web-dev-qa-db-fra.com

Est-il vraiment possible pour la plupart des passionnés de pirater les réseaux Wi-Fi des gens?

Les utilisateurs les plus enthousiastes (même s’ils ne sont pas des professionnels) peuvent-ils utiliser des techniques bien connues pour percer la sécurité du routeur domestique moyen?

Certaines options de sécurité de base sont:

  • mot de passe réseau fort avec diverses méthodes de cryptage
  • mot de passe d'accès au routeur personnalisé
  • WPS
  • pas de diffusion SSID
  • Filtrage d'adresses MAC

Certaines de ces solutions sont-elles compromises et que faire pour rendre le réseau domestique plus sécurisé?

157
kvhadzhiev

Sans discuter la sémantique, oui, la déclaration est vraie.

Il existe plusieurs normes pour le cryptage WIFI, notamment WEP, WPA et WPA2. Le WEP est compromis, donc si vous l'utilisez, même avec un mot de passe fort, il peut être cassé sans raison. Je pense que WPA est beaucoup plus difficile à résoudre (mais vous pouvez avoir des problèmes de sécurité liés au WPS qui le contournent), et à partir d'octobre 2017, WPA2 offre également une sécurité douteuse. De plus, même des mots de passe assez difficiles peuvent être forcés brutalement - Moxie Marlinspike - un pirate informatique bien connu propose un service le faire pour 17 USD en utilisant le cloud computing - bien que ce ne soit pas garanti.

Un mot de passe de routeur fort n'empêchera pas quelqu'un du côté WIFI de transmettre des données via le routeur, ce qui est sans importance.

Un réseau caché est un mythe - bien qu'il existe des cases pour qu'un réseau n'apparaisse pas dans une liste de sites, les clients balancent le routeur WIFI afin que sa présence soit détectée de manière triviale.

Le filtrage MAC est une blague, car beaucoup (la plupart/tous?) Des périphériques WIFI peuvent être programmés/reprogrammés pour cloner une adresse MAC existante et contourner le filtrage MAC.

La sécurité du réseau est un sujet important et ne relève pas d'une question de superutilisateur, mais l'essentiel est que la sécurité est construite en couches, de sorte que même si certains d'entre eux sont compromis, tous les systèmes peuvent également être pénétrés avec suffisamment de temps et de ressources. et la connaissance, la sécurité n’est donc pas tant une question de "peut-on le pirater", mais "combien de temps cela prendra-t-il" pour pirater. WPA et un mot de passe sécurisé qui protège contre "Joe Average".

Si vous souhaitez améliorer la protection de votre réseau WIFI, vous pouvez le visualiser uniquement en tant que couche de transport et crypter et filtrer tout ce qui passe sur cette couche. C’est excessif pour la grande majorité des gens, mais vous pouvez le faire en configurant le routeur pour qu’il autorise uniquement l’accès à un serveur VPN donné sous votre contrôle et en exigeant que chaque client s’authentifie via une connexion WIFI via le VPN - Ainsi, même si le WIFI est compromis, il existe d'autres couches [plus difficiles] à vaincre. Un sous-ensemble de ce comportement n'est pas rare dans les grands environnements d'entreprise.

Une alternative plus simple pour mieux sécuriser un réseau domestique consiste à abandonner complètement le WIFI et à ne nécessiter que des solutions câblées. Si vous avez des choses comme les téléphones portables ou les tablettes, cela peut ne pas être pratique cependant. Dans ce cas, vous pouvez atténuer les risques (et non les éliminer) en réduisant la force du signal de votre routeur. Vous pouvez également protéger votre maison de manière à réduire les fuites de fréquence - je ne l’ai pas fait, mais une forte rumeur (recherchée) veut que même un treillis en aluminium (comme un moustiquaire) à l’extérieur de votre maison, avec une bonne mise à la terre, peut faire beaucoup différence à la quantité de signal qui va s'échapper. [Mais, bien sûr, au revoir couverture de téléphone portable]

Sur le plan de la protection, une autre alternative peut être d’obtenir votre routeur (s’il est capable de le faire, mais la plupart ne le sont pas, mais j’imaginerais des routeurs exécutant openwrt et éventuellement tomato/dd-wrt can) pour enregistrer tous les paquets traversant votre réseau. et gardez un œil dessus - Enfer, même le simple fait de surveiller les anomalies avec un nombre total d'octets entrants et sortants de diverses interfaces pourrait vous donner un bon degré de protection.

