Pregunta ¿Es realmente posible para la mayoría de los entusiastas descifrar las redes Wi-Fi de las personas?


¿Pueden los usuarios más entusiastas (incluso si no son profesionales) usar técnicas bien conocidas para romper la seguridad del enrutador doméstico medio?

Algunas opciones de seguridad básicas son:

  • fuerte contraseña de red con varios métodos de encriptación
  • contraseña de acceso de enrutador personalizado
  • WPS
  • sin transmisión de SSID
  • Filtrado de direcciones MAC

¿Están comprometidos algunos de ellos y qué hacer para que la red doméstica sea más segura?


156


origen


Con las herramientas adecuadas y el tiempo suficiente todo es posible. - joeqwerty
El filtrado MAC es absolutamente inútil - Ramhound
@Mondrianaire Para el acceso a Internet, mi red universitaria necesitaba registrarse, y más tarde lo identificaría por su dirección MAC. Era trivial burlar la dirección de uno de mis vecinos del dormitorio. Si hubiera hecho algo malo utilizando esa conexión, se habría identificado como si ella lo hubiera hecho. Diría que el filtrado de direcciones MAC es una de esas cosas que es demasiado fácil para crear una falsa sensación de seguridad. - Izkata
Bueno, estoy diciendo que el filtrado de MAC no es una característica de seguridad - Ramhound
@Mondrianaire - Introduce un agujero. Si alguien enmascara su dirección MAC como una dirección aquí, es una pista menos de que alguien que no debe estar allí ha estado en su red. Si no está filtrando las direcciones MAC, probablemente no se molestarán en hacer eso. - Compro01


Respuestas:


Sin discutir la semántica, sí, la afirmación es verdadera.

Existen múltiples estándares para el cifrado WIFI, incluidos WEP, WPA y WPA2. WEP está comprometido, por lo que si lo está utilizando, incluso con una contraseña segura, se puede romper trivialmente. Sin embargo, creo que WPA es mucho más difícil de descifrar (pero es posible que tenga problemas de seguridad relacionados con WPS que omiten esto) y, a partir de octubre de 2017, WPA2 también ofrece seguridad cuestionable. Además, incluso contraseñas razonablemente difíciles pueden ser forzadas por fuerza bruta: Moxie Marlinspike, un conocido pirata informático. ofrece un servicio hacer esto por US $ 17 usando la computación en la nube, aunque no está garantizada.

Una contraseña de enrutador segura no hará nada para evitar que alguien en el lado de WIFI transmita datos a través del enrutador, por lo que es irrelevante.

Una red oculta es un mito: si bien hay cuadros para que una red no aparezca en una lista de sitios, los clientes marcan el enrutador WIFI, por lo que su presencia se detecta trivialmente.

El filtrado MAC es una broma ya que muchos (¿la mayoría / todos?) Los dispositivos WIFI se pueden programar / reprogramar para clonar una dirección MAC existente y eludir el filtrado MAC.

La seguridad de la red es un gran tema, y ​​no algo susceptible de ser cuestionado por el Superusuario, pero lo básico es que la seguridad se construye en capas, por lo que incluso si algunas están comprometidas, no todas son, también se puede penetrar cualquier sistema con tiempo suficiente. y el conocimiento, por lo que la seguridad no es tanto una cuestión de "se puede piratear", sino "cuánto tiempo se tardará" en hackear. WPA y una contraseña segura protegen contra "Joe Average".

Si desea mejorar la protección de su red WiFi, puede verla solo como una capa de transporte y encriptar y filtrar todo lo que atraviesa esa capa. Esto es excesivo para la gran mayoría de las personas, pero una forma de hacerlo sería configurar el enrutador para que solo permita el acceso a un servidor VPN determinado bajo su control, y requerir que cada cliente se autentique a través de la conexión WIFI a través de la VPN. por lo tanto, incluso si el WIFI está comprometido, hay otras capas [más difíciles] para vencer. Un subconjunto de este comportamiento no es poco común en entornos corporativos grandes.

