web-dev-qa-db-ja.com

ほとんどの愛好家が人々のWi-Fiネットワークを解読することは本当に可能ですか?

ほとんどの熱心なユーザーは(たとえ彼らがプロでなくても)よく知られている技術を使って平均的なホームルーターのセキュリティを突破することができますか?

基本的なセキュリティオプションは次のとおりです。

  • さまざまな暗号化方式による強力なネットワークパスワード
  • カスタムルーターアクセスパスワード
  • WPS
  • sSIDブロードキャストなし
  • MACアドレスフィルタリング

これらのいくつかは危険にさらされており、ホームネットワークをより安全にするために何をすべきですか?

157
kvhadzhiev

意味論を議論することなしに、そう言明は本当です。

WEP、WPA、WPA2など、WIFI暗号化には複数の規格があります。 WEPは危険にさらされているため、強力なパスワードを使用していてもWEPを使用していると、簡単に壊れることがあります。私はWPAをクラックするのはずっと難しいと思います(しかしこれを回避するWPSに関するセキュリティ問題があるかもしれません)、そして2017年10月現在、WPA2も疑わしいセキュリティを提供しています。また、かなり強力なパスワードでさえも強引にされる可能性があります - Moxie Marlinspike - よく知られているハッカー は、クラウドコンピューティングを使用して17ドルでこれを行うサービス を提供しています - それは保証されていませんが。

強力なルーターパスワードは、WIFI側の誰かがルーターを介してデータを送信するのを妨げるものではないため、無関係です。

隠されたネットワークは神話です - ネットワークがサイトのリストに表示されないようにするためのボックスがありますが、クライアントはWIFIルーターをビーコンし、その存在感は自明に検出されます。

既存のMACアドレスを複製してMACフィルタリングを迂回するように、多くの(ほとんどの/すべての)WIFIデバイスをプログラム/再プログラムできるため、MACフィルタリングは冗談です。

ネットワークセキュリティは大きな課題であり、スーパーユーザの質問には適していませんが、基本はセキュリティがレイヤで構築されているため、一部のセキュリティが侵害されてもそうではありません。セキュリティは実際には「ハッキングされる可能性がある」という問題ではなく、「ハッキングに要する時間」です。 WPAと安全なパスワードは "Joe Average"から保護します。

あなたがあなたのWIFIネットワークの保護を強化したいならば、あなたはそれをトランスポート層としてだけ見ることができて、そしてその層を横切るすべてを暗号化してフィルターにかけることができます。これは大多数の人にとってやり過ぎですが、これを行うことができる1つの方法はあなたの制御下で与えられたVPNサーバーへのアクセスのみを許可するようにルーターを設定することです。したがって、たとえWIFIが危険にさらされたとしても、他に[より困難な]敗北する層があります。この動作のサブセットは、大規模な企業環境では珍しいことではありません。

ホームネットワークをより安全に保護するためのより簡単な代替手段は、WIFIを完全に捨ててケーブル接続のソリューションのみを必要とすることです。あなたが携帯電話やタブレットのようなものを持っているならこれは実用的ではないかもしれません。この場合、ルーターの信号強度を下げることでリスクを軽減できます(確実に排除できません)。周波数漏れが少なくなるようにあなたの家をシールドすることもできます - 私はそれをしませんでした、しかし強い噂(研究された)はあなたの家の外側を横切るアルミニウムメッシュ(フライスクリーンのように)でも逃げる信号量との違い。 [もちろん、さようなら携帯電話のカバレッジ]

保護の面では、もう一つの選択肢はあなたのルーターにネットワークを通過するすべてのパケットをログに記録させることです(それが可能であれば、ほとんどはできませんが、openwrtを実行するルーターとトマト/ dd-wrtが可能です)。さまざまなインターフェースに出入りする合計バイト数の異常を監視しても、ある程度の保護は得られます。

結局のところ、「カジュアルなハッカーが自分のネットワークに侵入する時間を無駄にしないようにするにはどうすればいいのでしょうか」、または「自分のネットワークが危険にさらされることによる実際のコストは」です。そこから。迅速で簡単な答えはありません。

アップデート - 2017年10月

WPA2を使用しているほとんどのクライアントは、パッチが適用されていない限り、 "Key Reinstallation Attacks - KRACK" を使用して平文で公開することができます。これはWPA2標準の弱点です。 。特に、これはネットワークまたはPSKへのアクセスを、ターゲットとなるデバイスのトラフィックだけには与えません。

