Dapatkah sebagian besar pengguna yang antusias (bahkan jika mereka bukan profesional) menggunakan teknik terkenal untuk menembus keamanan rata-rata router rumah?
Beberapa opsi keamanan dasar adalah:
- kata sandi jaringan yang kuat dengan berbagai metode enkripsi
- kata sandi akses router kustom
- WPS
- tidak ada siaran SSID
- Penyaringan alamat MAC
Apakah beberapa di antaranya dikompromikan dan apa yang harus dilakukan untuk membuat jaringan rumah lebih aman?
wireless-networking
router
security
kvhadzhiev
sumber
sumber
Jawaban:
Tanpa berdebat semantik, ya pernyataan itu benar.
Ada beberapa standar untuk enkripsi WIFI termasuk WEP, WPA dan WPA2. WEP dikompromikan, jadi jika Anda menggunakannya, bahkan dengan kata sandi yang kuat, itu bisa rusak sepele. Saya percaya bahwa WPA jauh lebih sulit untuk ditembus (tetapi Anda mungkin memiliki masalah keamanan terkait dengan WPS yang memintas ini), dan pada Oktober 2017, WPA2 juga menawarkan keamanan yang dipertanyakan. Selain itu, bahkan kata sandi yang cukup sulit pun dapat dipaksakan - Moxie Marlinspike - seorang peretas terkenal menawarkan layanan untuk melakukan ini sebesar US $ 17 menggunakan komputasi awan - meskipun tidak dijamin.
Sandi router yang kuat tidak akan melakukan apa pun untuk mencegah seseorang di sisi WIFI mentransmisikan data melalui router, sehingga tidak relevan.
Jaringan tersembunyi adalah mitos - sementara ada kotak untuk membuat jaringan tidak muncul dalam daftar situs, klien menyalakan suar router WIFI sehingga keberadaannya terdeteksi dengan mudah.
Penyaringan MAC adalah lelucon karena banyak (sebagian besar / semua?) Perangkat WIFI dapat diprogram / diprogram ulang untuk mengkloning alamat MAC yang ada dan memotong penyaringan MAC.
Keamanan jaringan adalah subjek yang besar, dan bukan sesuatu yang dapat diterima untuk pertanyaan Superuser, tetapi dasar-dasarnya adalah bahwa keamanan dibangun berlapis-lapis sehingga meskipun beberapa dikompromikan tidak semua - juga, sistem apa pun dapat ditembus dengan waktu, sumber daya yang cukup. dan pengetahuan, jadi keamanan sebenarnya bukan pertanyaan "bisa diretas", tapi "berapa lama" untuk diretas. WPA dan kata sandi yang aman melindungi dari "Joe Average".
Jika Anda ingin meningkatkan perlindungan jaringan WIFI Anda, Anda dapat melihatnya sebagai lapisan transport saja, dan mengenkripsi dan memfilter semua yang melintasi lapisan itu. Ini berlebihan bagi sebagian besar orang, tetapi satu cara Anda bisa melakukan ini adalah dengan mengatur router agar hanya mengizinkan akses ke server VPN tertentu di bawah kendali Anda, dan mengharuskan setiap klien untuk mengautentikasi melintasi koneksi WIFI melintasi VPN - jadi bahkan jika WIFI dikompromikan ada lapisan [sulit] lain untuk dikalahkan. Subset dari perilaku ini tidak biasa di lingkungan perusahaan besar.
Alternatif yang lebih sederhana untuk mengamankan jaringan rumah adalah dengan membuang WIFI sama sekali dan hanya membutuhkan solusi kabel. Jika Anda memiliki hal-hal seperti ponsel atau tablet, ini mungkin tidak praktis. Dalam hal ini Anda dapat mengurangi risiko (tentu saja tidak menghilangkannya) dengan mengurangi kekuatan sinyal router Anda. Anda juga dapat melindungi rumah Anda sehingga frekuensi bocor lebih sedikit - Saya belum melakukannya, tetapi desas-desus yang kuat (diteliti) mengatakan bahwa bahkan jaring aluminium (seperti layar terbang) melintasi bagian luar rumah Anda, dengan landasan yang baik dapat membuat besar perbedaan dengan jumlah sinyal yang akan lolos. [Tapi, tentu saja, jangkauan ponsel bye-bye]
Di depan perlindungan, alternatif lain mungkin untuk mendapatkan router Anda (jika itu mampu melakukannya, kebanyakan tidak, tapi saya bayangkan router menjalankan openwrt dan mungkin tomat / dd-wrt bisa) untuk mencatat semua paket yang melintasi jaringan Anda dan mengawasi - Neraka, bahkan hanya memantau anomali dengan total byte masuk dan keluar dari berbagai antarmuka bisa memberi Anda tingkat perlindungan yang baik.
