Domanda:
C'è un modo per rendere inattaccabile un AP protetto da WEP?
Snake Eyes
2015-07-05 17:43:35 UTC
view on stackexchange narkive permalink

Per alcuni giorni ho avuto la sensazione che la mia bolletta di Internet stesse esplodendo. Poi, di recente ho scoperto che un ragazzo vicino a casa mia stava accedendo al mio router per usare Internet. Poi, ho letto alcuni articoli su come violare la sicurezza WEP e ho scoperto che è troppo facile violare WEP.

Quindi stavo cercando alcuni modi per aumentare la sicurezza di un AP che utilizza il protocollo WEP. Ma non ho trovato niente. Il mio router non supporta WPA / WPA2. Allora come posso rendere il mio router più sicuro, intendo indistruttibile?

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/30411/discussion-on-question-by-snake-eyes-is-there-a-way-to-make-a- wep-secured-ap-unc).
Otto risposte:
#1
+83
Vilican
2015-07-05 17:47:28 UTC
view on stackexchange narkive permalink

Non esiste alcun metodo per rendere WEP non crackabile o almeno sicuro. Quindi suggerisco di acquistare un nuovo router che supporti WPA2.

@Shivam mi dispiace dirtelo, ma è la risposta corretta ... Non è possibile rendere sicuro il WEP. Ti consiglio di eseguire l'aggiornamento a un dispositivo in grado di supportare un protocollo sicuro.
Infatti. Chiunque possa vedere un segnale WEP può decifrarlo per pochi minuti (lo so per certo, dato che sono un White Hat Hacker).
@danielAzuelos Nessun produttore serio di AP potrebbe nemmeno * pensare * di utilizzare il termine "802.11i" in risposta a una domanda di un consumatore. WPA2 è un termine standard e comprende più di 802.11i (in particolare, significa che un dispositivo è stato testato e certificato per implementare i requisiti 802.11i in un modo compatibile con altri dispositivi). Inoltre, quando si discute delle varie generazioni di protocolli di sicurezza, parlare di WEP, 802.11i bozza e 802.11i finale non è veramente qualcosa che si fa; al contrario, WEP, WPA e WPA2 sono un insieme di termini piacevolmente parallelo.
@daniel Inoltre, per quanto ne so, WPA-AES (che non è richiesto su dispositivi WPA, ma che è consentito) è in realtà ragionevolmente sicuro. Se hai fonti che dicono diversamente, sarei interessato a vederle: gli attacchi che ho visto erano tutti attacchi a TKIP, ma non si applicavano a WPA-AES.
@danielAzuelos Wi-Fi è un termine commerciale, dovrei aspettarmi che i costruttori di punti di accesso wireless parlino di 802.11a / b / g / n, che sono lo standard IEEE per il networking via radio.
→ cpast: WEP, WPA e WPA2 sono "un insieme di termini piacevolmente parallelo" a destra: quelli commerciali. Sfortunatamente come hai notato che sono una protezione multipla nascosta che ottimizza un utente normale e molti amministratori di rete non comprendono appieno. E qui "multiplo" è solo un termine educato. Devo dire che nascondono approcci opposti in termini di sicurezza.
@danielAzuelos Ti aspetti davvero che il richiedente, che ha appena scoperto che WEP non è sicuro e che non dispone di un router che supporti WPA2, capisca cosa hai detto? Questa risposta è formulata in modo appropriato per il livello di conoscenza del richiedente. Chiamarlo "WPA2" è sufficiente per aiutare il richiedente a capire cosa deve fare. Una risposta comprensibile (anche se un po 'incompleta) è * di gran lunga * superiore a quella piena di così tanto gergo da non rispondere a nulla.
#2
+40
Mrtn
2015-07-05 18:11:14 UTC
view on stackexchange narkive permalink

C'è davvero solo una soluzione al tuo problema. Noto tuttavia che non sei interessato ad aggiornare il tuo router, quindi ne parlerò un po '.

Ricorda che non aggiornando il tuo router, stai solo ritardando l'inevitabile.

Cosa funzionerà abbastanza a lungo per ottenere un nuovo router:

TIRA LA SPINA

Questa è onestamente la soluzione migliore finché non ottieni un nuovo router.

O SPEGNERE IL WI-FI

Probabilmente puoi farlo dal pannello di amministrazione del tuo router, in caso contrario, rimuovere le antenne dal dispositivo fisico e passare a Ethernet -solo. Se ciò non è possibile, scollega.

