¿Pueden los usuarios más entusiastas (incluso si no son profesionales) utilizar técnicas bien conocidas para romper la seguridad promedio del enrutador doméstico?
Algunas opciones de seguridad básicas son:
- contraseña de red segura con varios métodos de encriptación
- contraseña de acceso al enrutador personalizada
- WPS
- sin transmisión SSID
- Filtrado de direcciones MAC
¿Algunos de estos están comprometidos y qué hacer para que la red doméstica sea más segura?
wireless-networking
router
security
kvhadzhiev
fuente
fuente
Respuestas:
Sin discutir la semántica, sí, la afirmación es cierta.
Existen múltiples estándares para el cifrado WIFI, incluidos WEP, WPA y WPA2. WEP está comprometido, por lo que si lo está utilizando, incluso con una contraseña segura, puede romperse trivialmente. Sin embargo, creo que WPA es mucho más difícil de descifrar (pero es posible que tenga problemas de seguridad relacionados con WPS que eviten esto), y a partir de octubre de 2017, WPA2 también ofrece seguridad cuestionable. Además, incluso las contraseñas razonablemente duras pueden ser forzadas por la fuerza bruta (Moxie Marlinspike), un conocido pirata informático ofrece un servicio para hacerlo por US $ 17 utilizando la informática en la nube, aunque no está garantizado.
Una contraseña de enrutador segura no hará nada para evitar que alguien del lado WIFI transmita datos a través del enrutador, por lo que eso es irrelevante.
Una red oculta es un mito: si bien hay cuadros para hacer que una red no aparezca en una lista de sitios, los clientes transmiten el enrutador WIFI, por lo que su presencia se detecta trivialmente.
El filtrado MAC es una broma ya que muchos (¿la mayoría / todos?) Dispositivos WIFI pueden ser programados / reprogramados para clonar una dirección MAC existente y evitar el filtrado MAC.
La seguridad de la red es un tema importante, y no es algo susceptible a una pregunta de Superusuario, pero lo básico es que la seguridad se construye en capas para que, incluso si algunas están comprometidas, no todas lo estén; además, cualquier sistema puede ser penetrado con suficiente tiempo, recursos y el conocimiento, por lo que la seguridad en realidad no es tanto una cuestión de "puede ser pirateado", sino "cuánto tiempo llevará" piratear. WPA y una contraseña segura protegen contra "Joe Average".
Si desea mejorar la protección de su red WIFI, puede verla solo como una capa de transporte, y cifrar y filtrar todo lo que pasa por esa capa. Esto es excesivo para la gran mayoría de las personas, pero una forma de hacerlo sería configurar el enrutador para que solo permita el acceso a un servidor VPN determinado bajo su control y requerir que cada cliente se autentique a través de la conexión WIFI a través de la VPN: así, incluso si el WIFI se ve comprometido, hay otras capas [más difíciles] que vencer. Un subconjunto de este comportamiento no es infrecuente en entornos corporativos grandes.
Una alternativa más simple para proteger mejor una red doméstica es deshacerse de WIFI por completo y requerir solo soluciones cableadas. Sin embargo, si tiene cosas como teléfonos celulares o tabletas, esto puede no ser práctico. En este caso, puede mitigar los riesgos (ciertamente no eliminarlos) reduciendo la intensidad de la señal de su enrutador. También puede proteger su hogar para que la frecuencia se filtre menos: no lo he hecho, pero un fuerte rumor (investigado) dice que incluso la malla de aluminio (como mosquitera) en el exterior de su casa, con una buena conexión a tierra puede hacer un gran diferencia a la cantidad de señal que escapará. [Pero, por supuesto, adiós cobertura móvil]
En el frente de la protección, otra alternativa puede ser obtener su enrutador (si es capaz de hacerlo, la mayoría no lo es, pero me imagino que los enrutadores ejecutan openwrt y posiblemente tomate / dd-wrt pueden) para registrar todos los paquetes que atraviesan su red y vigilarlo: demonios, incluso solo monitorear anomalías con bytes totales dentro y fuera de varias interfaces podría brindarle un buen grado de protección.
