Как защитить wifi – Protect: защита соединений Wi-Fi. Помощь

Содержание

Как защитить свою Wi-Fi-сеть и роутер

Расскажу историю, которая до сих пор продолжается у одного интернет-провайдера в моём городе. Однажды, зайдя к другу, я попросил у него доступ к Wi-Fi. Сеть сохранилась в смартфоне. Находясь в другом районе города, я вдруг обнаружил, что снова подключился к Wi-Fi друга. Как такое возможно? Оказывается, интернет-провайдер устанавливал одно и то же имя сети и пароль на все роутеры, которые выдавались абонентам при подключении. Прошёл не один год, а у меня по-прежнему бесплатный Wi-Fi почти в каждом дворе. Логин и пароль для доступа к роутерам, кстати, тоже одинаковые. 🙂

Естественно, я сообщил другу о забавном открытии и перенастроил его роутер. Уверены ли вы, что не находитесь в аналогичной ситуации?

Чем опасен несанкционированный доступ к вашему Wi-Fi и роутеру

Представьте, что злоумышленник подключился к вашему Wi-Fi, скачал несколько гигабайт детской порнографии и разместил пару сотен экстремистских и прочих «разжигательных» сообщений. Договор на оказание интернет-услуг оформлен на вас, и спрашивать за нарушение закона, соответственно, будут тоже с вас.

Даже если подключившийся не будет совершать противоправных действий, он может сутками качать и раздавать большие файлы (в том числе нелегальный контент с торрент-трекеров), что скажется на скорости и стабильности вашего интернет-соединения. Сеть полна историй с халявным соседским Wi-Fi. Быть может, вы тоже являетесь тем добрым соседом?

Ситуация, когда посторонний человек знает логин и пароль к самому роутеру, включает в себя все перечисленные выше риски, а также добавляет несколько новых.

Например, шутник попросту меняет пароль к Wi-Fi и вы лишаетесь доступа к интернету. Он может изменить пароль к роутеру, и вам придётся производить сброс к заводским настройкам и заново всё настраивать (либо вызывать специалиста, если нет соответствующих навыков), чтобы вернуть контроль над своим оборудованием. Также сброс настроек может выполнить и сам шутник.

Абсолютной защиты нет, но она вам и не нужна

Существует множество способов взлома сетей. Вероятность взлома прямо пропорциональна замотивированности и профессионализму взламывающего. Если вы не нажили себе врагов и не обладаете какой-то сверхценной информацией, то вряд ли вас будут целенаправленно и усердно взламывать.

Чтобы не провоцировать случайных прохожих и охочих до халявы соседей, достаточно закрыть элементарные дыры в безопасности. Встретив малейшее сопротивление на пути к вашему роутеру или Wi-Fi, такой человек откажется от задуманного либо выберет менее защищённую жертву.

Предлагаем вашему вниманию минимальный достаточный набор действий с Wi-Fi-роутером, который позволит вам не стать объектом злых шуток или чьей-то халявной точкой доступа.

1. Получите доступ к своему Wi-Fi роутеру

Первым делом необходимо взять под контроль собственный роутер. Вы должны знать:

  • IP-адрес роутера,
  • логин и пароль для доступа к настройкам роутера.

Чтобы узнать IP-адрес роутера, переверните устройство и посмотрите на наклейку снизу. Там, помимо прочей информации, будет указан IP. Обычно это либо 192.168.1.1, либо 192.168.0.1.

Также адрес роутера указывается в руководстве пользователя. Если коробка с инструкцией от роутера не сохранилась, то найти руководство пользователя в электронном виде поможет Google.

Вы можете самостоятельно узнать адрес роутера с компьютера.

  1. В Windows нажмите сочетание клавиш Windows + R.
  2. В появившемся окне введите cmd и нажмите Enter.
  3. В появившемся окне введите ipconfig и нажмите Enter.
  4. Найдите строку «Основной шлюз». Это и есть адрес вашего роутера.

Введите полученный IP-адрес роутера в браузере. Перед вами появится страница входа в настройки роутера.

Здесь необходимо ввести логин и пароль, которые вы должны знать. В большинстве случаев по умолчанию логином является слово admin, а паролем — либо пустое поле, либо тоже admin (логин и пароль по умолчанию также указаны в нижней части роутера). Если роутер достался от интернет-провайдера, то звоните ему и выясняйте.

