¿Es realmente posible para la mayoría de los entusiastas descifrar las redes Wi-Fi de las personas?

157

¿Pueden los usuarios más entusiastas (incluso si no son profesionales) utilizar técnicas bien conocidas para romper la seguridad promedio del enrutador doméstico?

Algunas opciones de seguridad básicas son:

  • contraseña de red segura con varios métodos de encriptación
  • contraseña de acceso al enrutador personalizada
  • WPS
  • sin transmisión SSID
  • Filtrado de direcciones MAC

¿Algunos de estos están comprometidos y qué hacer para que la red doméstica sea más segura?

kvhadzhiev
fuente
26
Con las herramientas adecuadas y el tiempo suficiente, todo es posible.
joeqwerty
61
El filtrado de MAC es absolutamente inútil
Ramhound
12
@Mondrianaire Para el acceso a Internet, mi red universitaria requería registrarse, y luego lo identificaría por dirección MAC. Era trivial falsificar la dirección de uno de los vecinos de mi dormitorio. Si hubiera hecho algo malo usando esa conexión, habría sido identificado como ella haciéndolo. Diría que el filtrado de direcciones MAC es una de esas cosas que es demasiado fácil para crear una falsa sensación de seguridad.
Izkata
8
Bueno, estoy diciendo que el filtrado MAC no es una característica de seguridad
Ramhound
10
@Mondrianaire: introduce un agujero. Si alguien está enmascarando su dirección MAC como una dirección de pertenecer aquí, es una pista menos de que alguien que se supone que no debe estar allí ha estado en su red. Si no está filtrando direcciones MAC, probablemente no se molestarán en hacerlo.
Compro01

Respuestas:

147

Sin discutir la semántica, sí, la afirmación es cierta.

Existen múltiples estándares para el cifrado WIFI, incluidos WEP, WPA y WPA2. WEP está comprometido, por lo que si lo está utilizando, incluso con una contraseña segura, puede romperse trivialmente. Sin embargo, creo que WPA es mucho más difícil de descifrar (pero es posible que tenga problemas de seguridad relacionados con WPS que eviten esto), y a partir de octubre de 2017, WPA2 también ofrece seguridad cuestionable. Además, incluso las contraseñas razonablemente duras pueden ser forzadas por la fuerza bruta (Moxie Marlinspike), un conocido pirata informático ofrece un servicio para hacerlo por US $ 17 utilizando la informática en la nube, aunque no está garantizado.

Una contraseña de enrutador segura no hará nada para evitar que alguien del lado WIFI transmita datos a través del enrutador, por lo que eso es irrelevante.

Una red oculta es un mito: si bien hay cuadros para hacer que una red no aparezca en una lista de sitios, los clientes transmiten el enrutador WIFI, por lo que su presencia se detecta trivialmente.

El filtrado MAC es una broma ya que muchos (¿la mayoría / todos?) Dispositivos WIFI pueden ser programados / reprogramados para clonar una dirección MAC existente y evitar el filtrado MAC.

La seguridad de la red es un tema importante, y no es algo susceptible a una pregunta de Superusuario, pero lo básico es que la seguridad se construye en capas para que, incluso si algunas están comprometidas, no todas lo estén; además, cualquier sistema puede ser penetrado con suficiente tiempo, recursos y el conocimiento, por lo que la seguridad en realidad no es tanto una cuestión de "puede ser pirateado", sino "cuánto tiempo llevará" piratear. WPA y una contraseña segura protegen contra "Joe Average".

Si desea mejorar la protección de su red WIFI, puede verla solo como una capa de transporte, y cifrar y filtrar todo lo que pasa por esa capa. Esto es excesivo para la gran mayoría de las personas, pero una forma de hacerlo sería configurar el enrutador para que solo permita el acceso a un servidor VPN determinado bajo su control y requerir que cada cliente se autentique a través de la conexión WIFI a través de la VPN: así, incluso si el WIFI se ve comprometido, hay otras capas [más difíciles] que vencer. Un subconjunto de este comportamiento no es infrecuente en entornos corporativos grandes.