Al final del día, tal vez la pregunta que debe hacerse es "¿Qué debo hacer para que no valga la pena el tiempo de los piratas informáticos ocasionales para penetrar en mi red" o "¿Cuál es el costo real de comprometer mi red?" desde allí. No hay una respuesta rápida y fácil.
Actualización - Oct 2017
La mayoría de los clientes que usan WPA2, a menos que estén parcheados, pueden exponer su tráfico en texto sin formato mediante "Ataques de reinstalación de claves - KRACK" , que es una debilidad en el estándar WPA2. Notablemente, esto no da acceso a la red, o al PSK, solo al tráfico del dispositivo objetivo.
fuente
Como otros han dicho, la ocultación de SSID es trivial para romper. De hecho, su red aparecerá de forma predeterminada en la lista de redes de Windows 8 incluso si no está transmitiendo su SSID. La red aún transmite su presencia a través de tramas de baliza de cualquier manera; simplemente no incluye el SSID en el marco de baliza si se marca esa opción. El SSID es trivial para obtener del tráfico de red existente.
El filtrado MAC tampoco es muy útil. Podría ralentizar brevemente el script kiddie que descargó un crack WEP, pero definitivamente no detendrá a nadie que sepa lo que está haciendo, ya que simplemente pueden falsificar una dirección MAC legítima.
En lo que respecta a WEP, está completamente roto. La fortaleza de su contraseña no importa mucho aquí. Si está utilizando WEP, cualquiera puede descargar software que irrumpirá en su red con bastante rapidez, incluso si tiene una clave segura.
WPA es significativamente más seguro que WEP, pero aún se considera roto. Si su hardware admite WPA pero no WPA2, es mejor que nada, pero un usuario determinado probablemente pueda descifrarlo con las herramientas adecuadas.
WPS (configuración inalámbrica protegida) es la ruina de la seguridad de la red. Deshabilítelo independientemente de la tecnología de cifrado de red que esté utilizando.
WPA2, en particular la versión que usa AES, es bastante seguro. Si tiene una contraseña decente, su amigo no ingresará a su red segura WPA2 sin obtener la contraseña. Ahora, si la NSA está tratando de ingresar a su red, ese es otro asunto. Entonces deberías apagar completamente tu conexión inalámbrica. Y probablemente también tu conexión a internet y todas tus computadoras. Dado el tiempo y los recursos suficientes, WPA2 (y cualquier otra cosa) puede ser hackeado, pero es probable que requiera mucho más tiempo y muchas más capacidades de las que un aficionado promedio tendrá a su disposición.
Como dijo David, la verdadera pregunta no es '¿Se puede piratear esto?' pero, más bien, "¿Cuánto tiempo le tomará a alguien con un conjunto particular de capacidades piratearlo?" Obviamente, la respuesta a esa pregunta varía mucho con respecto a cuál es ese conjunto particular de capacidades. También tiene toda la razón de que la seguridad debe hacerse en capas. Las cosas que le interesan no deberían pasar por su red sin estar encriptadas primero. Por lo tanto, si alguien interrumpe su conexión inalámbrica, no debería ser capaz de entrar en algo significativo además de usar su conexión a Internet. Cualquier comunicación que deba ser segura aún debe usar un algoritmo de cifrado fuerte (como AES), posiblemente configurado a través de TLS o algún esquema de PKI. Asegúrese de que su correo electrónico y cualquier otro tráfico web sensible esté encriptado y que no
Actualización 17 de octubre de 2017: esta respuesta refleja la situación anterior al descubrimiento reciente de una nueva vulnerabilidad importante que afecta tanto a WPA como a WPA2. El Ataque de reinstalación de claves (KRACK) aprovecha una vulnerabilidad en el protocolo de protocolo de enlace para Wi-Fi. Sin entrar en los desordenados detalles de la criptografía (que puede leer en el sitio web vinculado), todas las redes Wi-Fi se deben considerar rotas hasta que se apliquen parches, independientemente del algoritmo de cifrado particular que estén utilizando.