Без возможности изменить настройки вы фактически лишаетесь контроля над собственным оборудованием. Даже если придётся выполнить сброс настроек роутера и заново всё настроить, оно того стоит. Чтобы избежать проблем с доступом к роутеру в будущем, запишите логин и пароль и храните их в надёжном месте без доступа для посторонних.

2. Придумайте надёжный пароль для доступа к роутеру

Получив доступ к роутеру, первым делом необходимо изменить пароль. Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. В этом деле, а также при выполнении последующих действий по улучшению защиты вам поможет руководство пользователя для вашего роутера.

3. Придумайте уникальное имя (SSID) для Wi-Fi-сети

Если ваши соседи совсем ничего не понимают в технологиях, то название сети вроде fsbwifi или virus.exe может их отпугнуть. На самом деле уникальное имя поможет вам лучше ориентироваться среди прочих точек доступа и однозначно идентифицировать свою сеть.

4. Придумайте надёжный пароль для Wi-Fi-сети

Создав точку доступа без пароля, вы фактически сделаете её общедоступной. Надёжный пароль не позволит подключиться к вашей беспроводной сети посторонним людям.

5. Сделайте вашу Wi-Fi-сеть невидимой

Вы снизите вероятность атаки на вашу сеть, если её нельзя будет обнаружить без специального программного обеспечения. Скрытие имени точки доступа повышает безопасность.

6. Включите шифрование

Современные роутеры поддерживают различные методы шифрования данных, передаваемых по беспроводной сети, в том числе WEP, WPA и WPA2. WEP уступает прочим по надёжности, зато поддерживается старым оборудованием. WPA2 является оптимальным с точки зрения надёжности.

7. Отключите WPS

WPS создавался как упрощённый способ создания беспроводных сетей, но на деле оказался крайне неустойчивым к взлому. Отключите WPS в настройках роутера.

8. Включите фильтрацию по MAC-адресам

Настройки роутеров позволяют фильтровать доступ к сети по уникальным идентификаторам, называемым MAC-адресами. У каждого устройства, имеющего сетевую карту или сетевой интерфейс, есть свой MAC-адрес.

Вы можете создать список MAC-адресов доверенных устройств, либо запретить подключение устройствам с конкретными MAC-адресами.

При желании злоумышленник может подделать MAC-адрес устройства, с которого он пытается подключиться к вашей сети, но для обыкновенной бытовой беспроводной точки доступа такой сценарий крайне маловероятен.

9. Уменьшите радиус сигнала Wi-Fi

Роутеры позволяют изменять мощность сигнала, увеличивая и уменьшая таким образом радиус действия беспроводной сети. Очевидно, что вы пользуетесь Wi-Fi только внутри квартиры или офиса. Понизив мощность передачи до значения, когда сигнал сети уверенно принимается только в пределах помещения, вы, с одной стороны, сделаете свою сеть менее заметной для окружающих, а с другой стороны, уменьшите количество помех для соседских Wi-Fi.

10. Обновите прошивку роутера

Не существует идеальных технологий. Умельцы находят новые уязвимости, производители их закрывают и выпускают «заплатки» для существующих устройств. Периодически обновляя прошивку своего роутера, вы понижаете вероятность того, что злоумышленник воспользуется недоработками старых версий программного обеспечения для обхода защиты и доступа к вашему роутеру и сети.

11. Заблокируйте удалённый доступ к роутеру

Даже если вы защитите свою беспроводную сеть и вход в настройки роутера паролями, злоумышленники всё равно смогут получить доступ к маршрутизатору через интернет. Чтобы обезопасить устройство от подобного вмешательства извне, найдите в настройках функцию удалённого доступа и отключите её.

12. Файрвол

Некоторые маршрутизаторы имеют встроенный файрвол — средство защиты от различных сетевых атак. Поищите в настройках безопасности роутера функцию с названием вроде Firewall, «Брандмауэр» или «Сетевой экран» и включите её, если она присутствует. Если увидите дополнительные параметры файрвола, почитайте в официальной инструкции, как их настроить.

13. VPN

VPN-сервисы создают нечто вроде шифрованного туннеля для безопасной передачи данных между устройством и сервером. Эта технология снижает вероятность кражи личной информации и затрудняет попытки найти местоположение пользователя.

Чтобы использовать VPN, нужно установить на гаджет специальную программу-клиент. Такое ПО существует для мобильных устройств и компьютеров. Но некоторые роутеры тоже можно подключать к VPN-сервисам. Такая функция позволяет защитить сразу все гаджеты в локальной Wi-Fi-сети, даже если на них нет специальных программ.