Oppure CAMBIA LA TUA PASSWORD WEP e ATTIVA IL FILTRO DELL'INDIRIZZO MAC

Se il tuo router lo supporta, puoi definire un filtro dell'indirizzo MAC da inserire nella whitelist o dispositivi nella lista nera che accedono al punto di accesso. Per fare ciò, dovrai accedere al pannello di amministrazione del tuo router e abilitare il filtro degli indirizzi MAC. (Controlla il tuo manuale su come farlo). Il tipo di filtro che puoi abilitare dipende dal tuo router. Se è una whitelist, dovrai trovare gli indirizzi MAC di tutti i tuoi dispositivi e aggiungerli all'elenco. In questo modo solo i dispositivi aggiunti alla lista potranno connettersi a Internet. Se si tratta di una lista nera, dovrai trovare l'indirizzo MAC del tuo vicino e aggiungerlo alla lista nera. In questo modo, a tutti gli altri indirizzi MAC è consentito l'accesso, ma non gli indirizzi nella lista nera.

Perché questo non funzionerà a lungo termine:

Il filtraggio degli indirizzi MAC è abbastanza semplice per qualcuno che è un po 'esperto di tecnologia da evitare. Ci sono più tutorial sull'argomento ed è davvero semplice come eseguire alcuni comandi da terminale. Poiché il tuo vicino ha già violato la tua chiave WEP, è probabile che abbia abbastanza competenze per cercare su Google come falsificare un indirizzo MAC.

In questo modo, il vicino può "fingere" di essere te, autenticandosi con il router utilizzando l'indirizzo MAC del computer.

La modifica della password non durerà a lungo, a causa del funzionamento di WEP. Un utente malintenzionato deve solo ascoltare la tua rete per un breve periodo di tempo per poter estrarre la tua password. Puoi leggere di più su Wikipedia.

E alla fine, dal momento che sei stato violato, qualsiasi cosa tu abbia collegato al tuo punto di accesso potrebbe in teoria essere infettata ora. Non solo l'hacker ha potuto modificare le tue impostazioni DNS, iniziare a registrare l'attività di rete, ecc., Ma ora potrebbe anche essere in possesso di tutti i tuoi file, immagini, password, informazioni sulla carta di credito, ecc. Ad essere onesti, tutti i tuoi dispositivi (se non sono già stati violati) corrono il grande pericolo di essere violati da un momento all'altro.

Che cosa devi fare:

Procurati un nuovo router. Sul serio. WEP è stato ritirato nel 2004 ed è stato considerato insicuro per molto tempo. Come hai notato tu stesso, ci sono molte informazioni su come decifrare le chiavi WEP online ed è (quasi) semplice come eseguire un comando da terminale. Chiunque può farlo. Ricorda che nella maggior parte dei paesi sei responsabile di ciò che passa attraverso la tua rete. Quindi, se un avversario scarica torrent, materiale pornografico per bambini o schemi di bombe, sarai ritenuto responsabile. Il carcere è meglio che spendere $ 20 per un nuovo router?

I filtri degli indirizzi MAC sono olio di serpente e al massimo della sicurezza dall'oscurità. Lo fai notare, ma io non lo suggerirei.
Fermerà un aggressore occasionale, penso che dovresti usare solo la whitelist. Quindi l'attaccante deve prima trovare un MAC a cui è consentito connettersi per falsificarlo. E questo farebbe disconnettere il dispositivo reale da Internet, quindi lo sapresti
@Freedom Non fermerà un utente malintenzionato che sa come violare le password WEP, quindi è effettivamente inutile.
Tu non capisci L'autore dell'attacco può violare le password, ma la sua connessione verrà rifiutata perché il suo MAC non è nell'elenco consentito. E dubito che trovare un MAC che sarà accettato per lo spoofing sia veloce.
@Freedom è probabile che la persona non abbia bisogno di trovare un indirizzo MAC: li ha già - erano collegati alla rete di questa persona e potrebbero trovare molti indirizzi MAC validi durante questo periodo - e cambiare l'indirizzo MAC di tutti i dispositivi potrebbe nemmeno essere possibile a seconda del dispositivo.
@Freedom Ottenere un indirizzo Mac nella whitelist è banale, vedere: http://blog.techorganic.com/2010/12/21/bypassing-mac-filters-on-wifi-networks/ (annotare la data dell'articolo).
Passare a WPA2 è la risposta corretta, come molti hanno già sottolineato. Tuttavia, ci sono casi in cui hardware vecchio ma ancora perfettamente funzionante (ad esempio, adattatori EIO Wifi LaserJet e alcuni scanner meno recenti) supportano solo WEP, e in questo caso penso che l'uso del filtro degli indirizzi MAC sia perfettamente accettabile; tuttavia, consiglierei di inserire i dispositivi WEP in una DMZ.
Il filtraggio degli indirizzi MAC o gli SSID nascosti non faranno nulla perché chiunque sia abbastanza esperto da decifrare la tua password WEP può continuare a utilizzare il wifi con il tuo MAC ma, cosa più importante, vedere comunque tutto il * tuo * traffico. Mi preoccupa che questa risposta sia stata accettata perché suggerire che ci sia qualche alternativa all'aggiornamento / sostituzione del router per utilizzare WPA2 ha dato all'OP un falso senso di sicurezza.
@vallismortis va bene se non ti dispiace che nessuno nelle vicinanze sia in grado di leggere tutti i tuoi documenti. Concentrandosi sull'accesso alla rete, è facile dimenticare il potenziale di furto di identità del semplice controllo del traffico esistente.
@JamesRyan Proverò a riformulare la mia risposta per suggerire meglio che un nuovo router è l'unica vera opzione.
Mi chiedo come questa domanda abbia ottenuto così tanti voti positivi. È una scelta inefficace e pericolosa.
#3
+14
KDEx
2015-07-05 20:35:30 UTC
view on stackexchange narkive permalink