À la fin de la journée, la question à poser est peut-être «Que dois-je faire pour que le temps qu’un pirate informatique infiltré dans mon réseau informatique ne mérite pas de pénétrer dans mon réseau» ou «Quel est le coût réel de la compromission de mon réseau? De là. Il n'y a pas de réponse rapide et facile.

Mise à jour - octobre 2017

La plupart des clients utilisant WPA2 - à moins qu'ils ne soient corrigés - peuvent voir leur trafic exposé en texte brut à l'aide de "Attaques par réinstallation de clés - KRACK" -, ce qui constitue une faiblesse de la norme WPA2. Notamment, cela ne donne pas accès au réseau, ou à la PSK, uniquement au trafic du périphérique ciblé.

147
davidgo

Comme d'autres l'ont dit, il est facile de cacher le SSID. En fait, votre réseau apparaîtra par défaut dans la liste de réseaux Windows 8 même s'il ne diffuse pas son SSID. Le réseau diffuse toujours sa présence via des trames de balise dans les deux sens; il n'inclut simplement pas le SSID dans le cadre de la balise si cette option est cochée. Le SSID est simple à obtenir à partir du trafic réseau existant.

Le filtrage MAC n'est pas très utile non plus. Cela pourrait brièvement ralentir le script kiddie qui a téléchargé une fissure WEP, mais cela ne va certainement pas arrêter ceux qui savent ce qu'ils font, car ils peuvent simplement usurper une adresse MAC légitime.

En ce qui concerne WEP, il est complètement cassé. La force de votre mot de passe importe peu ici. Si vous utilisez WEP, tout le monde peut télécharger un logiciel qui pénètrera rapidement dans votre réseau, même si vous avez un mot de passe fort.

WPA est nettement plus sécurisé que WEP, mais est toujours considéré comme défectueux. Si votre matériel prend en charge WPA mais pas WPA2, c'est mieux que rien, mais un utilisateur déterminé peut probablement le résoudre avec les bons outils.

WPS (configuration protégée sans fil) est le fléau de la sécurité du réseau. Désactivez-le quelle que soit la technologie de cryptage réseau que vous utilisez.

WPA2 - en particulier la version utilisant AES - est relativement sécurisé. Si vous avez un mot de passe correct, votre ami ne pourra pas accéder à votre réseau sécurisé WPA2 sans obtenir le mot de passe. Maintenant, si NSA essaie d'entrer dans votre réseau, c'est une autre affaire. Ensuite, vous devez simplement éteindre complètement votre réseau sans fil. Et probablement votre connexion Internet et tous vos ordinateurs aussi. Si vous disposez de suffisamment de temps et de ressources, WPA2 (et tout le reste) peut être piraté, mais il faudra probablement beaucoup plus de temps et de capacités que ne le sera votre moyen amateur.