Una alternativa más sencilla para asegurar mejor una red doméstica es eliminar completamente el WIFI y solo requerir soluciones cableadas. Si tiene cosas como teléfonos celulares o tabletas, esto puede no ser práctico. En este caso, puede mitigar los riesgos (sin duda no eliminarlos) al reducir la potencia de la señal de su enrutador. También puedes proteger tu hogar para que la frecuencia pierda menos. No lo he hecho, pero un fuerte rumor (investigado) es que incluso una malla de aluminio (como una mosquitera) en el exterior de tu casa, con buena conexión a tierra puede hacer diferencia a la cantidad de señal que escapará. [Pero, por supuesto, la cobertura de un teléfono celular de despedida]

En el frente de protección, otra alternativa puede ser obtener su enrutador (si es capaz de hacerlo, la mayoría no lo es, pero me imagino que los enrutadores funcionan con OpenWrt y posiblemente con tomato / dd-wrt) para registrar todos los paquetes que atraviesan su red y vigilándolo - Diablos, incluso el simple hecho de monitorear anomalías con un total de bytes dentro y fuera de varias interfaces podría brindarle un buen grado de protección.

Al final del día, tal vez la pregunta que debe hacerse es "¿Qué debo hacer para que no valga la pena que un pirata informático casual ingrese a mi red?" O "¿Cuál es el costo real de que mi red se vea comprometida?". desde allí. No hay una respuesta rápida y fácil.

Actualización - Oct 2017

La mayoría de los clientes que usan WPA2, a menos que estén parcheados, pueden tener su tráfico expuesto en texto sin formato usando "Ataques clave de reinstalación - KRACK"  - que es una debilidad en el estándar WPA2. Notablemente, esto no da acceso a la red, o PSK, solo al tráfico del dispositivo objetivo.


146



Sí, cualquiera puede cambiar su dirección MAC a una lista blanca, pero no a) causar problemas inmediatamente perceptibles para el propietario original de la dirección MAC, yb) ¿no es esa una seguridad bastante oscura por oscuridad? ¿Cuándo una computadora transmite su MAC en forma clara a través de una red doméstica? - bright-star
El tiempo más común es una computadora expone su dirección MAC es cuando usa una conexión de red, no muy raro. En cuanto a lo oscuro, no es oscuro en relación con el contexto de la pregunta que es lo que un entusiasta podría hacer, lo que presumiblemente incluye la búsqueda web de manera efectiva. - Ram
@landroni - No, no es fácil, sin embargo, si la contraseña está compuesta de palabras comunes entrelazadas, todavía está dentro del dominio del crackeo. No es necesario que el agrietamiento se realice con la máquina que intenta conectarse, sino que puede recolectar la información que necesita y enviarla a la nube para que se agriete con mucha más energía, recursos e incluso tablas de arcoiris. Sin embargo, una contraseña aleatoria de 20 caracteres será bastante a prueba de balas. Mira esto cloudcracker.com - davidgo
@clabacchio porque ahora has molestado mucho a tus usuarios? - Cruncher
@clabacchio cerrar la red por completo también lo haría más "seguro". ¿Los usuarios estarían contentos con eso? - o0'.


Como han dicho otros, el escondite de SSID es trivial de romper. De hecho, su red se mostrará de forma predeterminada en la lista de redes de Windows 8, incluso si no está transmitiendo su SSID. La red todavía transmite su presencia a través de marcos de baliza de cualquier manera; simplemente no incluye el SSID en el marco de baliza si esa opción está marcada. El SSID es trivial para obtener del tráfico de red existente.

El filtrado MAC tampoco es muy útil. Podría ralentizar brevemente al script kiddie que descargó un WEP crack, pero definitivamente no va a detener a nadie que sepa lo que están haciendo, ya que pueden falsificar una dirección MAC legítima.

En lo que respecta a WEP, está completamente roto. La fuerza de su contraseña no importa mucho aquí. Si está utilizando WEP, cualquiera puede descargar software que irrumpirá en su red rápidamente, incluso si tiene una clave fuerte.

WPA es significativamente más seguro que WEP, pero se considera que está roto. Si su hardware es compatible con WPA pero no con WPA2, es mejor que nada, pero un usuario determinado probablemente pueda descifrarlo con las herramientas adecuadas.

WPS (configuración inalámbrica protegida) es la pesadilla de la seguridad de la red. Deshabilítelo independientemente de la tecnología de cifrado de red que esté utilizando.