147
davidgo

他の人が言っているように、SSID隠蔽は破るのは簡単です。実際、SSIDをブロードキャストしていなくても、ネットワークはデフォルトでWindows 8ネットワークリストに表示されます。ネットワークはそれでもビーコンフレームを介してその存在をブロードキャストします。そのオプションがチェックされている場合は、ビーコンフレームにSSIDが含まれていません。 SSIDは既存のネットワークトラフィックから取得するのは簡単です。

MACフィルタリングもそれほど役に立ちません。それは一時的にWEPクラックをダウンロードしたスクリプトキディを遅くするかもしれません、しかし彼らがちょうど正当なMACアドレスを偽装することができるので彼らがしていることを知っている誰かを止めるつもりはないです。

WEPに関する限り、それは完全に壊れています。あなたのパスワードの強度は、ここではあまり重要ではありません。 WEPを使用している場合は、強力なパスキーを持っていても、だれでもすぐにネットワークに侵入するソフトウェアをダウンロードできます。

WPAはWEPよりもはるかに安全ですが、それでも破損していると見なされます。あなたのハードウェアがWPAをサポートするがWPA2をサポートしない場合、それは何もないよりはましですが、熱心なユーザーはおそらくそれを正しいツールでクラックすることができます。

WPS(無線保護設定)はネットワークセキュリティの悩みの種です。どのネットワーク暗号化テクノロジを使用しているかに関係なく、無効にします。

WPA2 - 特にAESを使用するバージョン - は非常に安全です。あなたがまともなパスワードを持っている場合、あなたの友人はパスワードを取得せずにあなたのWPA2の安全なネットワークに入ることはできません。さて、NSAがあなたのネットワークに侵入しようとしているのなら、それは別の問題です。それからあなたはちょうどあなたの無線を完全に消すべきです。そしておそらくあなたのインターネット接続とあなたのすべてのコンピュータも。十分な時間とリソースがあれば、WPA2(およびその他のもの)はハッキングされる可能性がありますが、あなたの平均的な趣味専門家が自由に使えるよりもはるかに長い時間とはるかに多くの機能が必要になるでしょう。

ダビデが言ったように、本当の質問は「これはハッキングされることができるか」ではありません。それどころか、「ハッキングするのに特定の機能のセットを持つ人がどれぐらいかかりますか」明らかに、その質問に対する答えは、その特定の機能セットが何であるかに関して大きく異なります。彼はまたセキュリティが層で行われるべきであることを絶対に正しいです。あなたが気にするものは、最初に暗号化されずにあなたのネットワークを越えて行くべきではありません。したがって、誰かがあなたのワイヤレスに侵入したとしても、おそらくあなたのインターネット接続を使用していることを除けば、彼らは意味のあるものに入ることができないはずです。安全である必要があるどんな通信でも、おそらくTLSまたはいくつかのそのようなPKIスキームを介して設定された強力な暗号化アルゴリズム(AESのような)をまだ使用するべきです。電子メールやその他の機密Webトラフィックが暗号化されていること、および適切な認証システムが設定されていない状態でコンピュータ上でサービス(ファイルやプリンタの共有など)を実行していないことを確認します。


2017年10月17日更新 - この回答は、最近[WPAとWPA2の両方に影響を及ぼす主要な新しい脆弱性が発見される前の状況を反映しています。 Key Reinstallation AttaCK(KRACK) は、Wi-Fi用のハンドシェイクプロトコルの脆弱性を利用します。面倒な暗号化の詳細(リンク先のWebサイトで読むことができます)に入ることなく、すべてのWi-Fiネットワークは、使用されている暗号化アルゴリズムに関係なく、パッチが適用されるまで壊れていると見なされます。

関連情報KRACKに関するその他の質問:
WPA2 KRACK攻撃の結果
VPNを購入できない場合、どうすればKRACKから身を守ることができますか?