Pada akhirnya, mungkin pertanyaan yang ingin diajukan adalah "Apa yang harus saya lakukan untuk menjadikannya tidak sepadan dengan waktu hacker biasa untuk menembus jaringan saya" atau "Berapa biaya sebenarnya dari jaringan saya yang dikompromikan", dan pergi dari sana. Tidak ada jawaban yang cepat dan mudah.
Pembaruan - Okt 2017
Sebagian besar klien menggunakan WPA2 - kecuali ditambal - dapat memiliki lalu lintas mereka terbuka di plaintext menggunakan "Key Reinstallation Attacks - KRACK" - yang merupakan kelemahan dalam standar WPA2. Khususnya, ini tidak memberikan akses ke jaringan, atau PSK, hanya untuk lalu lintas perangkat yang ditargetkan.
sumber
Seperti yang orang lain katakan, persembunyian SSID itu sepele untuk dilanggar. Bahkan, jaringan Anda akan muncul secara default di daftar jaringan Windows 8 bahkan jika itu tidak menyiarkan SSID-nya. Jaringan tetap menyiarkan keberadaannya melalui frame suar; itu hanya tidak termasuk SSID dalam bingkai suar jika opsi itu dicentang. SSID sepele untuk diperoleh dari lalu lintas jaringan yang ada.
Pemfilteran MAC juga tidak terlalu membantu. Mungkin sebentar memperlambat script kiddie yang mengunduh celah WEP, tapi itu pasti tidak akan menghentikan siapa pun yang tahu apa yang mereka lakukan, karena mereka hanya bisa menipu alamat MAC yang sah.
Sejauh menyangkut WEP, itu benar-benar rusak. Kekuatan kata sandi Anda tidak terlalu penting di sini. Jika Anda menggunakan WEP, siapa pun dapat mengunduh perangkat lunak yang akan masuk ke jaringan Anda dengan cukup cepat, bahkan jika Anda memiliki kunci pas yang kuat.
WPA secara signifikan lebih aman daripada WEP, tetapi masih dianggap rusak. Jika perangkat keras Anda mendukung WPA tetapi tidak WPA2, itu lebih baik daripada tidak sama sekali, tetapi pengguna yang gigih mungkin dapat memecahkannya dengan alat yang tepat.
WPS (setup yang dilindungi nirkabel) adalah kutukan keamanan jaringan. Nonaktifkan apa pun teknologi enkripsi jaringan yang Anda gunakan.
WPA2 - khususnya versi yang menggunakan AES - cukup aman. Jika Anda memiliki kata sandi yang layak, teman Anda tidak akan masuk ke jaringan aman WPA2 Anda tanpa mendapatkan kata sandi. Sekarang, jika NSA mencoba masuk ke jaringan Anda, itu masalah lain. Maka Anda harus mematikan nirkabel Anda sepenuhnya. Dan mungkin koneksi internet Anda dan semua komputer Anda juga. Dengan cukup waktu dan sumber daya, WPA2 (dan apa pun) dapat diretas, tetapi kemungkinan akan membutuhkan lebih banyak waktu dan kemampuan lebih banyak daripada yang dimiliki oleh penggemar rata-rata Anda.
Seperti yang David katakan, pertanyaan sebenarnya bukanlah 'Bisakah ini diretas?' tetapi, lebih tepatnya, "Berapa lama waktu yang dibutuhkan seseorang dengan serangkaian kemampuan khusus untuk meretasnya?" Jelas, jawaban untuk pertanyaan itu sangat bervariasi berkenaan dengan apa itu seperangkat kemampuan tertentu. Dia juga benar sekali bahwa keamanan harus dilakukan berlapis-lapis. Hal-hal yang Anda pedulikan tidak boleh melalui jaringan Anda tanpa dienkripsi terlebih dahulu. Jadi, jika seseorang membobol nirkabel Anda, mereka seharusnya tidak dapat masuk ke sesuatu yang berarti selain menggunakan koneksi internet Anda. Setiap komunikasi yang perlu aman harus tetap menggunakan algoritma enkripsi yang kuat (seperti AES,) yang mungkin diatur melalui TLS atau skema PKI semacam itu. Pastikan email Anda dan lalu lintas web sensitif lainnya dienkripsi dan Anda tidak
Pembaruan 17 Okt 2017 - Jawaban ini mencerminkan situasi sebelum penemuan baru-baru ini dari kerentanan baru yang mempengaruhi WPA dan WPA2. The Key Ulang menyerang (krack) mengambil keuntungan dari kerentanan dalam protokol handshaking untuk Wi-Fi. Tanpa masuk ke detail kriptografi yang berantakan (yang dapat Anda baca di situs web yang ditautkan), semua jaringan Wi-Fi harus dianggap rusak hingga ditambal, terlepas dari algoritma enkripsi apa yang mereka gunakan.