Una alternativa más simple para proteger mejor una red doméstica es deshacerse de WIFI por completo y requerir solo soluciones cableadas. Sin embargo, si tiene cosas como teléfonos celulares o tabletas, esto puede no ser práctico. En este caso, puede mitigar los riesgos (ciertamente no eliminarlos) reduciendo la intensidad de la señal de su enrutador. También puede proteger su hogar para que la frecuencia se filtre menos: no lo he hecho, pero un fuerte rumor (investigado) dice que incluso la malla de aluminio (como mosquitera) en el exterior de su casa, con una buena conexión a tierra puede hacer un gran diferencia a la cantidad de señal que escapará. [Pero, por supuesto, adiós cobertura móvil]

En el frente de la protección, otra alternativa puede ser obtener su enrutador (si es capaz de hacerlo, la mayoría no lo es, pero me imagino que los enrutadores ejecutan openwrt y posiblemente tomate / dd-wrt pueden) para registrar todos los paquetes que atraviesan su red y vigilarlo: demonios, incluso solo monitorear anomalías con bytes totales dentro y fuera de varias interfaces podría brindarle un buen grado de protección.

Al final del día, tal vez la pregunta que debe hacerse es "¿Qué debo hacer para que no valga la pena el tiempo de los piratas informáticos ocasionales para penetrar en mi red" o "¿Cuál es el costo real de comprometer mi red?" desde allí. No hay una respuesta rápida y fácil.

Actualización - Oct 2017

La mayoría de los clientes que usan WPA2, a menos que estén parcheados, pueden exponer su tráfico en texto sin formato mediante "Ataques de reinstalación de claves - KRACK" , que es una debilidad en el estándar WPA2. Notablemente, esto no da acceso a la red, o al PSK, solo al tráfico del dispositivo objetivo.

davidgo
fuente
2
Sí, cualquiera puede cambiar su dirección MAC a una lista blanca, pero eso no a) causa problemas inmediatamente perceptibles para el propietario original de la dirección MAC, yb) ¿no es eso una seguridad bastante oscura por la oscuridad? ¿Cuándo una computadora transmite su MAC en el claro sobre una red doméstica?
estrella brillante
3
El momento más común en que una computadora expone su dirección MAC es cuando usa una conexión de red, lo cual no es realmente raro. En cuanto a lo oscuro: no es oscuro en relación con el contexto de la pregunta, que es lo que podría hacer un entusiasta, que presumiblemente incluye la búsqueda en la web de manera efectiva.
Ram
2
@landroni - No, no es fácil, sin embargo, si la contraseña está compuesta de palabras comunes unidas, todavía está dentro del ámbito de la ruptura. El craqueo no necesita ser realizado por la máquina que intenta conectarse, sino que puede recolectar la información que necesita y enviarla a la nube para quebrar con mucha más potencia, recursos e incluso tablas de arcoiris. Sin embargo, una contraseña aleatoria de 20 caracteres será bastante a prueba de balas. Echa un vistazo a cloudcracker.com
davidgo
2
@clabacchio porque ahora has molestado mucho a tus usuarios?
Cruncher
1
@clabacchio cerrar la red por completo también la haría más "segura". ¿Los usuarios estarían contentos con eso?
o0 '.
52

Como otros han dicho, la ocultación de SSID es trivial para romper. De hecho, su red aparecerá de forma predeterminada en la lista de redes de Windows 8 incluso si no está transmitiendo su SSID. La red aún transmite su presencia a través de tramas de baliza de cualquier manera; simplemente no incluye el SSID en el marco de baliza si se marca esa opción. El SSID es trivial para obtener del tráfico de red existente.

El filtrado MAC tampoco es muy útil. Podría ralentizar brevemente el script kiddie que descargó un crack WEP, pero definitivamente no detendrá a nadie que sepa lo que está haciendo, ya que simplemente pueden falsificar una dirección MAC legítima.