52
reirab

このスレッドの他の回答は良いので、具体的な回答を要求している人(これはスーパーユーザーですか?)では、質問は次のように簡単に翻訳できると思います:「WiFiネットワークを安全にするために何を知っておくべきですか?」
他の答えを否定(確認もなし)せずに、これは私の短い答えです:

暗号学者のブルースシェニエの言葉は、多くのユーザーが覚えておく価値のあるアドバイスです。

唯一の本当の解決策は、電源コードを抜くことです。

多くの場合、これはwireless networksに適用できます。常に機能する必要がありますか?
多くのルーターにはWiFiボタンがあり、D-Link DSL-2640Bなど)
そうでない場合は、常に-iMacros などのツールを使用して、ワイヤレスのWebの有効化/無効化を自動化できます。 Firefoxまたはスタンドアロンプ​​ログラムとして)Windowsで、その他の多くはLinuxで。

WPA(ください、forget WEP)パスワード(agood WPA passwordは攻撃を非常に困難にします)作成(デフォルトのパスワードを保持しない):

  1. nonexistentおよび/または外来語を使用します。SilbeasterStallonarius、Armorgeddon、HomecitusSapiensante(簡単な辞書を使用してそれらを見つけることはできないため)。
  2. (少なくともあなたにとって)覚えやすい独自の文を作成し、各Wordの最初の文字を使用してパスワードを定義します。結果はhard-to-crack(8文字以上)であるが、easy to rememberを含むパスワード大文字と小文字numbersおよびその他のnon-alphabetic文字:
    「あなたには2人の息子と3人の猫がいて、彼らを愛しています。」 ->「Yh2sa3c、aylt。」

そして、神のために:disable WPS今すぐ!完全に 欠陥 です。

14

あなたが(ネットワークパスワードを除いて)あなたが言及したことのどれも、本当にWi-Fiネットワークのハッキングに影響を与えません。 MACアドレスフィルタや隠されたSSIDとしては、セキュリティの面では役に立ちません。

本当に重要なのは、ネットワークで使用されている暗号化タイプです。 WEPのような古いネットワーク暗号化は、十分なトラフィックがあるとそれらをデコードでき、必要なトラフィックを生成するように強制することができるため、簡単に破られます。

しかしWPA2のような新しいものははるかに安全です。今、すべての敵に対して「安全」であるものは何もありませんが、これは通常自宅のWi-Fiには十分です。

それは大きな話題です、そしてこれは氷山の一角にだけ触れます、しかし、うまくいけばそれは助けになります。

7
Sirex

WEPとWPA1/2(WPSを有効にした状態)は簡単にハッキングできます。前者は捕獲されたIVを使い、後者はWPS PIN総当り(3パートのピンから、11,000の可能なコンボ、4桁の[10,000可能] + 3桁の[1,000可能] + 1桁のチェックサム[残りから計算された])。

WPA1/2は強力なパスワードでより困難になりますが、GPUクラッキングとブルートフォース技術を使用すると、弱いものの一部を破綻させる可能性があります。

私は自分の仕事用ネットワークでWEPとWPSを個人的にクラックしました(許可を得て、私は雇用主にこの脆弱性を実証していました)が、WPAをクラックすることには成功していません。

6
hanetzer

これは大きな問題で、非常に安全な無線を持つためのガイドラインはよく知られているはずです。次のようにルーター/ゲートウェイ/ APを設定します。

  • 無線セキュリティはWPA2のみ
  • 暗号化はAESのみです
  • 複数の単語を含む事前共有キーを使用する(例:IloveSuperUser)
  • wPSを無効にする
  • リモート管理を無効にする

それでおしまい!すべての実用的な目的のためにあなたは今完全に安全な無線を持っています。

5
Jason

Cisco Learning Networkフォーラムで、スレッドスターターは次のように質問しました。

WPA/TKIPは解読できますか?私のゲストハウスの誰かが80ギグのデータを使い果たしたか、近くにいる誰かがパスワードを解読して使用しました。私はWPA/TKIPがクラックされる可能性があり、たとえそれがクラックされる可能性があってもそれをするのは簡単ではないと信じるのは難しいと思うので、私はゲストハウスの誰かを疑います。 WPA/TKIPをクラックするのは、たとえそれが仮にあればどれほど難しいのでしょうか。とにかくパスワードを変更したいのですが、 - と_を使用できますか。キャラクター?

"Zach"という名前の明らかに非常に頭の良い仲間が この投稿を作成しました これがスレッドスターター、ここ(そして他の人たちも、ここでも、もし興味があれば読むべきです。

特に、投稿の約3分の2のところから読んでください。そこでは、 "The solutions:"という単語で始まります。

ゲートウェイの "WPA-PSK(TKIP)/ WPA2-PSK(AES)"設定を使用しています。 Zachの投稿のこれに沿って...