Pertanyaan InfoSec.SE terkait tentang KRACK:
Konsekuensi dari serangan KRACK WPA2
Bagaimana saya bisa melindungi diri dari KRACK ketika saya tidak mampu membeli VPN?
sumber
Karena jawaban lain pada utas ini baik, saya pikir, bagi mereka yang meminta jawaban konkret (yah ... ini SuperUser, bukan?), Pertanyaannya dapat dengan mudah diterjemahkan sebagai: "Apa yang harus saya ketahui untuk membuat saya Jaringan WiFi aman? " .
Tanpa meniadakan (atau mengkonfirmasi) jawaban lain, ini adalah jawaban singkat saya:
Kata-kata dari cryptologist Bruce Schenier bisa menjadi saran berharga bagi banyak pengguna untuk diingat:
Ini sering dapat diterapkan pada jaringan nirkabel : apakah kita terus-menerus membutuhkannya berfungsi?
Banyak router memiliki tombol WiFi untuk mengaktifkan / menonaktifkan nirkabel, seperti D-Link DSL-2640B .
Jika tidak, Anda selalu dapat mengotomatiskan web yang mengaktifkan / menonaktifkan nirkabel dengan menggunakan alat-alat seperti iMacros (tersedia sebagai ekstensi untuk Firefox atau sebagai program mandiri) di Windows dan banyak lainnya di Linux.
Dan berikut adalah dua trik untuk kata sandi WPA (tolong, lupakan WEP ) ( kata sandi WPA yang baik akan membuat serangan menjadi sangat sulit) pembuatan ( jangan simpan kata sandi default ):
"Anda memiliki dua putra dan 3 kucing, dan Anda menyukainya. " -> "Yh2sa3c, aylt."
Dan, demi Tuhan: nonaktifkan WPS sekarang juga! Benar-benar cacat .
sumber
Yh2sa3c,aylt., itu akan bertahan waktu perkiraan lebih dari 10 tahun untuk bruteforce (bahkan menggunakan salah satu komputer pribadi tercepat yang Anda mampu hari ini).Tidak ada hal yang Anda sebutkan (selain dari kata sandi jaringan) yang benar-benar memengaruhi peretasan jaringan Wi-Fi. Karena filter alamat MAC dan SSID tersembunyi tidak melakukan apa pun untuk membantu dalam hal keamanan.
Yang penting adalah tipe enkripsi yang digunakan pada jaringan. Enkripsi jaringan yang lebih lama seperti WEP sepele untuk dipecahkan karena dengan lalu lintas yang cukup Anda dapat mendekodekannya, dan Anda bisa memaksa mereka untuk menghasilkan lalu lintas yang Anda butuhkan.
Namun, yang lebih baru seperti WPA2 jauh lebih aman. Sekarang, tidak ada yang 'aman' terhadap semua musuh, tetapi ini biasanya cukup untuk Wi-Fi rumah.
Ini adalah topik besar, dan ini hanya menyentuh ujung gunung es, tapi mudah-mudahan ini membantu.
sumber
WEP dan WPA1 / 2 (dengan WPS diaktifkan) dapat diretas sepele; yang pertama dengan menggunakan IV yang ditangkap dan yang terakhir dengan bruteforce WPS PIN (hanya 11.000 kombo yang memungkinkan, dari pin 3 bagian; 4 digit [10.000 dimungkinkan] + 3 digit [1.000 dimungkinkan] + 1 digit checksum [dihitung dari yang lain]) .
WPA1 / 2 lebih keras dengan kata sandi yang kuat, tetapi menggunakan cracking GPU dan teknik bruteforce dapat menghancurkan beberapa yang lebih lemah.
Saya secara pribadi telah meretas WEP dan WPS di jaringan kerja saya (dengan izin, saya menunjukkan kerentanan pada majikan saya), tetapi saya belum berhasil memecahkan WPA.
sumber
Ini adalah pertanyaan yang bagus, dan pedoman untuk memiliki nirkabel yang sangat aman harus diketahui. Konfigurasikan router / gateway / AP Anda sehingga:
Itu dia! Untuk semua tujuan praktis, kini Anda memiliki nirkabel yang benar-benar aman.
sumber
Di forum Cisco Learning Network , seorang pemula bertanya:
Orang yang sangat cerdas bernama "Zach" membuat posting ini yang seharusnya dibaca oleh pemula-di sini (dan yang lainnya, di sini, jika mereka tertarik), harus membaca.