Preguntas relacionadas de InfoSec.SE con respecto a KRACK:
Consecuencias del ataque WPA2 KRACK
¿Cómo puedo protegerme de KRACK cuando no puedo pagar una VPN?
fuente
Dado que otras respuestas en este hilo son buenas, creo que, para aquellos que solicitan una respuesta concreta (bueno ... este es SuperUser, ¿no es así?), La pregunta podría traducirse fácilmente como: "¿Qué debo saber para hacer mi Red WiFi segura? .
Sin negar (ni confirmar) ninguna de las otras respuestas, esta es mi respuesta corta:
Las palabras del criptólogo Bruce Schenier podrían ser consejos valiosos para que muchos usuarios recuerden:
Esto a menudo se puede aplicar a las redes inalámbricas : ¿necesitamos constantemente que funcione?
Muchos enrutadores tienen un botón WiFi para habilitar / deshabilitar la conexión inalámbrica, como el D-Link DSL-2640B .
De lo contrario, siempre puede automatizar la habilitación / deshabilitación web de la tecnología inalámbrica mediante el uso de herramientas como iMacros (disponible como una extensión para Firefox o como un programa independiente) en Windows y muchos otros en Linux.
Y aquí hay dos trucos para la creación de una contraseña WPA (por favor, olvide WEP ) (una buena contraseña WPA hará que los ataques sean muy difíciles) ( no guarde la contraseña predeterminada ):
"Tienes dos hijos y 3 gatos, y los amas. " -> "Yh2sa3c, aylt".
Y, por el amor de Dios: ¡ deshabilita WPS ahora mismo! Es totalmente defectuoso .
fuente
Yh2sa3c,aylt., durará un tiempo estimado de más de 10 años para la fuerza bruta (incluso usando una de las computadoras personales más rápidas que puede pagar hoy).Ninguna de las cosas que menciona (aparte de la contraseña de la red) realmente afecta el pirateo de una red Wi-Fi. Tanto como un filtro de dirección MAC y un SSID oculto no hace nada realmente para ayudar en términos de seguridad.
Lo que realmente importa es el tipo de cifrado utilizado en la red. Las encriptaciones de red más antiguas, como WEP, eran triviales porque no se podían descifrar, ya que con suficiente tráfico podría decodificarlas y podría forzarlas a generar el tráfico que necesitaba.
Sin embargo, los más nuevos como WPA2 son mucho más seguros. Ahora, nada es "seguro" contra todos los adversarios, pero esto suele ser suficiente para el Wi-Fi doméstico.
Es un tema amplio, y esto solo toca la punta del iceberg, pero espero que ayude.
fuente
WEP y WPA1 / 2 (con WPS habilitado) se pueden hackear trivialmente; el primero mediante el uso de IV capturados y el segundo con una fuerza bruta PIN WPS (solo 11,000 combos posibles, de un pin de 3 partes; 4 dígitos [10,000 posibles] + 3 dígitos [1,000 posibles] + suma de verificación de 1 dígito [calculado del resto]) .
WPA1 / 2 son más resistentes con una contraseña segura, pero el uso de la ruptura de la GPU y una técnica de fuerza bruta puede reventar algunas de las más débiles.
Personalmente descifré WEP y WPS en mi red de trabajo (con permiso, estaba demostrando las vulnerabilidades a mis empleadores), pero todavía tengo que descifrar con éxito WPA.
fuente
Esta es una gran pregunta, y las pautas para tener una conexión inalámbrica muy segura deberían ser bien conocidas. Configure su enrutador / puerta de enlace / AP para que:
¡Eso es! Para todos los fines prácticos, ahora tiene una conexión inalámbrica completamente segura.
fuente
En el foro de Cisco Learning Network , un iniciador de hilo preguntó:
Un tipo obviamente muy inteligente llamado "Zach" hizo esta publicación que el iniciador de hilo, aquí (y otros, también aquí, si están interesados), debería leer.
En particular, lea aproximadamente dos tercios del camino de su publicación, donde comienza con las palabras "Las soluciones:".