WPA2 - en particular, la versión que usa AES - es bastante segura. Si tiene una contraseña decente, su amigo no ingresará en su red segura WPA2 sin obtener la contraseña. Ahora, si la NSA intenta ingresar a su red, ese es otro asunto. Entonces deberías apagar completamente tu conexión inalámbrica. Y probablemente su conexión a internet y todas sus computadoras también. Con suficiente tiempo y recursos, WPA2 (y cualquier otra cosa) puede ser pirateada, pero es probable que requiera mucho más tiempo y muchas más capacidades de las que su aficionado promedio tendrá a su disposición.

Como dijo David, la verdadera pregunta no es '¿Esto puede ser pirateado?' pero, más bien, "¿Cuánto tiempo le tomará a alguien con un conjunto particular de capacidades piratearlo?" Obviamente, la respuesta a esa pregunta varía mucho con respecto a lo que es ese conjunto particular de capacidades. También es absolutamente correcto que la seguridad se haga en capas. Las cosas que le importan no deberían pasar por su red sin ser encriptadas primero. Por lo tanto, si alguien interrumpe su conexión inalámbrica, no deberían poder acceder a nada significativo, aparte de tal vez usar su conexión a Internet. Toda comunicación que deba ser segura debe seguir usando un algoritmo de encriptación fuerte (como AES), posiblemente configurado a través de TLS o algún esquema de PKI. Asegúrese de que su correo electrónico y cualquier otro tráfico web sensible esté cifrado y que no esté ejecutando ningún servicio (como el uso compartido de archivos o impresoras) en sus computadoras sin el sistema de autenticación adecuado.


Actualización del 17 de octubre de 2017: esta respuesta refleja la situación anterior al descubrimiento reciente de una nueva vulnerabilidad importante que afecta tanto a WPA como a WPA2. los Reinstalación clave AttaCK (KRACK) aprovecha una vulnerabilidad en el protocolo de handshaking para Wi-Fi. Sin entrar en los complicados detalles de la criptografía (sobre los que puede leer en el sitio web vinculado), todas las redes Wi-Fi se deben considerar rotas hasta que se actualicen, independientemente del algoritmo de cifrado en particular que estén usando.

Preguntas relacionadas con InfoSec.SE con respecto a KRACK:
Consecuencias del ataque WPA2 KRACK
¿Cómo puedo protegerme de KRACK cuando no puedo pagar una VPN? 


52



Buena respuesta, especialmente el bit sobre WPA2-AES. Añadiría que el SSID se usa para obtener una clave WPA, por lo que si no desea que su clave WPA esté archivada en forma de arcoiris, es mejor cambiarla a otra que no sea "NETGEAR". - zigg
Qué difícil es falsificar una dirección MAC, ya que tendría que obtener una que esté en la lista blanca. Sé algo que se transmite poder ser recogido de forma manual, pero ¿no es mucho trabajo? - Seth
No, es increíblemente fácil. Se envía en texto sin formato al comienzo de literalmente cada cuadro, por lo que todo lo que tiene que hacer es capturar un único paquete legítimo en la red para encontrar un MAC en la lista blanca. Como dije en mi respuesta, es trivial para cualquiera que sepa lo que están haciendo. - reirab


Dado que otras respuestas en este hilo son buenas, creo que, para aquellos que solicitan una respuesta concreta (bueno ... ¿esto es SuperUser, no lo es?), La pregunta podría traducirse fácilmente como: "¿Qué debería saber para asegurar mi red WiFi?".
Sin negar (ni confirmar) ninguna de las otras respuestas, esta es mi respuesta corta:

Las palabras del criptólogo Bruce Schenier podrían ser consejos útiles para que muchos usuarios recuerden:

La única solución real es desenchufar el cable de alimentación.

Esto a menudo se puede aplicar a Conexiones inalámbricas: ¿constantemente lo necesitamos trabajando?
Muchos enrutadores tienen un Botón WiFi para habilitar / deshabilitar la conexión inalámbrica, como D-Link DSL-2640B .
Si no, siempre puedes automatizar la habilitación / deshabilitación de la web de la tecnología inalámbrica mediante el uso de herramientas como iMacros  (disponible como una extensión para Firefox o como un programa independiente) en Windows y muchos otros en Linux.