No. Non puoi rendere WEP uncrackable, ma ci sono alcune cose che potresti essere in grado di fare per risolvere il problema finché non ottieni un nuovo router.

Modifica la potenza del segnale. Togli una (o più) antenne dal router (se hai un piccolo appartamento). Sposta il router al centro della tua casa. Questi passaggi possono rendere più difficile per un vicino ottenere una potenza del segnale decente dalla propria posizione e rinunciare.

Utilizza un captive portal. L'aggiunta di un altro passaggio di autenticazione al processo con una password più sicura può essere d'aiuto. Tuttavia, se l'aggressore è abbastanza esperto, è probabile che possa aggirarlo. Ci sono alcune risorse per questo.

Procurati un nuovo router. L'unica vera soluzione qui è acquistare un nuovo router. Non solo la tua bolletta Internet è elevata come conseguenza, ma l'aggressore può visualizzare tutto ciò che fai quando sei su Internet e piantare malware sulla tua rete. Hanno la capacità di fare cose davvero brutte. WEP richiede solo pochi secondi per decifrare. Dovresti solo mangiare il costo e passare a un nuovo router.

C'è un'opzione in più: forzare l'uso di una VPN. Pratico solo se ne esegui già uno e tutti i tuoi dispositivi hanno un client, ovviamente. Per un po 'di tempo ho avuto il mio AP completamente aperto ma su una gamba separata e ho impostato il mio router in modo che non permettesse altro che OpenVPN da / a uno specifico indirizzo locale tramite quell'interfaccia, e il mio laptop e androidi si collegavano alla mia LAN tramite OpenVPN proprio come facevano quando fuori sede. No, ho un dispositivo Widnows Phone che non funziona più (nessun client OpenVPN) quindi ho cambiato le cose.
Captive portal che dice cosa? Caro signor Hacker, va via?
#4
+9
kasperd
2015-07-05 21:17:21 UTC
view on stackexchange narkive permalink

WEP presenta difetti di progettazione fondamentali che ne impediscono la protezione. Ciò significa che per ottenere una rete sicura devi sostituire WEP con qualcosa di sicuro (WPA2) o imporre la sicurezza a un livello più alto nello stack del protocollo.

Sicurezza a un livello più alto nello stack del protocollo. significa che non consenti al tuo AP di accedere a Internet. Consenti invece al tuo AP di connettersi a un server sulla LAN e utilizzare un protocollo sicuro tra i client WiFi e quel server. Quel protocollo sicuro potrebbe essere un protocollo VPN o SSH con port forwarding (il proxy socks integrato funziona abbastanza bene).

Di questi due approcci l'aggiornamento a WPA2 è chiaramente il più semplice da implementare. Anche WPA2 non è impeccabile, ma puoi ottenere una protezione decente se utilizzi un SSID univoco e una password complessa.