Comme David l'a dit, la vraie question n'est pas "Est-ce que cela peut être piraté?" mais plutôt: "Combien de temps faudra-t-il à quelqu'un avec un ensemble particulier de capacités pour le pirater?" De toute évidence, la réponse à cette question varie grandement en ce qui concerne cet ensemble de capacités. Il a également tout à fait raison de dire que la sécurité devrait se faire par couches. Les choses qui vous tiennent à cœur ne devraient pas être utilisées sur votre réseau sans être cryptées au préalable. Ainsi, si une personne s'introduit dans votre réseau sans fil, elle ne devrait pas être en mesure d'entrer dans quelque chose de significatif, à part peut-être utiliser votre connexion Internet. Toute communication devant être sécurisée doit toujours utiliser un algorithme de cryptage fort (comme AES,) éventuellement configuré via TLS ou un schéma de ce type. Assurez-vous que votre courrier électronique et tout autre trafic Web sensible sont cryptés et que vous n'exécutez aucun service (comme le partage de fichiers ou d'imprimantes) sur vos ordinateurs sans le système d'authentification approprié.


Mise à jour du 17 octobre 2017 - Cette réponse reflète la situation antérieure à la découverte récente d'une nouvelle vulnérabilité majeure qui affecte à la fois WPA et WPA2. Le Key Reinstallation AttaCK (KRACK) tire parti d’une vulnérabilité du protocole de transfert d’information pour Wi-Fi. Sans entrer dans les détails de cryptographie compliqués (que vous pouvez lire sur le site Web lié), tous les réseaux Wi-Fi doivent être considérés comme rompus jusqu'à ce qu'ils soient corrigés, quel que soit l'algorithme de chiffrement qu'ils utilisent.

Questions InfoSec.SE connexes concernant KRACK:
Conséquences de l'attaque WPA2 KRACK
Comment puis-je me protéger de KRACK quand je n'ai pas les moyens d'acheter un VPN?

52
reirab

Etant donné que les autres réponses sur ce sujet sont bonnes, je pense que, pour ceux qui demandent une réponse concrète (enfin ... c'est SuperUser, ce n'est pas?), La question pourrait facilement être traduite par: "Que dois-je savoir sécuriser mon réseau WiFi? " .
Sans nier (ni confirmer) aucune des autres réponses, voici ma réponse brève:

Les mots du cryptologue Bruce Schenier pourraient être un conseil utile à retenir pour de nombreux utilisateurs:

La seule vraie solution consiste à débrancher le cordon d'alimentation.

Ceci peut souvent être appliqué aux réseaux sans fil : avons-nous constamment besoin que cela fonctionne?
De nombreux routeurs ont un bouton WiFi pour activer/désactiver le sans fil, comme le D-Link DSL-2640B.
Sinon, vous pouvez toujours automatiser l’activation/désactivation Web du sans fil en utilisant des outils tels que iMacros (disponible en tant qu’extension pour Firefox ou en tant que programme autonome) sous Windows, entre autres. d'autres sur Linux.

Et voici deux astuces pourWPA(s'il vous plaît, oubliez WEP ) mot de passe (a bon WPA mot de passe rendra les attaques très difficiles ) création ( ne conserve pas le mot de passe par défaut ):

  1. Utilisez mots inexistants et/ou étrangers : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (aucun dictionnaire simple ne pouvant être utilisé pour les trouver).
  2. Créez votre propre phrase facile à retenir (pour vous au moins) et définissez votre mot de passe en prenant le premier caractère de chaque mot. Les résultats seront un difficile à déchiffrer (8 caractères minimum) et pourtant facile à mémoriser mot de passe comprenant lettres majuscules et minuscules , chiffres et quelques autres non alphabétiques caractères:
    "Vous avez deux fils et trois chats et vous les aimez." -> "Yh2sa3c, aylt."

Et, pour l'amour de Dieu: désactivez WPS maintenant! C'est totalement imparfait .

14

Aucune des choses que vous mentionnez (à part le mot de passe du réseau) n'affecte réellement le piratage d'un réseau Wi-Fi. Un filtre d’adresses MAC et un SSID caché n’aident en rien à améliorer la sécurité.

Ce qui compte vraiment, c'est le type de cryptage utilisé sur le réseau. Les cryptages réseau plus anciens, tels que WEP, étaient faciles à rompre car avec suffisamment de trafic, vous pouviez les décoder et les forcer à générer le trafic dont vous aviez besoin.

