléphone (qui est soit dans une pochette à ma ceinture, soit à moins de cinq pieds de moi, 24/7/365), si quelque chose de nouveau est apparu.

Pour ceux qui ne possèdent pas cette compétence, il existe plusieurs applications de type «qui sont sur mon WI-FI», certaines gratuites. Un bon et simple est [ce badboy] [3]. Démarrez-le simplement avec Windows, laissez-le reposer dans la barre d'état système et dites-lui de "bip sur le nouveau périphérique" et vous aurez quelque chose de similaire à ce que fait mon script (sauf qu'il ne vous enverra pas de SMS). Cependant, en utilisant [un outil de script simple] [5], vous pouvez envoyer un SMS ou un courrier électronique à votre téléphone lorsqu'un nouvel appareil sur le réseau local émet un bip.

J'espère que cela pourra aider.


3
2018-03-29 20:53



Le dernier paragraphe de votre réponse semble manquer deux liens. - Twisty Impersonator


Les actifs nécessitant une protection et la valeur de ces actifs pour le propriétaire et un attaquant potentiel constituent une autre considération pour toute analyse de la sécurité. J'imagine que vos identifiants bancaires, votre numéro de carte de crédit et vos autres identifiants de connexion sont probablement les informations les plus précieuses sur un réseau domestique et que la plupart de ces informations doivent être chiffrées via une connexion https. Donc, il semble que si vous utilisez une clé WPA2 sur votre routeur wifi, et assurez-vous que votre navigateur utilise https lorsque cela est possible (en utilisant un outil comme https partout dans eff), vous êtes plutôt en sécurité. (Un attaquant potentiel devrait se donner la peine de craquer votre clé WPA2 pour peut être obtenir un mot de passe qui ne dépasse pas https ou les pages http que vous naviguez.)


2
2018-03-28 17:22





Douteux.

Je ne suis pas d'accord avec la réponse de davidgo. Bien qu'il soit bien documenté et que je suis d'accord avec la plupart de ses informations, je pense que c'est un peu pessimiste.

Il existe déjà des vulnérabilités dans WPA2 dans les autres réponses. Cependant, rien de tout cela n'est inévitable.

En particulier, il convient de noter que l’attaque par force brute mentionnée par davidgo est une attaque contre une faiblesse de MS-CHAPv2. Voir la référence de l'auteur cité [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Si Ms-CHAP n'est pas utilisé, cette faiblesse ne peut pas être exploitée. (supprimé en fonction du commentaire de l'auteur - référence erronée)

Avec le bon mot de passe, SSID et en évitant la technologie compromise, je ne vois aucune raison pour laquelle un réseau sécurisé WPA2 utilisant AES256 ne serait pas sécurisé pour le moment. Les attaques par force brute sur de tels réseaux ne sont pas réalisables, et même Moxy Marlinspike le suggère.

Cependant, où je suis d'accord avec la réponse de David, la plupart des utilisateurs ne font pas ces efforts. Je sais que mon propre réseau domestique peut être exploité, et même si je sais comment le réparer, cela ne vaut pas mon temps et mes efforts.


2
2018-03-29 21:54



MS-CHAP est quelque chose de différent (utilisé sur les connexions PPTP, c'est-à-dire les connexions VPN et non les connexions sans fil, à moins que vous n'utilisiez PPTP via Wifi, ce qui est largement inutile). Ce dont je parlais avec Cloudcracker, c'est autre chose. Vous préparez et envoyez un échantillon du trafic réseau et le service tente de le forcer brutalement. Entre autres choses, il tente de déchiffrer les mots de passe WPA et WPA2. Le lien est cloudcracker.com (rien après ça). Je suis d'accord que, avec un mot de passe fort, WPA2 n'est probablement pas pratique pour bruteforce. - davidgo