Поддерживает ли ваш маршрутизатор VPN, вы можете узнать в инструкции или на сайте производителя. Это же касается необходимых настроек.

lifehacker.ru

Как защитить сети Wi-Fi

При работе в сети со слабым шифрованием ваши данные могут перехватить злоумышленники. Если вы подключаетесь к домашней сети и получаете сообщение о слабом шифровании, измените тип шифрования на более надежный. Распространенные типы шифрования беспроводных сетей: WEP, TKIP, WPA, WPA2 (AES/CCMP).

Главное отличие между ними — уровень защиты. Мы рекомендуем WPA2, так как он самый надежный из предлагаемых.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

Для примера мы показываем настройку роутера TP-Link TL-WR841N. Чтобы изменить тип шифрования беспроводной сети:

  1. Введите IP-адрес роутера в адресную строку браузера. Вы попадете на страницу авторизации к настройкам роутера. IP‑адрес роутера указан на задней стороне устройства и в руководстве пользователя.
  2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
  3. На странице настроек роутера перейдите в раздел 
    Беспроводной режим → Защита беспроводного режима
    (Wireless → Wireless Security).
  4. Выберите WPA/WPA2 — Personal.
  5. В поле Версия (Authentication Type) выберите WPA2-PSK.
  6. В поле Шифрование (Encryption) выберите AES.
  7. Нажмите Сохранить (Save).

Шифрование сети Wi-Fi будет включено.

support.kaspersky.ru

Защита домашней сети WiFi от взлома. Повышаем безопасность по максимуму!

Современные реалии жизни диктуют свои правила — нам  приходится запирать жилище, ставить противоугонные системы на автомобили и иной транспорт, а так же защищать своё имущество от посягательств из вне любыми доступными способами. Домашняя сеть и информация, которая по ней передаётся — это тоже имущество, пусть и виртуальное, но в защите оно нуждается не менее, чем материальное. Если Вы не обеспечили безопасность сети Вай-Фай, то весьма рискуете получить массу ненужных проблем. Во-первых,  злоумышленники могут получить доступ к данным на Вашем компьютере, в том числе личной переписке, сканированным документам и платёжным данным. Во-вторых, если сеть WiFi взломают, то без Вашего ведома в Интернет может рассылаться любая информация. Хорошо если взломщик будет просто сёрфить по сайтам, скачивая фильмы и музыку. А вот если он начнёт отправлять спам или размещать посты экстремистского содержания, то Вы имеете все шансы в один прекрасный день повстречать на своём пороге сотрудников полиции. Да и вообще, сомневаюсь, что кому-либо будет приятно осознавать что к его роутеру можно подключаться кто угодно и делать всё, что заблагорассудится. В рамках этой статьи я рассмотрю несложные, но действенные шаги с помощью которых можно не только защитить домашнюю сеть WiFi, но и сделать её практически неприступной для посторонних. 

1. Установка шифрования и пароля на WiFi

В отличие от других, перечисленных ниже способов защиты, этот — является основным главным правилом при настройке роутера. Закрывать доступ к Вай-Фай с помощью пароля сейчас надо обязательно. Делается это в разделе «Настройка безопасности» или «Wireless Security»:

В поле «Сетевая аутентификация» (Security Version) выбираем значение WPA2-PSK. Именно стандарт WPA2 на сегодняшний день является самым надёжным к взлому из существующих. Предыдущий — WPA — не просто устарел, он ещё и ограничивает скорость передачи данных, т.к. не поддерживает значения выше 54 Мбит/с. К паролю надо тоже отнестись очень серьёзно — чем сложнее и длиннее он будет, тем надёжнее защита сети. Не используйте тот, что был уставлен по умолчанию или написан на корпусе роутера. Придумайте лучше свой и не короче 8 (а лучше 10) символов. При этом обязательно используйте не только буквы, но и цифры, и спецсимволы — @,#,$,%,& и т.п.

2. Отключение технологии WPS

Это так же один из важных шагов для обеспечения безопасности своего Вай-Фай. Дело в том, что эта удобная по свой сути технология стала ахилесовой пятой беспроводных сетей за счёт имеющихся в ней уязвимостей, позволяющих вскрыть даже WPA2. Поэтому в обязательном порядке необходимо отключить WPS на роутере!

3. Отключение транслирования имени SSID

Практически каждый современный беспроводной маршрутизатор позволяет скрыть идентификатор SSID, благодаря чему раздаваемая им беспроводная сеть не отображается в списке доступных у клиентов. В остальном она будет работать как обычно. Для подключения к ней надо будет только вручную вводить имя сети.

