Gutako gehienok inoiz ez dugu inoiz kezkatu behar norbaitek Wi-Fi sarea pirateatzen duen bitartean; besterik ez al da zertan zaila entzule batek pertsona baten WiFi sarea hackeatzea? Gaurko SuperUser Q & A postak irakurle batek Wi-Fi sarearen segurtasunari buruzko galderak erantzun ditu.
Gaurko Galdera eta Erantzuna saioa SuperUser-ek eskaintzen du: Stack Exchange-ren azpiegiturak, Q&A webguneen komunitateko taldekatzea.
Brian Klug-en (Flickr) argazkilarien adeitasuna.
Galdera
SuperUser irakurgailua Sec-ek jakin nahi du ea posible den zaletu gehienek Wi-Fi sareak haustea:
Konfiantzazko segurtasun informatikoko aditu batek entzun nuen zale gehienek (profesionalak ez badira ere) Internetetik eta software espezializatuko gidetatik bakarrik erabiltzen dutela (hau da, Kali Linux sartutako tresnekin), zure etxeko bideratzailearen segurtasuna apurtu daitekeela.
Jendeak esan dezake posible dela:
- Sareko pasahitz sendo bat
- Router pasahitz sendo bat
- Ezkutuko sarea
- MAC iragazkia
Mitoa den ala ez jakin nahi dut. Bideratzaileak pasahitz eta MAC iragazpen indartsuak baditu, nola alda daiteke hori (indar lausoa erabiltzen dut dudarik gabe)? Edo ezkutuko sarea bada, nola hauteman dezakete eta posible bada, zer egin dezakezu etxeko sarea benetan segurua izan dadin?
Informatika juniorreko ikasle gisa, gaizki sentitzen naiz batzuetan zaletuek nirekin eztabaidatzen baitute horrelako gaiekin eta ez dut argudio sendorik edo ezin dut teknikoki azaldu.
Posible al da, eta hala bada, zein dira puntu entzuleak entzule batek arreta jarriko dion Wi-Fi sare batean?
Erantzuna
SuperUser-eko laguntzaileek, David eta Reirab-ek erantzuna dute. Lehendabizi gora, David:
Semantika argudiatu gabe, bai, baieztapena egia da.
Wi-Fi enkriptatzeko arau ugari daude WEP, WPA eta WPA2 barne. WEP arriskuan dago, beraz, erabiltzen baduzu ere, pasahitz sendo batekin, huts egin daiteke. Uste dut WPA eta WPA2 askoz ere zailagoak direla haustea (baina segurtasun arazoak izan ditzakezu WPS-rekin lotura dutenak). Pasahitz gogorrak nahiko arrazoizkoak izan daitezke. Moxy Marlispike, ezagun hacker batek hodeiko informatika erabiliz 30 dolar inguru egiteko zerbitzua eskaintzen du, baina ez dago ziurtatuta.
Router pasahitz sendo batek ez du ezer egingo Wi-Fi aldean norbait ibilgailuaren bidez datuak igortzea eragozteko, beraz ez du garrantzirik.
Ezkutuko sare bat mitoa da. Guneen zerrendan sare bat ez agertzeko koadroak dauden arren, bezeroek WIFI bideratzailea markatzen dute eta, beraz, bere presentzia hutsala hautematen da.
MAC iragaztea txantxa bat da (gehien / gehienak?) Wi-Fi gailuak programatu / berriro programatu daitezke lehendik dagoen MAC helbidea klonatzeko eta MAC iragazkia saihesteko.
Sareen segurtasuna gai handia da, eta ez da SuperUser galderarako gai. Oinarriak dira segurtasuna geruzetan eraikita dagoela, batzuk arriskuan egon arren, guztiak ez direla. Gainera, edozein sistema sar daiteke denbora, baliabide eta ezagutza nahikoa emanez; beraz, segurtasuna ez da hainbeste “hackatu daitekeen” galdera, baina “zenbat denbora beharko du” hackatzeko. WPA eta pasahitz segurua babesten ditu “Joe Batez”.
Wi-Fi sarearen babesa hobetu nahi baduzu, garraio geruza gisa bakarrik ikus dezakezu, ondoren zifratu eta iragazi geruza horretan zehar doan guztia. Jende gehiegirentzat gehiegizkoa da hau, baina bide bakarra router hau zure kontrolpean dagoen VPN zerbitzari batera sartzeko baimena ematea izango litzateke, eta bezero bakoitzak WiFi konexioaren bidez autentikatzea exijitzea. VPN. Horrela, Wi-Fi arriskuan badago ere, beste geruza zailagoak daude garaitzeko. Jokabide horren azpimultzoa ez da batere ohikoa ingurune korporatibo handietan.