Les plus récents, comme WPA2, sont cependant beaucoup plus sécurisés. Désormais, rien n'est "sécurisé" contre tous les adversaires, mais cela suffit généralement pour le Wi-Fi domestique.

C'est un sujet vaste et cela ne touche que le sommet de l'iceberg, mais j'espère que cela aidera.

7
Sirex

WEP et WPA1/2 (avec WPS activé) peuvent être piratés de manière triviale; le premier en utilisant des IV capturés et le dernier avec un WPS PIN bruteforce (seulement 11 000 combinaisons possibles, à partir d'une NIP en 3 parties; 4 chiffres [10 000 possibles] + 3 chiffres [1 000 possibles] + un chiffre de contrôle [ calculé à partir du reste]).

Les WPA1/2 sont plus difficiles avec un mot de passe fort, mais l'utilisation de la technique de craquage de GPU et d'une technique de force brutale peut détruire certains des plus faibles.

J'ai personnellement piraté WEP et WPS sur mon réseau de travail (avec l'autorisation, je démontrais les vulnérabilités à mes employeurs), mais je n'ai pas encore réussi à casser WPA.

6
hanetzer

C’est une excellente question, et les directives pour avoir un réseau sans fil très sécurisé devraient sont bien connues. Configurez votre routeur/passerelle/AP de sorte que:

  • la sécurité sans fil est uniquement WPA2
  • le cryptage est uniquement AES
  • utilisez une clé pré-partagée contenant plusieurs mots (par exemple, IloveSuperUser)
  • désactiver WPS
  • désactiver l'administration à distance

C'est tout! À toutes fins utiles, vous disposez maintenant d'une connexion sans fil entièrement sécurisée.

5
Jason

Sur le forum Cisco Learning Network, un démarreur de fil a demandé:

Est-ce que WPA/TKIP peut être craqué? Soit quelqu'un de ma maison d'hôtes a utilisé 80 Go de données, soit quelqu'un de proche a déchiffré le mot de passe et l'a utilisé. Je soupçonne quelqu'un dans l'hôtellerie parce que j'ai du mal à croire que le WPA/TKIP puisse être fissuré et que même s'il pouvait l'être, ce ne serait pas facile à faire. Est-ce difficile, voire pas du tout, de déchiffrer WPA/TKIP? Je veux changer le mot de passe pour eux de toute façon, puis-je utiliser - et _ et? personnages?

Un camarade très intelligent nommé "Zach" fit cette annonce que le fil-démarreur, ici (et les autres, ici aussi, s’ils sont intéressés), devrait lire.

En particulier, lisez à partir des deux tiers environ de son post, où il commence par les mots "The solutions:".

J'utilise le paramètre " WPA-PSK (TKIP)/WPA2-PSK (AES) " de ma passerelle. En accord avec ceci de l'affichage de Zach ...

Changez le nom de votre routeur en quelque chose d'unique. Votre identifiant ESSID est utilisé par votre demandeur WLAN comme un sel cryptographique sur la PCM. Changer cela éliminera les attaques de pré-calcul.

... J'ai longtemps utilisé mon propre ESSID. De plus, conformément à ses ...

Créez un mot de passe unique en incorporant des caractères, des chiffres et des majuscules uniques. plusieurs mots et lettres minuscules. Ceci est plus important que la longueur. L'augmentation de la longueur du mot de passe ne fera qu'augmenter la force des mots de passe, mais il ne sera pas nécessairement long. La force réside dans variance du potentiel. Ceci éliminera les attaques par dictionnaire et rendra la force brute impossible sans un super-ordinateur.

... le mien est composé de 25 caractères composés de lettres, de chiffres, de majuscules et minuscules et de caractères spéciaux. Aucune partie de cela ne signifie quoi que ce soit.