ルーターの名前を一意の名前に変更してください。あなたのESSIDはあなたのwlanサプリカントによってPMK上の暗号ソルトとして使われます。これを変更すると、事前計算攻撃が排除されます。

...私は長い間自分のユニークなESSIDを使ってきました。さらに、彼のことに合わせて...

固有の文字、数字、大文字を含む固有のパスワードを作成してください。複数の単語と小文字。これは長さよりも重要です。 パスワードの長さを増やしてもパスワードの強度は増すだけですが、卑猥な長さである必要はありません。強さは潜在性の分散.にあります。これは辞書攻撃を排除し、スーパーコンピュータなしではブルートフォースを不可能にします。

...私のは、文字、数字、大文字と小文字、および特殊文字からなる25文字です。その一部は何も綴っていません。

私はZachがすることとそこでは列挙しないことの両方を他にもいくつか行います。しかし、上記に加えて、そして他のことを言った、そして少なくとも彼がここに書いたものの精神で...

詳細なログ記録を有効にし、可能であればそれをあなたのEメールに転送します。

...私はずっと前に、Windowsの起動時に自動起動し、システムトレイで実行されるようなスクリプトコードを少し書きました。このコードは、1日を通して定期的にハードリフレッシュしてから、接続されているすべてのデバイスをリストした私のゲートウェイのWebページを解析します。そして、それは私のデスクトップ交換用ラップトップコンピュータの3倍ビープ音付きマザーボードスピーカー(通常のオーディオスピーカーではなく、それらがミュートされているか何かのために)と私に両方を教えてくれます何か新しいものが現れた場合は、画面上に、そしてまた私の携帯電話へのテキスト(これは私のベルトのポーチに入っているか、少なくとも私から5フィート以上離れていない)のどちらかである。

そのスキルを持っていない人のために、そこにはいくつかの "誰が私のWI-FIにいる"タイプのアプリがあり、それらのいくつかは無料です。簡単で良いものは[この悪者] [3]です。 Windowsで自動起動し、システムトレイに置いて、「新しいデバイスでビープ音を鳴らす」ように指示するだけで、スクリプトが実行するのと似たようなものになります(SMS]_ 君は)。ただし、[簡単なスクリプト作成ツール] [5]を使用すると、LAN上の新しいデバイスがビープ音を鳴らすときにSMSまたは電子メールを電話に送信させることができます。

それが役立つことを願っています。

3
Gregg DesElms

疑わしい

私はdavidgoの答えに同意しません。それはよく研究されていて、私は彼の情報の大部分に同意しますが、それは少し悲観的だと思います。

他の答えで既にカバーされたWPA2に脆弱性があります。しかし、これらのどれも避けられないです。

特に、davidgoによって言及された総当たり攻撃はMS-CHAPv2の脆弱性に対する攻撃です。引用作者の参考文献を参照してください。[ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v​​2/ ]。 Ms-CHAPが使用されていない場合、この弱点を悪用することはできません。 (作者からのコメントに基づいて削除されました - 誤った参照)

正しいパスフレーズ、SSID、および妥協したテクノロジの回避により、AES256を使用したWPA2で保護されたネットワークが現時点で安全ではない理由はわかりません。そのようなネットワークへの総当たり攻撃は実行可能ではありません、そしてMoxy Marlinspikeさえこれを示唆します。

しかし、私がdavidgoの回答に同意するところは、ほとんどのユーザーがこれらの努力をしないということです。私は自分のホームネットワークが悪用される可能性があることを知っています、そして私はそれをどのように修正するかを知っていますが、それは私の時間と努力の価値がないだけです。

2
timbo

セキュリティ分析に対するもう1つの考慮事項は、保護が必要な資産、およびそれらの資産の所有者および潜在的な攻撃者に対する価値です。あなたの銀行のログイン、クレジットカード番号、その他のログイン資格情報は、おそらくホームネットワークを経由する最も価値のある情報であり、そのほとんどはhttps接続を介したTLS/SSL暗号化でカバーされるべきだと思います。あなたがあなたのwifiルーターでWPA2キーを使っていて、ブラウザが可能なときはいつでもhttpsを使うことを確かめているように(それはどこでもeffのhttpsのようなツールを使って)、あなたはかなり安全です。 (潜在的な攻撃者はあなたのWPA2キーをクラックしてたぶんhttpsやhttpのページを超えないようにパスワードを取得する必要があるでしょう。閲覧中です。

2
user119824