L'impostazione della sicurezza sul livello OSI 7 probabilmente costerà di più rispetto all'acquisto di un router compatibile con WPA2.
@Aron: D'altro canto, connettersi a Internet anche tramite un collegamento wireless indistruttibile al 100% proteggerebbe le informazioni solo fino al punto in cui vengono consegnate all'ISP. L'utilizzo della sicurezza a livello di socket potrebbe proteggere le informazioni fino alla destinazione.
@Aron Non so nemmeno se i protocolli OSI possono essere eseguiti tramite WiFi. Uso solo IP.
OSI livello 7 include Http. TCP / IP è il livello OSI 4. Wifi è il livello OSI 1.
@Aron No, quelli non sono [protocolli OSI] (https://en.wikipedia.org/wiki/OSI_protocols). Inoltre la tua numerazione non ha senso perché HTTP opera direttamente su TCP, non c'è alcun livello tra di loro. Inoltre non esiste un livello chiamato TCP / IP perché TCP e IP sono due livelli separati.
@kasperd Non ho mai usato il termine protocollo OSI. Mi riferivo al modello OSI. WPA opererebbe sul collegamento dati (livello OSI 2). Un captive portal sarebbe / proxy / vpn sarebbe a livello di applicazione (o OSI livello 7), a cui i router (a livello di consumatore) in genere non partecipano.
@Aron IP non segue il modello OSI.
@kasperd sigh. Il modello OSI non è qualcosa che segui. È un bel modo per descrivere i vari stack di tecnologia tipicamente utilizzati in un collegamento / rete dati. In questo caso avremmo Ether / WiFi / IP / TCP / HTTP.
@Aron OSI è un insieme effettivo di protocolli che non è mai stato ampiamente utilizzato. Non è un bel modo per descrivere i protocolli IP perché i livelli di protocollo in IP e OSI sono troppo diversi. Non hanno nemmeno lo stesso numero di strati. I layer nello stack IP hanno nomi e non numeri, il che ha molto più senso quando alcuni layer sono opzionali e alcuni layer possono essere utilizzati più di una volta nello stack.
@kasperd Cerca il MODELLO OSI e non i protocolli.
@Aron Quindi? Qualcuno ha inserito i nomi dei protocolli IP in un modello che descrive una suite di protocolli completamente diversa. Non è una descrizione accurata di come funzionano i protocolli IP. Usando i ** nomi ** puoi descrivere cosa sta realmente accadendo, che potrebbe benissimo essere HTTP su TCP su IP su IPsec su UDP su IP su PPP su Ethernet. Se lo descrivi con la numerazione OSI, cosa diventa? Strato 7 sullo strato 4 sullo strato 3 sullo strato 6 sullo strato 4 sullo strato 3 sullo strato 2 sullo strato 2?
@kasperd quel qualcuno era ISO
@kasperd Anche se vedo il tuo punto (che lo stack di protocolli che usiamo è meglio descritto con il modello TCP / IP) e sono d'accordo con esso, sento il bisogno di informarti che il modello OSI * anche * ha nomi di livello.
#5
+2
Adam Davis
2015-07-07 23:51:17 UTC
view on stackexchange narkive permalink

Se puoi automatizzare la modifica della password WEP nella tua rete e farlo con una nuova password ogni 5 minuti, la tua rete sarà abbastanza ben protetta dagli aggressori occasionali. Tuttavia, non sarà uncrackable.

Se cambi la password di rete ogni 3 secondi, tuttavia, non sarà crackabile, poiché i cracker più veloci richiedono ancora diverse migliaia di pacchetti di raccolta dati, e poi diversi secondi su un processore moderno per estrarre la chiave dai dati.

Puoi rendere la tua rete WEP indistruttibile.

È più facile che passare a WPA? Probabilmente no. In effetti, la maggior parte dei motivi per rimanere con WEP (come il supporto di dispositivi meno recenti) preclude anche frequenti modifiche della password. Se questo è il motivo per rimanere con WEP, dovresti riconsiderare la tua configurazione di rete, ma questa è una domanda diversa.

Ecco alcuni degli ultimi dati sulla velocità di cracking WEP: http://www.techworld.com/news/security/researchers-crack-wep-wifi-security-in-record-time-8456/ include anche alcune soluzioni che rendono WEP più difficile da decifrare, ma alla fine si dovrebbe migrare da WEP piuttosto che aggiungere cerotti.
L'attacco PTW richiede solo da migliaia a decine di migliaia di pacchetti, ad eccezione dell'occasionale "hard key" che richiede centinaia di migliaia.
#6
+1
pri
2015-07-05 17:48:28 UTC
view on stackexchange narkive permalink

Prima di tutto, niente è indistruttibile. Puoi certamente rendere le tue password più difficili da decifrare, utilizzare algoritmi migliori, ma niente sarebbe indecifrabile.
Puoi aggiornare il tuo router che supporta WPA / WPA2.
Se il firmware del tuo router lo supporta, puoi anche tenere traccia del MAC-ID utilizzato dal ragazzo e aggiungerlo alla lista nera. Ma ancora una volta, è facile cambiare l'ID MAC di un dispositivo, quindi potresti voler tenere d'occhio gli ID MAC utilizzati.
Ancora meglio, puoi prendere nota dei MAC-ID dei tuoi dispositivi e aggiungerli alla tua lista bianca, in modo che solo questi MAC-ID siano consentiti sul tuo router.
Inoltre, prova a verificare la presenza di aggiornamenti del firmware del router.