En lo que respecta a WEP, está completamente roto. La fortaleza de su contraseña no importa mucho aquí. Si está utilizando WEP, cualquiera puede descargar software que irrumpirá en su red con bastante rapidez, incluso si tiene una clave segura.

WPA es significativamente más seguro que WEP, pero aún se considera roto. Si su hardware admite WPA pero no WPA2, es mejor que nada, pero un usuario determinado probablemente pueda descifrarlo con las herramientas adecuadas.

WPS (configuración inalámbrica protegida) es la ruina de la seguridad de la red. Deshabilítelo independientemente de la tecnología de cifrado de red que esté utilizando.

WPA2, en particular la versión que usa AES, es bastante seguro. Si tiene una contraseña decente, su amigo no ingresará a su red segura WPA2 sin obtener la contraseña. Ahora, si la NSA está tratando de ingresar a su red, ese es otro asunto. Entonces deberías apagar completamente tu conexión inalámbrica. Y probablemente también tu conexión a internet y todas tus computadoras. Dado el tiempo y los recursos suficientes, WPA2 (y cualquier otra cosa) puede ser hackeado, pero es probable que requiera mucho más tiempo y muchas más capacidades de las que un aficionado promedio tendrá a su disposición.

Como dijo David, la verdadera pregunta no es '¿Se puede piratear esto?' pero, más bien, "¿Cuánto tiempo le tomará a alguien con un conjunto particular de capacidades piratearlo?" Obviamente, la respuesta a esa pregunta varía mucho con respecto a cuál es ese conjunto particular de capacidades. También tiene toda la razón de que la seguridad debe hacerse en capas. Las cosas que le interesan no deberían pasar por su red sin estar encriptadas primero. Por lo tanto, si alguien interrumpe su conexión inalámbrica, no debería ser capaz de entrar en algo significativo además de usar su conexión a Internet. Cualquier comunicación que deba ser segura aún debe usar un algoritmo de cifrado fuerte (como AES), posiblemente configurado a través de TLS o algún esquema de PKI. Asegúrese de que su correo electrónico y cualquier otro tráfico web sensible esté encriptado y que no


Actualización 17 de octubre de 2017: esta respuesta refleja la situación anterior al descubrimiento reciente de una nueva vulnerabilidad importante que afecta tanto a WPA como a WPA2. El Ataque de reinstalación de claves (KRACK) aprovecha una vulnerabilidad en el protocolo de protocolo de enlace para Wi-Fi. Sin entrar en los desordenados detalles de la criptografía (que puede leer en el sitio web vinculado), todas las redes Wi-Fi se deben considerar rotas hasta que se apliquen parches, independientemente del algoritmo de cifrado particular que estén utilizando.

Preguntas relacionadas de InfoSec.SE con respecto a KRACK:
Consecuencias del ataque WPA2 KRACK
¿Cómo puedo protegerme de KRACK cuando no puedo pagar una VPN?

reirab
fuente
11
Buena respuesta, especialmente el bit sobre WPA2-AES. Agregaría que el SSID se usa para obtener una clave WPA, por lo que si no desea que su clave WPA se coloque en la tabla del arco iris, lo mejor es cambiarla a algo que no sea "NETGEAR".
zigg
¿Qué tan difícil es falsificar una dirección MAC, ya que tendrías que obtener una que esté en la lista blanca? Sé que todo lo que se transmite se puede recoger manualmente, pero ¿no es mucho trabajo?
Seth
No, es increíblemente fácil. Se envía en texto sin formato al comienzo de literalmente cada cuadro, por lo que todo lo que tiene que hacer es capturar un único paquete legítimo en la red para encontrar un MAC en la lista blanca. Como dije en mi respuesta, es trivial para cualquiera que sepa lo que está haciendo.
reirab
14

Dado que otras respuestas en este hilo son buenas, creo que, para aquellos que solicitan una respuesta concreta (bueno ... este es SuperUser, ¿no es así?), La pregunta podría traducirse fácilmente como: "¿Qué debo saber para hacer mi Red WiFi segura? .
Sin negar (ni confirmar) ninguna de las otras respuestas, esta es mi respuesta corta:

Las palabras del criptólogo Bruce Schenier podrían ser consejos valiosos para que muchos usuarios recuerden:

La única solución real es desconectar el cable de alimentación.