Чтобы это сделать, надо в Основных настройках поставить галочку «Скрыть точку доступа» или «Hide SSID».

4. Включение  фильтрации MAC-адресов

С помощью этой функции, которая есть на каждом современном маршрутизаторе, Вы сможете самостоятельно вручную ограничить круг устройств, которые могут подключаться к сети WiFi. Фильтрация будет осуществляться по уникальному идентификатору сетевых карт клиентов — MAC-адресам, которые предварительно Вы должны будете внести в список разрешенных:

Те клиенты, которые в этот список не попадут — не смогут подключиться, даже зная ключ шифрования WPA2.

5. Организация гостевой сети

Если к Вашей сети подключается много разных устройств (друзья, родственники, соседи и т.п.), то есть смысл создать для них отдельную гостевую сеть. Многие современные роутеры имеют такую функцию:

При этом гостевой доступ по умолчанию полностью изолирован от локальной сети и Вы можете не волноваться за то, что кто-то из гостей получит доступ к Вашей информации.

6. Смена пароля на доступ к настройкам маршрутизатора

В обязательном порядке при настройке роутера Вы должны сменить пароль на вход в веб-интерфейс со стандартного admin или 1234 на любой иной, более сложный. Делается это в разделе меню «Система» или «Управление»(Management), подраздел «Пароль администратора»(Administrator Password):

Хорошенько запомните этот пароль и никому постороннему его не сообщайте. Если вдруг забудете, то восстановить его никак не получится. Только делать полный сброс настроек роутера с помощью кнопки «Reset».

Примечание:
Приведённые выше 6 несложных шагов позволять Вам максимально обезопасить себя и защитить свой WiFi на весьма высоком уровне. Если же и этого Вам показалось мало, то можно сделать ещё одну хитрость. В параметрах локальной сети LAN отключите DHCP-сервер:

Благодаря этому шагу клиенты не будут автоматически получать адреса, а вынуждены будут указывать их вручную. А дальше просто меняем у роутера используемую подсеть. Для этого просто меняем его IP-адрес:

То есть вместо стандартного 192.168.1.1 или 192.168.0.1 будет использоваться тот, который Вы укажете. Например, как на скриншоте — 192.168.213.1. Вы должны понимать, что на подключенных клиентах надо будет так же изменить ай-пи на новую подсеть.

nastroisam.ru

проникновение и защита. 1) Матчасть / Habr

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

Но сначала — матчасть.
Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.


Именно так работает базовая авторизация HTTP (Auth Basic):
AuthType Basic
AuthName "My super secret zone!"
AuthUserFile /home/.htpasswd
Require valid-user 

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

Authorization: Basic YWRtaW46cGFzcw==

То есть исходное:
echo -n 'admin:pass' | base64
# YWRtaW46cGFzcw==

У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно!

Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут.


Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек. И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).
OPEN

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна.

В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего. Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip — что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP — первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy («эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми. Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля. Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть.

На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов).

Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]».

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.


WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении. Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS, он же Qikk aSS QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Атака на WPS будет рассмотрена во второй части.

p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

habr.com

Как защитить домашний wi-fi роутер от взлома

Евгений не поставил пароль на вайфай в своей квартире. Зачем заморачиваться? Пароль можно забыть. А то, что соседи могут пользоваться, — не жалко, всё равно интернет безлимитный.

Николай Кругликов

юный хакер

Так думает Евгений, и он крупно ошибается. Разберемся, почему открытый интернет дома — плохая идея и чем это может вам грозить.

Прослушивание

Точки доступа без пароля еще называют открытыми, и дело тут не только в пароле. В таких точках данные по вайфаю передаются без шифрования, в открытом виде. Поскольку вайфай — те же радиоволны, перехватить трафик очень легко: достаточно настроить антенну на нужную частоту и вы услышите всё, что передается между роутером и компьютером. Без пароля на роутере вы просто транслируете на всю округу, что вы сейчас делаете в интернете.

Если вы сидите на порносайте, любой ваш сосед сможет узнать, какой именно ролик вы смотрите. Если отправляете письмо, с большой вероятностью его можно будет перехватить в момент отправки. Если у вас «Вконтакте» без шифрования, то любой сосед сможет прочитать ваши личные сообщения.

Герои фишинга

Как не попасться на удочку хакеров

Вайфай без пароля легко прослушать

Как защититься. Нужно поставить пароль на вайфай. Конечно, соединения с некоторыми сайтами шифруются с помощью HTTPS, а еще можно включить VPN, и всё же гораздо надежнее защитить сразу весь канал связи.