Je fais plusieurs autres choses que Zach fait et ne énumère pas là; mais en plus de ce qui précède, et dit d'autres choses, et au moins l'esprit de ce qu'il a écrit ici ...

Activez la journalisation détaillée et, si possible, transmettez-la à votre courrier électronique.

... J'ai écrit il y a longtemps un peu de code de script qui se lance automatiquement au démarrage de Windows et ne s'exécute que dans la barre d'état système; qui code périodiquement, tout au long de la journée, actualise puis analyse la page Web de ma passerelle qui répertorie tous les périphériques connectés; et il me dit alors à la fois en tant que haut-parleur pop-up-avec-triple-bip-via-la-carte mère (pas les haut-parleurs audio ordinaires, juste au cas où ils sont en sourdine ou quelque chose) sur mon ordinateur de bureau-remplacement-ordinateur portable écran, et également par SMS sur mon téléphone (qui est soit dans une poche sur ma ceinture, ou du moins jamais plus de cinq pieds de moi, 24/7/365), si quelque chose de nouveau a montré.

Pour ceux qui ne possèdent pas cette compétence, il existe plusieurs applications du type "qui est sur mon WI-FI", dont certaines sont gratuites. Un bon et simple est [ce badboy] [3]. Démarrez-le simplement avec Windows, laissez-le dans la barre d'état système et dites-lui de "bip sur le nouveau périphérique" et vous obtiendrez quelque chose de similaire à ce que mon script fait (sauf que cela ne se fera pas SMS vous). Cependant, en utilisant [un simple outil de script] [5], vous pouvez envoyer un SMS ou un e-mail à votre téléphone lorsqu'un nouveau périphérique sur le réseau local émet un bip sonore.

J'espère que cela pourra aider.

3
Gregg DesElms

Douteux .

Je ne suis pas d'accord avec la réponse de David. Bien que la recherche ait été bien faite et que je sois d’accord avec la plupart de ses informations, je pense que c’est un peu pessimiste.

Il y a des vulnérabilités dans WPA2 déjà couvertes dans les autres réponses. Cependant, aucun de ceux-ci n'est inévitable.

En particulier, il convient de noter que l'attaque par force brute mentionnée par davidgo est une attaque contre une faiblesse de MS-CHAPv2. Voir la référence de l'auteur cité [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Si Ms-CHAP n'est pas utilisé, cette faiblesse ne peut pas être exploitée. (supprimé sur la base du commentaire de l'auteur - référence erronée)

Avec la bonne phrase de passe, SSID, et en évitant les technologies compromises, je ne vois pas pourquoi un réseau sécurisé WPA2 utilisant AES256 ne serait pas sécurisé pour le moment. Les attaques par force brute sur de tels réseaux ne sont pas réalisables, et même Moxy Marlinspike le suggère.

Toutefois, lorsque je suis d’accord avec la réponse de davidgo, c’est que la plupart des utilisateurs ne font pas ces efforts. Je sais que mon propre réseau domestique peut être exploité, et même si je sais comment le réparer, cela ne vaut tout simplement pas mon temps et mes efforts.

2
timbo

Une autre considération à prendre en compte dans toute analyse de sécurité concerne les actifs à protéger, ainsi que la valeur de ces actifs pour le propriétaire et les attaquants potentiels. Je suppose que votre identifiant bancaire, votre numéro de carte de crédit et d’autres identifiants de connexion sont probablement les informations les plus précieuses qui transitent sur un réseau domestique. La plupart de ces informations doivent être couvertes par le cryptage TLS/SSL via une connexion https. Il semble donc que si vous utilisez une clé WPA2 sur votre routeur wifi et assurez-vous que votre navigateur utilise https autant que possible (en utilisant un outil comme eff htt https partout), vous êtes plutôt en sécurité. (Un attaquant potentiel devrait avoir la peine de déchiffrer votre clé WPA2 pour peut-être obtenir un mot de passe qui ne dépasse pas https ou les pages http que vous consultez.)

2
user119824