Etxeko sare bat hobeto ziurtatzeko alternatiba sinpleagoa da Wi-Fi erabat hustea eta kable bidezko soluzioak soilik behar izatea. Telefono mugikorrak edo tabletak bezalako gauzak baldin badituzu, agian ez da praktikoa. Kasu honetan arriskuak arindu ditzakezu (zalantzarik ez ezabatzea) zure bideratzailearen seinalearen indarra murriztuz. Zure etxea ere ezkutu dezakezu zure maiztasunak gutxiago galtzen duelako. Ez dut hori egin, baina zurrumurru gogorrak (ikertu ditu) zure etxearen kanpoaldean lurrezko maleta ere (euli pantaila bezalakoa) lurrean onik ateratzen duen seinale kopuruak izugarrizko diferentzia eragin dezake. Baina, jakina, telefono mugikorreko estaldura.
Babes-aurrealdean, beste alternatiba bat izan daiteke zure bideratzailea lortzea (hori egiteko gai baldin bada, gehienak ez dira, baina imajinatuko nuke bideratzaileak openwrt exekutatzen ari direla eta, seguru asko, tomate / dd-wrt ahal izango dituztela) zure sarean barrena ibiltzen diren pakete guztiak erregistratzeko. begiratuz. Interfaze ugarirekin eta kanpoko byte osoak dituzten anomalien jarraipena egiteak babes maila ona eman lezake.
Azkenean, beharbada, egin beharreko galdera da “Zer egin behar dut hackerren denborak nire sarean sartzeko merezi ez izan dezan?” edo “Zein da nire sarea arriskuan egotearen kostua?”, eta hortik abiatuta. Ez dago erantzun azkar eta errazik.
Reirab-en erantzuna jarraituz:
Beste batzuek esan dutenez, SSID ezkutatzea hutsala da apurtzeko. Izan ere, zure sarea berez agertzen da Windows 8 sareko zerrenda, bere SSIDa igortzen ez bada ere. Sareak edonoiz erakusten du beacon marken bidez; Aukera hau markatzen bada, ez du SSID baliza markoan sartzen. SSID hutsala da lehendik dagoen sare trafikoari esker.
MAC iragaztea ere ez da oso lagungarria. WEP crack bat deskargatu duen script kiddie moteldu liteke, baina ez da zertan ari den dakien inor geldituko, MAC helbidea legitimo bat besterik ez baitute huts egiten.
WEPari dagokionez, erabat hautsita dago. Pasahitzaren indarrak ez du garrantzi handirik hemen. WEP erabiltzen ari bazara, edonork deskargatu dezake zure sarera nahiko azkar apurtuko den softwarea, nahiz eta pasahitz sendoa eduki.
WPA WEP baino askoz ere seguruagoa da, baina hautsita dagoela uste da. Zure hardwarea WPA onartzen badu, baina ez WPA2, ezer baino hobea da, baina erabiltzaile determinatuek tresna egokiarekin zatikatu dezakete.
WPS (Wireless Protected Setup) sareko segurtasunaren oztopoa da. Desgaitu ezazu erabiltzen ari zaren sareko enkriptazio teknologia edozein dela ere.
WPA2, bereziki AES erabiltzen duen bertsioa, nahiko segurua da. Beherako pasahitza baduzu, zure laguna ez da zure WPA2 babestutako sarean sartuko pasahitza eskuratu gabe. Orain, NSA zure sarera sartzen saiatzen ari bada, hori beste kontu bat da. Orduan, haririk gabe erabat itzali beharko zenuke. Eta seguruenik zure Interneteko konexioa eta ordenagailu guztiak ere. Denbora eta baliabideak nahikoa denez, WPA2 (eta beste edozein gauza) piratekatu ahal izango dira, baina litekeena da zure batez besteko hobbyak baino askoz ere denbora gehiago eta gaitasun gehiago beharko dituela.
Davidek esan zuen bezala, benetako galdera ez da “Hau hackatu daiteke?”, Baizik eta “Zenbat denbora beharko du gaitasun multzo jakin bat duen norbait hackeatzeko?”. Jakina, galdera horren erantzuna asko aldatzen da gaitasun multzo jakin hori zein den. Erabat zuzena da segurtasuna geruzetan egin behar dela. Gustatzen zaizun gauza ez litzateke zure sarea zeharkatzen lehen zifratuta egon gabe. Beraz, norbaitek zure haririk gabe apurtzen badu, ezingo luke Interneteko konexioa erabiltzeaz gain. Seguru egon behar duen edozein komunikaziok oraindik enkriptazio algoritmo sendo bat erabili behar du (AES bezala), seguru asko TLS bidez edo PKI eskemaren bidez konfiguratuta. Ziurtatu zure posta elektronikoa eta beste edozein web trafiko sentikorra enkriptatuta dagoela eta ez duzula ordenagailuetan zerbitzurik erabiltzen (fitxategiak edo inprimagailuak partekatzeko), zure autentifikazio sistema egokirik gabe.
Azalpenari zerbait gehitu behar al diozu? Iruzkinetan desaktibatuta. Beste teknologia-aditu batzuen erantzun gehiago irakurri nahi duzu? Ikusi hemen eztabaidaren hari osoa.