Упражнение: ставим пароль на вайфай

  1. Откройте браузер и введите в адресную строку цифры 192.168.0.1. Если ничего не произошло, попробуйте 192.168.1.1 и 10.0.0.1. Появится окошко с полями для логина и пароля.
  2. Введите логин admin и пароль admin. Если не подошли — посмотрите стандартный пароль в инструкции к роутеру. Скорее всего, это что-то простое. Иногда логин и пароль написаны прямо на корпусе роутера.
  3. Найдите на странице ссылку с надписью Wi-Fi или Wireless. Откроется экран, где можно поменять пароль.

Если ничего не получается, вызовите мастера. Задача мастеру — запаролить ваш вайфай.

Установите для вайфая пароль длиной не менее десяти символов из цифр и букв. Пароль 12​345​678 — то же, что отсутствие пароля.

Все инструкции рассчитаны на домашний роутер. На работе или в кафе они вряд ли сработают, потому что сетевые администраторы отключают доступ к настройкам роутера для посторонних

Возможно, в настройках будет несколько вариантов шифрования. В каждом роутере разный набор опций, поэтому выберите вариант, наиболее похожий на WPA2-PSK (AES). Это самый надежный на сегодняшний день протокол шифрования. В сочетании с хорошим паролем он даст вам максимальную возможную защиту.

Надежный протокол шифрования — это важно. Плохой протокол, как и плохой пароль, облегчает взлом. Например, устаревший протокол WEP можно взломать за несколько часов.

Выбор алгоритма шифрования в настройках роутера. WPA2-PSK — лучший вариант из этого набора

Убедитесь, что у вас выключен WPS. Эта технология позволяет подключаться к роутеру по пину из восьми цифр. К сожалению, после массового внедрения WPS выяснилось, что он крайне небезопасен: нужно всего 10 часов, чтобы взломать соединение даже с самым надежным протоколом. Настройки WPS где-то там же, где и настройки вайфая.

Манипуляции с настройками роутера

Когда хакеры подключаются к вашему вайфаю, они получают доступ к панели управления роутером и могут перенастроить его на свой лад. Чтобы влезть в ваш роутер, достаточно просто подключиться к вайфаю — находиться в квартире необязательно. Какой-нибудь пакостный школьник может ковыряться в настройках вашего роутера прямо сейчас.

Обычно попасть в настройки роутера не так просто: нужно ввести логин и пароль. Но у большинства людей на роутере стоят стандартные логин и пароль — admin / admin. Если вы не меняли эту настройку специально, велика вероятность, что любой хакер сможет влезть в роутер.

Получив доступ к панели управления, хакеры легко проведут атаку посредника: сделают так, чтобы между вами и сайтом стоял зловредный сервис, который ворует пароли. Например, по адресу tinkoff.ru будет открываться не настоящий, а поддельный сайт, который будет отправлять им всё, что вы вводите. Вы даже не узнаете, что попали на зловредный сервис: он будет выглядеть в точности как настоящий интернет-банк и даже пустит вас по вашему логину и паролю. Но при этом логин и пароль окажутся у хакеров.

Роутер со стандартными настройками легко перенаправить на поддельный сайт

Как защититься. Смените в настройках роутера стандартный пароль администратора на свой. Он должен быть не менее надежным, чем пароль от вайфая, и при этом должен быть другим.

Удаленный доступ

Хакеры редко интересуются конкретно вами, если вы не топ-менеджер крупной компании. Чаще обычные люди попадают под автоматизированные атаки, когда хакерская программа ищет потенциальных жертв и пытается применить стандартный алгоритм взлома.

В некоторых роутерах есть возможность подключаться к веб-интерфейсу из внешней сети — то есть зайти в настройки роутера можно из любого места, где есть интернет, а не только из дома.

Это значит, что на ваш роутер могут напасть не только пакостливые школьники. Атака может происходить не целенаправлено: просто какой-нибудь хакер в Перу сканирует определенный диапазон адресов на предмет открытых роутеров. Его программа видит ваш роутер. Подключается. Хакер даже не знает, кто вы и где вы — он просто настраивает переадресацию и возвращается к своим делам. И в его хакерскую программу падает ваш логин от Фейсбука, например.