Ho letto da qualche parte che l'indirizzo MAC può essere modificato facilmente, quindi a cosa servirebbe la lista nera?
Può rallentare il bambino (in media 30 secondi :)
Lo so, e l'ho menzionato nella mia risposta. Fornirà solo un ulteriore livello di sicurezza. Ad ogni modo, modificata la mia risposta, dai un'occhiata.
Mi aspettavo che la risposta "facesse una lista bianca" ma come accennato in precedenza è molto facile falsificare l'indirizzo MAC!
Se sei così preoccupato, dovrai procurarti un nuovo router che supporti WPA / WPA2 e ricordati di impostare una password lunga, preferibilmente escludendo le parole del dizionario. Anche qui si applicano tutte le "regole della password". :)
Mi aspettavo un metodo più economico. L'acquisto di un router è l'ultima risorsa.
Controlla gli aggiornamenti del firmware del router.
"Nel tuo caso, puoi provare a impostare una password più lunga, in modo che diventi più difficile da decifrare." Ciò non aiuterà: gli attacchi sono così facili che anche una password con piena forza (104 bit) può essere violata in pochi minuti.
I difetti in WEP indicano che la lunghezza della password è irrilevante.
Un bel elenco di cosa non fare. Il filtraggio MAC è facilmente falsificabile e non fornisce una sicurezza efficace. Non è possibile aumentare la lunghezza della password. WEP utilizza password di lunghezza fissa di 5 o 13 caratteri. Il problema è che WEP è fondamentalmente rotto. Anche con una chiave totalmente casuale di 13 caratteri (128 bit) può essere forzata in meno di 2 minuti da uno script kiddie che usa aircrack-ng. WEP non può essere protetto. A volte la risposta corretta è semplicemente "è necessario acquistare un router sicuro".
#7
-1
Konrad Gajewski
2015-07-05 20:15:06 UTC
view on stackexchange narkive permalink

A condizione che tu voglia restare con il router che hai, puoi:

  1. Dato che ci vuole tempo per decifrare effettivamente il WEP poiché si devono raccogliere abbastanza pacchetti IV, ha senso cambiare la password su base regolare. Puoi anche automatizzare il processo.
  2. Scegli il filtro MAC. Questo renderà le cose un po 'più complicate per l'attaccante.
  3. Scegli la chiave WEP più lunga possibile (64 bit è troppo poco).
  4. Configura PPPoE e abilita la connessione a Internet solo tramite questo metodo. Questo risolverebbe il problema, ma dubito che tu abbia i mezzi necessari per implementarlo. Poi di nuovo, potrei sbagliarmi.
  5. Questo è un po 'folle, ma si potrebbe iniziare a inviare falsi IV per confondere il software di cracking utilizzato dall'aggressore. Non ho idea di come farlo, quindi questo è solo un pensiero.

Inoltre: WPA è implementato solo su hardware vecchio - forse l'aggiornamento del firmware è disponibile abilitando WPA-TKIP?

Sarebbe possibile cambiare la password ogni due secondi? Distribuire la nuova password tramite TLS sull'AP Wi-Fi WEP alle macchine che possono averla. Forse ruotare anche gli indirizzi MAC e la whitelist MAC. L'amministrazione diventa un peso, la tua macchina legittima richiede un software speciale per connettersi tramite l'AP e anche il throughput e la latenza dell'AP potrebbero essere influenzati negativamente.
@Kasper, non è già questo cambio automatico della password chiamato "WPA-TKIP"?
-1
La domanda riguarda il miglioramento del WEP. TUTTI sanno che WPA è [email protected] ogni modifica richiederebbe un'associazione, quindi non è pratico.
#8
-5
Anthony B. Earles
2015-07-06 16:07:58 UTC
view on stackexchange narkive permalink

Limita semplicemente l'accesso dell'indirizzo MAC al router e poi nascondi l'SSID di rete in modo che un aggressore occasionale non sappia che è lì in primo luogo.

E, ovviamente, non appena tu può, sostituire il router.

Contro un utente malintenzionato in grado di violare il WEP, né il filtro MAC né l'occultamento dell'SSID forniscono alcuna protezione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...