Esto a menudo se puede aplicar a las redes inalámbricas : ¿necesitamos constantemente que funcione?
Muchos enrutadores tienen un botón WiFi para habilitar / deshabilitar la conexión inalámbrica, como el D-Link DSL-2640B .
De lo contrario, siempre puede automatizar la habilitación / deshabilitación web de la tecnología inalámbrica mediante el uso de herramientas como iMacros (disponible como una extensión para Firefox o como un programa independiente) en Windows y muchos otros en Linux.

Y aquí hay dos trucos para la creación de una contraseña WPA (por favor, olvide WEP ) (una buena contraseña WPA hará que los ataques sean muy difíciles) ( no guarde la contraseña predeterminada ):

  1. Use palabras inexistentes y / o extranjeras : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (ya que no se puede usar un diccionario simple para encontrarlas).
  2. Cree su propia oración fácil de recordar (al menos para usted) y defina su contraseña tomando el primer carácter de cada palabra. Los resultados serán una contraseña difícil de descifrar (8 caracteres como mínimo) pero fácil de recordar que incluye letras mayúsculas y minúsculas , números y algunos otros caracteres no alfabéticos :
    "Tienes dos hijos y 3 gatos, y los amas. " -> "Yh2sa3c, aylt".

Y, por el amor de Dios: ¡ deshabilita WPS ahora mismo! Es totalmente defectuoso .

Sopalajo de Arrierez
fuente
12
Por favor, olvide WPA y WPA2-TKIP . Usa tus trucos en WPA2-AES .
Darth Android
2
¿Cuál sería el punto de una contraseña wifi fácil de recordar? Después de todo, rara vez estás conectando dispositivos. Simplemente use una buena contraseña aleatoria larga, como Lm, -TMzQ7cf \ 6. "OwhAnpqC *.
Hans-Peter Störr
2
Si tiene un conjunto estático de dispositivos que rara vez cambia, OK. Muchas personas tienen amigos con dispositivos que necesitan habilitar, y las contraseñas aleatorias son problemáticas aquí. (Puede haber otras soluciones como una red de invitados, pero aún así permitirá el acceso a invitados que no sean invitados que quieran usar sus recursos)
davidgo
3
@hstoerr, en mi experiencia como usuario final y consultor empresarial, (casi) siempre he encontrado que las contraseñas complejas son molestas y finalmente se descartan. Necesita una solución de compromiso.
Sopalajo de Arrierez
2
Tienes razón, @IQAndreas: es más memorable y más difícil de descifrar. Pero no es más fácil de escribir. Y, en mis pruebas con HashCat, solo para el modo más corto Yh2sa3c,aylt., durará un tiempo estimado de más de 10 años para la fuerza bruta (incluso usando una de las computadoras personales más rápidas que puede pagar hoy).
Sopalajo de Arrierez
7

Ninguna de las cosas que menciona (aparte de la contraseña de la red) realmente afecta el pirateo de una red Wi-Fi. Tanto como un filtro de dirección MAC y un SSID oculto no hace nada realmente para ayudar en términos de seguridad.

Lo que realmente importa es el tipo de cifrado utilizado en la red. Las encriptaciones de red más antiguas, como WEP, eran triviales porque no se podían descifrar, ya que con suficiente tráfico podría decodificarlas y podría forzarlas a generar el tráfico que necesitaba.

Sin embargo, los más nuevos como WPA2 son mucho más seguros. Ahora, nada es "seguro" contra todos los adversarios, pero esto suele ser suficiente para el Wi-Fi doméstico.

Es un tema amplio, y esto solo toca la punta del iceberg, pero espero que ayude.