Хакеры в кафе

Как защититься от сетевых хулиганов в общественных местах

Хакеры совершают автоматизированные атаки на роутеры,
в которых разрешен удаленный доступ

Как защититься. Проверьте, включена ли функция удаленного доступа в вашем роутере. Она часто есть в устройствах, которые дают провайдеры связи. Провайдерам удаленный доступ нужен для дела: так им проще помогать пользователям с настройкой сети. Тем не менее провайдеры могут оставить в веб-интерфейсе пароль по умолчанию, что делает вас легкой добычей хакерских программ.

Если вы можете зайти в веб-интерфейс со стандартными логином и паролем admin / admin, обязательно поменяйте пароль и запишите его. Когда провайдер будет настраивать ваш роутер удаленно, просто скажите, что поменяли пароль из соображений безопасности, и продиктуйте его оператору.

Как правильно: надежный пароль

Инструкция по защите роутера

  1. Поставьте на вайфай надежный пароль.
  2. Смените стандартный пароль администратора.
  3. Если роутер не от провайдера, отключите удаленный доступ.
  4. Если не знаете, как это всё сделать, вызовите компьютерного мастера, которому вы доверяете.

journal.tinkoff.ru

Как защитить вай фай от других. Как защитить свой Wi-Fi

Думаете если ваш домашний WiFi защищен надежным паролем это избавит вас от «халявщиков». Спешу вас разочаровать. Это не совсем так. Каков бы крут не был ваш пароль – риск подключения третьих лиц весьма велик.

Как в России любят халяву, мне вам объяснять не нужно). Именно она и рождает так много гениальных идей. Если для одних такая идея хорошо, то для других может стать настоящей головной болью.

Чем может обернуться отсутствие защиты беспроводного соединения?

Здесь все зависит от фантазии «халявщика». В одном случае это безобидное использованием трафика, в другом – доступ к вашим данным, как самого компьютера, так и интернет ресурсов (почты, социальных сетей и пр.)

Как обезопасить домашний WiFi от подключения третьих лиц?

На самом деле, взломать можно что угодно, но соблюдение элементарных норм безопасности, может очень надолго отбить подобное желание и уж точно не стать жертвой любителя. Рассмотрим два простых способа. Первый и наиболее очевидный, который я настоятельно рекомендую, это правильная настройка роутера, второй – использование специальных программ.

Настройка роутера
Главная уязвимость wifi – это протокол wps . Если он не задействован, то беспокоится практически не о чем. С другой стороны, если его нельзя отключить, то все остальное — это полумеры для вашего самоуспокоения.

а) Задействуйте для шифрования алгоритм WPA2 . Конечно, можно взломать и wpa2 , но ресурсы и затраченное на это время несоизмеримы с целью. Поэтому, если вы не агент спецслужб, кому это надо. Если ваше устройство не поддерживает данную технологию, то подумайте дважды, ведь под угрозой безопасность домашней сети.

б) Используйте надежный пароль . О важности надежного пароля я написал целую книгу, забрать которую можно , кроме этого, рекомендую прочитать статью . Как правило, доступ к настройкам роутера можно получить введя в адресной строке браузера 192.168.1.1 , где имя пользователя/пароль → admin и 1234 соответственно. Такие пароли взламываются в считанные секунды. Используйте комбинацию хотя бы из 8 символов (цифры, буквы, знаки).

c) Скрываем имя сети (Скрыть SSID). Этот пункт не является обязательным, так как считается малоэффективным, но и не будет лишним. В настройках роутера выберите пункт «Скрыть SSID». Это «имя» вашей сети, которое мы видим, сканируя пространство в поисках WiFi сетей. Зная имя можно подключиться к той или иной WiFi сети. В свойствах беспроводной сети (вкладка «подключение») выберете следующие настройки.

Ну, и напоследок — для параноиков поклонников тотальной безопасности: можно настроить сеть так, чтобы доступ был только у определённых устройств, а остальные, даже прошедшие 2 предыдущих уровня, всё равно в сеть не допускались. Для этого есть фильтры по МАС-адресам устройств.

Названия разделов и опций у разных роутеров и точек доступа – разные, но смысл остаётся тем же.

Второй способ → это использование специальных программ, как пример утилита . Программа создана в помощь обладателям домашних хотспотов WiFi, которые хотят контролировать подключение сторонних устройств. Программа работает под Windows, Mac OS X и Linux.

Программа отображает список задействованных устройств. Зеленый цвет → разрешенный/знакомые устройства, красный → незнакомые.

Общие рекомендации . Старайтесь не пользоваться «общим доступом» к папкам, файлам и принтерам, а если и открываете его — закрывайте сразу же, как только в нем не будет необходимости. Кстати, проверить это можно так: панель управления → центр управления сетями и общим доступом.