Y aquí hay dos trucos para WPA (Por favor, olvidar WEP) contraseña (a buena contraseña WPA hará que los ataques sean muy difíciles) creación (no mantener la contraseña predeterminada)

  1. Utilizar palabras inexistentes y / o extranjeras: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (ya que no se puede usar un diccionario simple para encontrarlos).
  2. Cree su propia oración fácil de recordar (para usted al menos) y defina su contraseña tomando el primer carácter de cada palabra. Los resultados serán una difícil de romper (8 caracteres como mínimo) aún Fácil de recordar contraseña que incluye Letras mayúsculas y minúsculas, números y alguna otra no alfabético caracteres:
    "Tienes dos hijos y 3 gatos, y los amas". -> "Yh2sa3c, aylt."

Y, por el bien de Dios: deshabilitar WPS ¡ahora mismo! Es totalmente defectuoso.


14



Por favor, olvida WPA y WPA2-TKIP. Usa tus trucos en WPA2-AES. - Darth Android
¿Cuál sería el sentido de una contraseña wifi fácil de recordar? Después de todo, muy rara vez está conectando dispositivos. Simplemente use una buena contraseña aleatoria larga, como Lm, -TMzQ7cf \ 6. "OwhAnpqC *. - Hans-Peter Störr
Si tiene un conjunto estático de dispositivos que rara vez cambia, OK. Una de las personas tiene amigos con los gadgets que necesitan habilitar, y las contraseñas aleatorias son problemáticas aquí. (Puede haber otras soluciones, como una red de invitados, pero eso aún permitirá el acceso a invitados no invitados que quieran usar sus recursos) - davidgo
@hstoerr, en mi experiencia como usuario final y consultor empresarial, siempre he encontrado (casi) que las contraseñas complejas son molestas y finalmente descartadas. Necesitas una solución de compromiso. - Sopalajo de Arrierez
Tienes razón, @IQAndreas: es más memorable y más difícil de descifrar. Pero no es más fácil de escribir. Y, en mis pruebas con HashCat, solo para el modo más corto Yh2sa3c,aylt., durará un tiempo estimado de más de 10 años para la fuerza bruta (incluso utilizando una de las computadoras personales más rápidas que puede pagar hoy). - Sopalajo de Arrierez


Ninguna de las cosas que menciona (aparte de la contraseña de la red) realmente afecta la piratería de una red Wi-Fi. Por ejemplo, un filtro de dirección MAC y un SSID oculto no ayudan realmente en términos de seguridad.

Lo que realmente importa es el tipo de encriptación utilizado en la red. Las encriptaciones de red antiguas como WEP eran triviales porque con suficiente tráfico podías descifrarlas, y podrías obligarlas a generar el tráfico que necesitabas.

Sin embargo, los más nuevos como WPA2 son mucho más seguros. Ahora, nada es 'seguro' contra todos los adversarios, pero esto suele ser suficiente para el hogar con Wi-Fi.

Es un tema extenso, y esto solo toca la punta del iceberg, pero espero que ayude.


7





WEP y WPA1 / 2 (con WPS habilitado) pueden ser pirateados trivialmente; el primero usando IV capturados y el último con fuerza bruta PIN de WPS (solo 11,000 combos posibles, de un pin de 3 partes; 4 dígitos [10,000 posibles] + 3 dígitos [1,000 posibles] + suma de comprobación de 1 dígito [calculada del resto]) .

WPA1 / 2 es más difícil con una contraseña segura, pero el uso de agrietamiento GPU y una técnica de fuerza bruta puede reventar algunos de los más débiles.

Personalmente he descifrado WEP y WPS en mi red de trabajo (con permiso, estaba demostrando las vulnerabilidades a mis empleadores), pero aún no he logrado descifrar WPA.


6





Esta es una gran pregunta y las pautas para tener una conexión inalámbrica muy segura debería ser bien conocido. Configure su enrutador / puerta de enlace / AP para que:

  • la seguridad inalámbrica solo es WPA2
  • el cifrado es solo AES
  • utilizar una clave precompartida que contenga varias palabras (por ejemplo, IloveSuperUser)
  • deshabilitar WPS
  • desactivar la administración remota

¡Eso es! Para todos los propósitos prácticos, ahora tiene una conexión inalámbrica completamente segura.