Secara khusus, baca dari sekitar dua pertiga dari jalan postingnya, di mana ia mulai dengan kata-kata "Solusi:".
Saya menggunakan pengaturan " WPA-PSK (TKIP) / WPA2-PSK (AES) " gateway saya . Sesuai dengan ini dari posting Zach ...
... Saya sudah lama menggunakan ESSID unik saya sendiri. Selain itu, sesuai dengan ...
... mine adalah 25 karakter yang terdiri dari huruf, angka, huruf besar dan kecil, dan karakter khusus. Tidak ada bagian dari mantra itu apa pun.
Saya melakukan beberapa hal lain yang dilakukan Zach dan tidak disebutkan di sana; tetapi di samping di atas, dan mengatakan hal-hal lain, dan setidaknya semangat dari apa yang dia tulis di sini ...
... Saya dulu menulis sedikit kode scripting yang diluncurkan secara otomatis dengan startup Windows, dan hanya berjalan di system tray; kode mana yang secara berkala, sepanjang hari, di-refresh dan kemudian mem-parsing halaman web di gateway saya yang mencantumkan semua perangkat yang terhubung; dan kemudian memberitahu saya keduanya sebagai pop-up-dengan-triple-beep-through-the-motherboard-speaker (bukan speaker audio biasa, kalau-kalau mereka diredam atau sesuatu) di komputer laptop pengganti desktop saya layar, dan juga melalui teks ke ponsel saya (yang baik di kantong di ikat pinggang saya, atau setidaknya tidak pernah lebih dari lima kaki dari saya, 24/7/365), jika ada sesuatu yang baru muncul.
Bagi mereka yang tidak memiliki keterampilan itu, ada beberapa jenis aplikasi "siapa yang menggunakan WI-FI" di luar sana, beberapa di antaranya gratis. Yang bagus dan sederhana adalah [badboy ini] [3]. Mulai saja secara otomatis dengan Windows, diamkan di baki sistem, dan kirim ke "bip pada perangkat baru" dan Anda akan memiliki sesuatu yang mirip dengan apa yang dilakukan skrip saya (kecuali itu tidak akan mengirim SMS kepada Anda). Namun, dengan menggunakan [alat skrip sederhana] [5] Anda dapat mengirim SMS atau email ke telepon Anda ketika perangkat baru di LAN membuat aplikasi berbunyi bip.
Semoga itu bisa membantu.
sumber
Pertimbangan lain untuk analisis keamanan apa pun adalah aset yang perlu dilindungi, dan nilai aset tersebut untuk pemilik dan penyerang potensial. Saya menduga bahwa login perbankan Anda, nomor kartu kredit, dan kredensial login lainnya mungkin merupakan informasi paling berharga yang melewati jaringan rumah dan sebagian besar dari ini harus dilindungi oleh enkripsi TLS / SSL melalui koneksi https. Jadi sepertinya jika Anda menggunakan kunci WPA2 di router wifi Anda, dan pastikan browser Anda menggunakan https kapan pun memungkinkan (menggunakan alat seperti https eff di mana-mana), Anda agak aman. (Seorang penyerang potensial harus pergi ke masalah retak kunci WPA2 Anda untuk mungkin mendapatkan kata sandi yang tidak melampaui https atau halaman http yang Anda jelajahi.)
sumber
Diragukan .
Saya tidak setuju dengan jawaban davidgo. Sementara itu diteliti dengan baik dan saya setuju dengan sebagian besar informasinya, saya pikir itu sedikit pesimis.
Ada kerentanan dalam WPA2 yang sudah tercakup dalam jawaban lainnya. Namun tak satu pun dari ini tidak dapat dihindari.
Secara khusus, perlu dicatat bahwa serangan brute force yang disebutkan oleh davidgo adalah serangan terhadap kelemahan pada MS-CHAPv2. Lihat referensi penulis yang dikutip [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Jika Ms-CHAP tidak digunakan, kelemahan ini tidak dapat dieksploitasi.(dihapus berdasarkan komentar dari penulis - referensi salah)Dengan frasa lulus yang benar, SSID dan menghindari teknologi yang dikompromikan, saya tidak melihat alasan mengapa jaringan yang diamankan WPA2 menggunakan AES256 tidak akan aman saat ini. Serangan brute force pada jaringan seperti itu tidak layak, dan bahkan Moxy Marlinspike menyarankan ini.
Namun, di mana saya setuju dengan respons davidgo adalah bahwa sebagian besar pengguna tidak melakukan upaya ini. Saya tahu bahwa jaringan rumah saya sendiri dapat dieksploitasi, dan meskipun saya tahu cara memperbaikinya, itu tidak sepadan dengan waktu dan usaha saya.
sumber