Wi-Fi стал настолько популярным, что наличие роутера является скорее правилом, чем исключением. Но, несмотря на все удобства, следует учесть, что видна и другим. Удостоверьтесь сами, сколько в вашем доме отображается доступных подключений. Вряд ли одно или два, обычно их количество достигает десятка и более. Так же и соседи могут видеть вашу сеть среди других доступных.

Мало кто хочет, чтобы посторонние пользователи получили доступ к личной беспроводной сети

Но при несоблюдении определённых мер предосторожности к вашему подключению смогут подсоединяться посторонние. Чем это чревато? Как минимум потерей скорости интернета. Вы не будете получать полную скорость своего канала связи, если кто-то подключится к нему за ваш счёт. Но куда опаснее ситуация, если к вашему Wi-Fi подключится злоумышленник, который может воспользоваться передаваемыми данными в своих интересах.

Чтобы не подвергаться такому риску, необходимо ограничить доступ к своему Вай-Фай. Ниже читайте рекомендации, как это можно осуществить.

Доступ к интернету для конкретного перечня устройств

Что такое mac-адрес и как его узнать

Каждому сетевому у

offlink.ru

10 советов для безопасности беспроводной сети

Предлагаем вашему вниманию список из 10 рекомендаций для малого и среднего бизнеса, разработанных специалистами научно-исследовательского центра Института программной инженерии Карнеги-Меллон (Software Engineering Institute, SEI), которые помогут вам на базовом уровне усилить защиту своей сети WiFi, заставив хакеров ретироваться и искать в другом месте более удобные цели для своих атак.

Совет № 1. Используйте безопасные WiFi-маршрутизаторы бизнес-класса

 

Безопасность беспроводной сети начинается с выбора беспроводного маршрутизатора, который способен обеспечить строгое следование всем требованиям по безопасности и необходимой вам функциональности. Роутеры для дома и бизнеса отличаются, поэтому убедитесь, что выбранная модель полностью отвечает всем вашим конкретным бизнес-требованиям. WiFi-маршрутизатор бизнес-класса предоставляет расширенные возможности конфигурации и пропускной способности, а также обеспечивает поддержку VLAN (Virtual Local Area Network, логическая локальная компьютерная сеть), нескольких SSID (Service Set Identifier, уникальное наименование беспроводной сети), встроенного VPN и многое другое.

Совет № 2. Ограничьте доступ к маршрутизаторам

Это кажется очевидным, но у многих компаний их WiFi-роутеры установлены там, где физический доступ к ним имеют все сотрудники компании, а в ряде случаев — и гости. Опасность подобных ошибок проектной команды заключается в том, что простое нажатие кнопки сброса настроек (RESET) вернет маршрутизатор к заводским настройкам и, тем самым, позволит обойти любые меры безопасности, которые вы ранее на нем установили. Поэтому для безопасности беспроводных сетей позаботьтесь о том, чтобы физический доступ к маршрутизатору имел только персонал, уполномоченный для работы с ним.

Совет № 3. Следите за своевременными обновлениями прошивок и программного обеспечения

 

Убедитесь, что у вас всегда установлено самое последнее обновление прошивки ваших беспроводных маршрутизаторов. Также вам необходимо проконтролировать обновление программного обеспечения безопасности любого из устройств, имеющих доступ к вашей корпоративной сети WiFi. В зависимости от систем, которые у вас развернуты, вы можете автоматизировать этот очень важный для безопасности беспроводной сети процесс. Автоматизация обновлений — это, как правило, лучший вариант для такого рода задач, так как ваша защита перестанет зависеть от человеческого фактора. Таким образом, вы своевременно обеспечите защиту WiFi сети от любых новых уязвимостей, которые уже обнаружены или могут появиться в используемых вами аппаратных или программных решениях.

Совет № 4. Используйте WPA2 или WPA2 enterprise

Корпоративная версия WPA2 предоставит вам больше контроля, так как вы можете задавать индивидуальные имена пользователей и пароли для всех ваших сотрудников, использующих ваш WiFi. Это потребует от вас настройку вашего собственного сервера. Но даже если у вас не хватает опыта или ресурсов для этого, подобные услуги могут быть отданы на аутсорсинг. Таким образом, ваша беспроводная сеть WiFi будет защищена с помощью WPA2 enterprise, а всеми техническими аспектами займется аутсорсинг-провайдер.