Sirex
fuente
6

WEP y WPA1 / 2 (con WPS habilitado) se pueden hackear trivialmente; el primero mediante el uso de IV capturados y el segundo con una fuerza bruta PIN WPS (solo 11,000 combos posibles, de un pin de 3 partes; 4 dígitos [10,000 posibles] + 3 dígitos [1,000 posibles] + suma de verificación de 1 dígito [calculado del resto]) .

WPA1 / 2 son más resistentes con una contraseña segura, pero el uso de la ruptura de la GPU y una técnica de fuerza bruta puede reventar algunas de las más débiles.

Personalmente descifré WEP y WPS en mi red de trabajo (con permiso, estaba demostrando las vulnerabilidades a mis empleadores), pero todavía tengo que descifrar con éxito WPA.

hanetzer
fuente
5

Esta es una gran pregunta, y las pautas para tener una conexión inalámbrica muy segura deberían ser bien conocidas. Configure su enrutador / puerta de enlace / AP para que:

  • la seguridad inalámbrica es solo WPA2
  • el cifrado es solo AES
  • use una clave previamente compartida que contenga varias palabras (por ejemplo, IloveSuperUser)
  • deshabilitar WPS
  • deshabilitar la administración remota

¡Eso es! Para todos los fines prácticos, ahora tiene una conexión inalámbrica completamente segura.

Jason
fuente
1
@Jason One pregunta de inmediato; ¿Qué tienes contra los espacios?
deworde
1
@ryyker lo dije con fines prácticos.
Jason
1
@deworde no, pero algunos enrutadores y administradores de conexión baratos sí.
Jason
3

En el foro de Cisco Learning Network , un iniciador de hilo preguntó:

¿Se puede descifrar WPA / TKIP? O alguien en mi casa de huéspedes usó 80 gigas de datos o alguien cercano descifró la contraseña y la usó. Sospecho que hay alguien en la casa de huéspedes porque me resulta difícil creer que WPA / TKIP se pueda descifrar e incluso si se puede descifrar, no sería fácil hacerlo. ¿Qué tan difícil es descifrar WPA / TKIP? Quiero cambiar la contraseña para ellos de todos modos, ¿puedo usar - y _ y? ¿caracteres?

Un tipo obviamente muy inteligente llamado "Zach" hizo esta publicación que el iniciador de hilo, aquí (y otros, también aquí, si están interesados), debería leer.

En particular, lea aproximadamente dos tercios del camino de su publicación, donde comienza con las palabras "Las soluciones:".

Estoy usando la configuración " WPA-PSK (TKIP) / WPA2-PSK (AES) de mi puerta de enlace ". De acuerdo con esto de la publicación de Zach ...

Cambie el nombre de su enrutador a algo único. Su suplicante wlan utiliza su ESSID como una sal criptográfica sobre el PMK. Cambiar esto eliminará los ataques previos al cálculo.

... Durante mucho tiempo he usado mi propio ESSID único. Además, de acuerdo con su ...

Cree una contraseña única que incorpore caracteres únicos, números, mayúsculas. múltiples palabras y letras minúsculas. Esto es más importante que la longitud. Aumentar la longitud de la contraseña solo aumentará la seguridad de las contraseñas, pero no necesita ser obscenamente larga. La fuerza radica en la variación del potencial . Esto eliminará los ataques de diccionario y hará imposible la fuerza bruta sin una supercomputadora.

... el mío tiene 25 caracteres que consisten en letras, números, mayúsculas y minúsculas y caracteres especiales. Ninguna parte de ella deletrea nada.

Hago varias otras cosas que Zach hace y no enumera allí; pero además de lo anterior, y dijo otras cosas, y al menos en el espíritu de lo que escribió aquí ...

Habilite el registro detallado y, si es posible, reenvíelo a su correo electrónico.