Estoy usando la configuración " WPA-PSK (TKIP) / WPA2-PSK (AES) de mi puerta de enlace ". De acuerdo con esto de la publicación de Zach ...
... Durante mucho tiempo he usado mi propio ESSID único. Además, de acuerdo con su ...
... el mío tiene 25 caracteres que consisten en letras, números, mayúsculas y minúsculas y caracteres especiales. Ninguna parte de ella deletrea nada.
Hago varias otras cosas que Zach hace y no enumera allí; pero además de lo anterior, y dijo otras cosas, y al menos en el espíritu de lo que escribió aquí ...
... Hace mucho tiempo escribí un poco de código de secuencias de comandos que se inicia automáticamente con el inicio de Windows, y simplemente se ejecuta en la bandeja del sistema; cuál código periódicamente, durante todo el día, actualiza y luego analiza la página web en mi puerta de enlace que enumera todos los dispositivos conectados; y luego me dice tanto como un altavoz emergente con tres pitidos a través de la placa base (no los altavoces de audio normales, solo en caso de que estén silenciados o algo así) en la computadora de mi computadora portátil de reemplazo de escritorio pantalla, y también por mensaje de texto a mi teléfono (que está en una bolsa en mi cinturón, o al menos nunca a más de cinco pies de mí, 24/7/365), si ha aparecido algo nuevo.
Para aquellos sin esa habilidad, hay varias aplicaciones de tipo "quién está en mi WI-FI", algunas de ellas gratuitas. Una buena y simple es [este chico malo] [3]. Simplemente inicie automáticamente con Windows, déjelo en la bandeja del sistema y dígale que "pite en el nuevo dispositivo" y tendrá algo similar a lo que hace mi script (excepto que no le enviará un SMS). Sin embargo, usando [una herramienta de secuencia de comandos simple] [5] puede hacer que se envíe un SMS o correo electrónico a su teléfono cuando un nuevo dispositivo en la LAN hace que la aplicación emita un pitido.
Espero que ayude.
fuente
Otra consideración para cualquier análisis de seguridad son los activos que necesitan protección y el valor de esos activos para el propietario y un posible atacante. Supongo que su inicio de sesión bancario, número de tarjeta de crédito y otras credenciales de inicio de sesión son probablemente la información más valiosa que se envía a través de una red doméstica y la mayor parte de esto debería estar cubierta por el cifrado TLS / SSL a través de una conexión https. Por lo tanto, parece que si usa una clave WPA2 en su enrutador wifi y se asegura de que su navegador usa https siempre que sea posible (usando una herramienta como eff's https en todas partes), está bastante seguro. (Un potencial atacante tendría que ir a los problemas de agrietamiento su clave WPA2 a lo mejor obtener una contraseña que no pasa a través de HTTPS o las páginas http usted está navegando.)
fuente
Dudosa .
No estoy de acuerdo con la respuesta de David. Si bien está bien investigado y estoy de acuerdo con la mayoría de su información, creo que es un poco pesimista.
Hay vulnerabilidades en WPA2 cubiertas en las otras respuestas. Sin embargo, ninguno de estos es inevitable.
En particular, debe tenerse en cuenta que el ataque de fuerza bruta mencionado por davidgo es un ataque a una debilidad en MS-CHAPv2. Consulte la referencia del autor citado [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Si no se usa Ms-CHAP, esta debilidad no puede ser explotada.(eliminado según el comentario del autor - referencia incorrecta)Con la frase de paso correcta, SSID y evitando la tecnología comprometida, no veo ninguna razón por la cual una red segura WPA2 que usa AES256 no sería segura en este momento. Los ataques de fuerza bruta en tales redes no son factibles, e incluso Moxy Marlinspike sugiere esto.
Sin embargo, cuando estoy de acuerdo con la respuesta de davidgo es que la mayoría de los usuarios no hacen estos esfuerzos. Sé que mi propia red doméstica puede ser explotada, y aunque sé cómo solucionarla, no vale la pena mi tiempo y esfuerzo.
fuente