5



@Jason Una pregunta inmediata; ¿Qué tienes contra los espacios? - deworde
@ryyker lo dije por motivos prácticos. - Jason
@deworde no, pero algunos routers baratos y gerentes de conexión sí. - Jason


En el Red de aprendizaje de Cisco foro, un hilo de arranque preguntó:

¿Se puede crackear WPA / TKIP? O alguien en mi casa de huéspedes usó 80 gigas de datos o alguien cercano rompió la contraseña y la usó. Sospecho que hay alguien en la casa de huéspedes porque me resulta difícil creer que WPA / TKIP se pueda descifrar e incluso si se puede descifrar no sería fácil de hacer. ¿Qué tan difícil es para romper WPA / TKIP? Deseo cambiar la contraseña para ellos de todos modos, ¿puedo usar - y _ y? ¿caracteres?

Un tipo obviamente muy inteligente llamado "Zach" hizo esta publicación que el thread-starter, aquí (y otros, aquí, también, si están interesados), debería leer.

En particular, lea desde aproximadamente dos tercios de su publicación, donde comienza con las palabras "Las soluciones:".

Estoy usando mi puerta de enlace "WPA-PSK (TKIP) / WPA2-PSK (AES)"ajuste. De acuerdo con esto de la publicación de Zach ...

Cambie el nombre de su enrutador a algo único. Su suplicante de wlan utiliza su ESSID como sal criptográfica sobre PMK. Cambiar esto eliminará los ataques de pre-computación.

... Hace tiempo que uso mi propio ESSID único. Además, de acuerdo con su ...

Cree una contraseña única que incorpore caracteres únicos, números, mayúsculas. palabras múltiples y letras minúsculas. Esto es más importante que la longitud. Aumentar la longitud de la contraseña solo aumentará la fuerza de las contraseñas, pero no es necesario que sea obscenamente   largo. La fuerza radica en varianza de potencial. Esto eliminará los ataques de diccionario y hará que la fuerza bruta sea imposible sin una súper computadora.

... el mío tiene 25 caracteres que consisten en letras, números, mayúsculas y minúsculas y caracteres especiales. Ninguna parte deletrea nada.

Hago muchas otras cosas que Zach hace y no enumera allí; pero además de lo anterior, y dijo otras cosas, y al menos el espíritu de lo que escribió aquí ...

Habilite el registro detallado y, de ser posible, reenvíelo a su correo electrónico.

... Hace mucho tiempo escribí un poco de código de scripting que se inicia automáticamente con el inicio de Windows, y simplemente se ejecuta en la bandeja del sistema; que codifica periódicamente, a lo largo del día, actualizaciones y luego analiza la página web en mi puerta de enlace que enumera todos los dispositivos conectados; y luego me dice a ambos como un pop-up-con-triple-beep-through-the-motherboard-speaker (no los parlantes de audio regulares, por si acaso están silenciados o algo así) en la computadora portátil de reemplazo de mi computadora portátil pantalla, y también a través de mensajes de texto a mi teléfono (que está en una bolsa en mi cinturón, o al menos nunca más de cinco pies de mí, 24/7/365), si algo nuevo ha aparecido.

Para aquellos sin esa habilidad, hay varias aplicaciones de tipo "quién está en mi WI-FI", algunas de ellas gratuitas. Una buena y simple es [este badboy] [3]. Simplemente inicie automáticamente con Windows, déjelo en la bandeja del sistema y dígale que "emita un pitido en un dispositivo nuevo" y tendrá algo similar a lo que hace mi secuencia de comandos (excepto que no le enviará un SMS). Sin embargo, al usar [una herramienta de secuencia de comandos simple] [5] puede hacer que se envíe un mensaje de texto o un correo electrónico a su teléfono cuando un nuevo dispositivo en la LAN hace que la aplicación emita un pitido.

Espero que ayude.


3



Al último párrafo de su respuesta le faltan dos enlaces. - Twisty Impersonator


Otra consideración para cualquier análisis de seguridad son los activos que necesitan protección y el valor de esos activos para el propietario y un posible atacante. Supongo que su inicio de sesión bancario, número de tarjeta de crédito y otras credenciales de inicio de sesión son probablemente la información más valiosa que pasa por una red doméstica y la mayor parte de esto debe estar cubierto por el cifrado TLS / SSL a través de una conexión https. Por lo tanto, parece que si usa una clave WPA2 en su enrutador wifi y se asegura de que su navegador use https siempre que sea posible (utilizando una herramienta como https de eff en cualquier lugar), es bastante seguro. (Un posible atacante tendría que tomarse la molestia de descifrar su clave WPA2 para tal vez Obtenga una contraseña que no cubra https o las páginas http que está explorando.


2