... Hace mucho tiempo escribí un poco de código de secuencias de comandos que se inicia automáticamente con el inicio de Windows, y simplemente se ejecuta en la bandeja del sistema; cuál código periódicamente, durante todo el día, actualiza y luego analiza la página web en mi puerta de enlace que enumera todos los dispositivos conectados; y luego me dice tanto como un altavoz emergente con tres pitidos a través de la placa base (no los altavoces de audio normales, solo en caso de que estén silenciados o algo así) en la computadora de mi computadora portátil de reemplazo de escritorio pantalla, y también por mensaje de texto a mi teléfono (que está en una bolsa en mi cinturón, o al menos nunca a más de cinco pies de mí, 24/7/365), si ha aparecido algo nuevo.

Para aquellos sin esa habilidad, hay varias aplicaciones de tipo "quién está en mi WI-FI", algunas de ellas gratuitas. Una buena y simple es [este chico malo] [3]. Simplemente inicie automáticamente con Windows, déjelo en la bandeja del sistema y dígale que "pite en el nuevo dispositivo" y tendrá algo similar a lo que hace mi script (excepto que no le enviará un SMS). Sin embargo, usando [una herramienta de secuencia de comandos simple] [5] puede hacer que se envíe un SMS o correo electrónico a su teléfono cuando un nuevo dispositivo en la LAN hace que la aplicación emita un pitido.

Espero que ayude.

Gregg DesElms
fuente
Al último párrafo de su respuesta parece faltarle dos enlaces.
Twisty Impersonator
2

Otra consideración para cualquier análisis de seguridad son los activos que necesitan protección y el valor de esos activos para el propietario y un posible atacante. Supongo que su inicio de sesión bancario, número de tarjeta de crédito y otras credenciales de inicio de sesión son probablemente la información más valiosa que se envía a través de una red doméstica y la mayor parte de esto debería estar cubierta por el cifrado TLS / SSL a través de una conexión https. Por lo tanto, parece que si usa una clave WPA2 en su enrutador wifi y se asegura de que su navegador usa https siempre que sea posible (usando una herramienta como eff's https en todas partes), está bastante seguro. (Un potencial atacante tendría que ir a los problemas de agrietamiento su clave WPA2 a lo mejor obtener una contraseña que no pasa a través de HTTPS o las páginas http usted está navegando.)

usuario119824
fuente
2

Dudosa .

No estoy de acuerdo con la respuesta de David. Si bien está bien investigado y estoy de acuerdo con la mayoría de su información, creo que es un poco pesimista.

Hay vulnerabilidades en WPA2 cubiertas en las otras respuestas. Sin embargo, ninguno de estos es inevitable.

En particular, debe tenerse en cuenta que el ataque de fuerza bruta mencionado por davidgo es un ataque a una debilidad en MS-CHAPv2. Consulte la referencia del autor citado [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Si no se usa Ms-CHAP, esta debilidad no puede ser explotada. (eliminado según el comentario del autor - referencia incorrecta)

Con la frase de paso correcta, SSID y evitando la tecnología comprometida, no veo ninguna razón por la cual una red segura WPA2 que usa AES256 no sería segura en este momento. Los ataques de fuerza bruta en tales redes no son factibles, e incluso Moxy Marlinspike sugiere esto.

Sin embargo, cuando estoy de acuerdo con la respuesta de davidgo es que la mayoría de los usuarios no hacen estos esfuerzos. Sé que mi propia red doméstica puede ser explotada, y aunque sé cómo solucionarla, no vale la pena mi tiempo y esfuerzo.

timbo
fuente
MS-CHAP es algo diferente (se utiliza en PPTP, es decir, conexiones VPN y no conexiones inalámbricas, a menos que esté ejecutando PPTP a través de Wifi, lo que en gran medida no tiene sentido. Se sabe que MS-CHAP está completamente roto). A lo que me refería con Cloudcracker es algo más. Prepara y envía una muestra de tráfico de red y el servicio intenta forzarlo por fuerza bruta. Entre otras cosas, intenta descifrar las contraseñas WPA y WPA2. El enlace es cloudcracker.com (nada después de eso). Estoy de acuerdo en que CON UNA CONTRASEÑA FUERTE, WPA2 probablemente no sea práctico para la fuerza bruta.
davidgo