Смотрите по теме: WPA2-Enterprise. Как создать безопасную Wi-Fi-сеть

Совет №5. Отключите возможность администрирования через беспроводное соединение на ваших маршрутизаторах

Конечно, осуществлять беспроводное администрирование маршрутизатора гораздо удобней, но, оставляя включенной опцию «Admin Via Wireless», вы тем самым обеспечиваете злоумышленникам более доступный им физически и потенциально опасный путь к вашей сетевой инфраструктуре. Когда эта функция отключена, только пользователи, напрямую подключенные к вашему маршрутизатору через кабель Ethernet, смогут получить доступ к функциям администратора.

Совет № 6. Настройте private доступ для сотрудников и public доступ для гостей

Таким образом вы разделите вашу сеть на две отдельные точки доступа. Хорошо защищенная и настроенная корпоративная точка доступа будет доступна только вашим сотрудникам для выполнения их рабочих задач, в то время как ваши клиенты и гости для получения беспроводного доступа в Интернет смогут воспользоваться публичной точкой доступа. Это устранит возможность случайного или намеренного доступа гостей к вашей системе, в том числе и к конфиденциальной информации, а также обезопасит ваш корпоративный трафик от прослушивания.

Совет № 7. Регулярно осуществляйте мониторинг всех точек доступа WiFi в зоне действия вашей беспроводной сети

Чтобы защитить беспроводную сеть wi-fi очень важно вовремя выявлять и пресекать все попытки осуществить несанкционированные беспроводные соединения. Регулярный мониторинг вашей беспроводной сети позволит вам своевременно выявлять мошеннические точки доступа, расположившиеся на вашей территории или в непосредственной близости от нее. Выполнение этих проверок также позволит вам узнать, не пытается ли кто-либо их ваших сотрудников осуществить подключение несанкционированной точки доступа в вашей контролируемой зоне. С задачами осуществления такого контроля за вашей беспроводной сетью, в том числе почти мгновенного обнаружения поддельных точек доступа или несанкционированных точек доступа с высокой точностью определения их физического местоположения отлично справится специализированное ПО и оборудование.

Совет № 8. Используйте подключение по VPN (Virtual Private Network, виртуальная частная сеть)

Наличие VPN-подключения даст вам несколько дополнительных функций безопасности беспроводной сети. Одной из наиболее важных является возможность защитить WiFi сеть за пределами контролируемой зоны вашего бизнеса. Будь то попытка доступа к вашей сети WiFi из зоны, физически находящейся за пределами контролируемой территории, либо осуществление любого другого соединения, которому вы не можете полностью доверять, — используйте VPN для маскирования своего реального интернет-трафика, чтобы он не мог быть обнаружен и перехвачен хакерами, когда вы или ваши сотрудники находитесь вне зоны вашего офиса.

Совет № 9. Используйте оригинальное имя сети и сложный пароль

Используя часто встречаемый или созвучный SSID вы упрощаете хакерам задачу взлома вашей сети. Сделаете его необычным. Кроме того, при выборе пароля для беспроводной сети многие компании поступают крайне опрометчиво. Так, согласно опросу, проведенному компанией Preempt Security, специализирующейся на информационной безопасности, более 35% компаний сегмента малого бизнеса имеют слабые, легко взламываемые пароли по сравнению с менее чем пятью процентами для более крупных предприятий. Таким образом, чтобы защитить вашу корпоративную сеть WiFi от взлома, обязательно выберите надежный сетевой пароль и регулярно меняйте его.

Совет № 10. Используйте политику безопасности, которая действенно работает

Реализация всех вышеприведенных рекомендаций, безусловно, увеличит безопасность вашей беспроводной сети, но без строгой и действенной политики безопасности все ваши усилия по защите сети WiFi окажутся бесполезными. Каждый ваш сотрудник должен четко понимать и нести ответственность за то, как он распоряжается корпоративной сети WiFi, а также использует системные ресурсы и чувствительные для бизнеса компании данные вне офиса. Разглашение информации о пароле доступа, добавление несанкционированных устройств, посещение сомнительных сайтов, открытие электронных писем от неизвестных источников и другие рискованные действия любого из ваших сотрудников могут полностью нивелировать все ваши усилия по обеспечению информационной безопасности. Периодически (хотя бы один раз в квартал) напоминайте вашей рабочей команде о корпоративной политике безопасности, объясняйте им последствия ее нарушения, а также постоянно прикладывайте усилия к приобщению всех сотрудников компании к сотрудничеству в этом вопросе.

 

Мне нужна консультация. Свяжитесь со мной.

Смотрите также:

wifi-solutions.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *