Während sich die meisten von uns wahrscheinlich nie Sorgen machen müssen, dass jemand unser Wi-Fi-Netzwerk hackt, wie schwer wäre es für einen Enthusiasten, das Wi-Fi-Netzwerk einer Person zu hacken? Der heutige SuperUser Q&A-Post enthält Antworten auf die Fragen eines Lesers zur Wi-Fi-Netzwerksicherheit.
Die Frage
SuperUser-Leser Sec möchte wissen, ob es den meisten Enthusiasten wirklich möglich ist, Wi-Fi-Netzwerke zu hacken:
Ich habe von einem vertrauenswürdigen Computersicherheitsexperten gehört, dass die meisten Enthusiasten (auch wenn sie keine Profis sind), die nur Anleitungen aus dem Internet und spezialisierte Software (zB Kali Linux mit den mitgelieferten Tools) verwenden, die Sicherheit Ihres Heimrouters durchbrechen können.
Die Leute behaupten, dass es möglich ist, auch wenn Sie:
- Ein starkes Netzwerkpasswort
- Ein starkes Router-Passwort
- Ein verstecktes Netzwerk
- MAC-Filterung
Ich möchte wissen, ob das ein Mythos ist oder nicht. Wenn der Router ein starkes Passwort und eine MAC-Filterung hat, wie kann das umgangen werden (ich bezweifle, dass sie Brute-Force verwenden)? Oder wenn es sich um ein verstecktes Netzwerk handelt, wie können sie es erkennen, und wenn es möglich ist, was können Sie tun, um Ihr Heimnetzwerk wirklich sicher zu machen?
Als Junior-Informatik-Student geht es mir schlecht, weil sich manchmal Bastler mit mir über solche Themen streiten und ich keine starken Argumente habe oder es technisch nicht erklären kann.
Ist das wirklich möglich, und wenn ja, was sind die «Schwachstellen» in einem Wi-Fi-Netzwerk, auf die sich ein Enthusiast konzentrieren würde?
Die Antwort
Die SuperUser-Mitwirkenden davidgo und reirab haben die Antwort für uns. Erstmal Davidgo:
Ohne die Semantik zu bestreiten, ja, die Aussage ist wahr.
Es gibt mehrere Standards für die Wi-Fi-Verschlüsselung, darunter WEP, WPA und WPA2. WEP ist kompromittiert. Wenn Sie es also verwenden, kann es selbst mit einem starken Passwort leicht gebrochen werden. Ich glaube, dass WPA und WPA2 viel schwieriger zu knacken sind (aber Sie können Sicherheitsprobleme in Bezug auf WPS haben, die dies umgehen). Auch können selbst einigermaßen harte Passwörter brutal erzwungen werden. Moxy Marlispike, ein bekannter Hacker, bietet dafür einen Service für etwa 30 US-Dollar mit Cloud Computing an – obwohl dies nicht garantiert wird.
Ein starkes Router-Passwort verhindert nicht, dass jemand auf der Wi-Fi-Seite Daten über den Router überträgt. Dies ist also irrelevant.
Ein verstecktes Netzwerk ist ein Mythos. Während es Kästchen gibt, um ein Netzwerk nicht in einer Liste von Sites erscheinen zu lassen, beacon die Clients den WIFI-Router, so dass seine Anwesenheit trivial erkannt wird.
MAC-Filterung ist ein Witz, da viele (die meisten/alle?) Wi-Fi-Geräte programmiert/umprogrammiert werden können, um eine vorhandene MAC-Adresse zu klonen und die MAC-Filterung zu umgehen.
Netzwerksicherheit ist ein großes Thema und nicht für eine SuperUser-Frage zugänglich. Aber die Grundlagen sind, dass die Sicherheit in Schichten aufgebaut ist, so dass selbst wenn einige kompromittiert werden, nicht alle kompromittiert werden. Außerdem kann jedes System mit genügend Zeit, Ressourcen und Wissen durchdrungen werden; Sicherheit ist also nicht so sehr eine Frage von „kann es gehackt werden“, sondern „wie lange wird es dauern“ zu hacken. WPA und ein sicheres Passwort schützen vor „Joe Average“.
Wenn Sie den Schutz Ihres Wi-Fi-Netzwerks verbessern möchten, können Sie es nur als Transportschicht anzeigen und dann alles, was über diese Schicht geht, verschlüsseln und filtern. Dies ist für die überwiegende Mehrheit der Menschen übertrieben, aber eine Möglichkeit, dies zu tun, wäre, den Router so einzustellen, dass er nur den Zugriff auf einen bestimmten VPN-Server unter Ihrer Kontrolle erlaubt und jeden Client dazu auffordert, sich über die Wi-Fi-Verbindung über das gesamte Netzwerk zu authentifizieren VPN. Selbst wenn das WLAN kompromittiert ist, gibt es also andere (härtere) Schichten zu besiegen. Eine Teilmenge dieses Verhaltens ist in großen Unternehmensumgebungen nicht ungewöhnlich.
Eine einfachere Alternative zur besseren Sicherung eines Heimnetzwerks besteht darin, WLAN ganz aufzugeben und nur kabelgebundene Lösungen zu benötigen. Wenn Sie Dinge wie Handys oder Tablets haben, ist dies jedoch möglicherweise nicht praktikabel. In diesem Fall können Sie die Risiken mindern (sicherlich nicht eliminieren), indem Sie die Signalstärke Ihres Routers reduzieren. Sie können Ihr Zuhause auch abschirmen, damit Ihre Frequenz weniger leckt. Ich habe es nicht getan, aber starke Gerüchte (nachgeforscht) besagen, dass sogar Aluminiumgitter (wie Fliegengitter) über die Außenseite Ihres Hauses mit guter Erdung einen großen Unterschied in der Menge des austretenden Signals ausmachen können. Aber natürlich, Tschüss Handyabdeckung.
An der Front des Schutzes kann eine andere Alternative sein, Ihren Router dazu zu bringen (wenn er dazu in der Lage ist, sind die meisten nicht dazu in der Lage, aber ich würde mir vorstellen, dass Router mit openwrt laufen und möglicherweise tomato/dd-wrt können) alle Pakete protokollieren, die Ihr Netzwerk durchqueren und behalte es im Auge. Selbst die Überwachung auf Anomalien mit Gesamtbytes in und aus verschiedenen Schnittstellen könnte Ihnen einen guten Schutz bieten.
Am Ende des Tages stellt sich vielleicht die Frage: «Was muss ich tun, damit es sich für einen Gelegenheitshacker nicht lohnt, in mein Netzwerk einzudringen?» oder „Wie hoch sind die tatsächlichen Kosten für die Kompromittierung meines Netzwerks?“ und dann weiter. Es gibt keine schnelle und einfache Antwort.
Gefolgt von der Antwort von reirab:
Wie andere gesagt haben, ist das Verstecken von SSIDs einfach zu knacken. Tatsächlich wird Ihr Netzwerk standardmäßig in der Windows 8-Netzwerkliste angezeigt, auch wenn es seine SSID nicht sendet. Das Netzwerk sendet seine Anwesenheit in beiden Fällen immer noch über Beacon-Frames; es enthält nur die SSID nicht im Beacon-Frame, wenn diese Option aktiviert ist. Die SSID ist trivial aus dem bestehenden Netzwerkverkehr zu erhalten.
MAC-Filterung ist auch nicht sehr hilfreich. Es könnte den Script-Kiddie, der einen WEP-Crack heruntergeladen hat, kurzzeitig verlangsamen, aber es wird definitiv niemanden aufhalten, der weiß, was er tut, da er nur eine legitime MAC-Adresse fälschen kann.
Soweit es WEP betrifft, ist es komplett kaputt. Die Stärke Ihres Passworts spielt hier keine große Rolle. Wenn Sie WEP verwenden, kann jeder Software herunterladen, die ziemlich schnell in Ihr Netzwerk eindringt, selbst wenn Sie ein starkes Passwort haben.
WPA ist deutlich sicherer als WEP, gilt aber immer noch als defekt. Wenn Ihre Hardware WPA, aber nicht WPA2 unterstützt, ist es besser als nichts, aber ein entschlossener Benutzer kann es wahrscheinlich mit den richtigen Tools knacken.
WPS (Wireless Protected Setup) ist der Fluch der Netzwerksicherheit. Deaktivieren Sie es unabhängig davon, welche Netzwerkverschlüsselungstechnologie Sie verwenden.
WPA2, insbesondere die Version, die AES verwendet, ist ziemlich sicher. Wenn Sie ein Abstiegskennwort haben, wird Ihr Freund nicht in Ihr WPA2-geschütztes Netzwerk gelangen, ohne das Kennwort zu erhalten. Wenn die NSA versucht, in Ihr Netzwerk einzudringen, ist das eine andere Sache. Dann sollten Sie Ihr WLAN einfach komplett ausschalten. Und wahrscheinlich auch Ihre Internetverbindung und alle Ihre Computer. Bei ausreichender Zeit und Ressourcen kann WPA2 (und alles andere) gehackt werden, aber es wird wahrscheinlich viel mehr Zeit und mehr Fähigkeiten erfordern, als Ihr durchschnittlicher Bastler zur Verfügung hat.
Wie David sagte, ist die eigentliche Frage nicht „Kann das gehackt werden?“, sondern „Wie lange wird es dauern, wenn jemand mit bestimmten Fähigkeiten es hackt?“. Offensichtlich variiert die Antwort auf diese Frage stark in Bezug auf diese speziellen Fähigkeiten. Er hat auch absolut Recht, dass die Sicherheit in Schichten erfolgen sollte. Dinge, die Ihnen wichtig sind, sollten nicht ohne vorherige Verschlüsselung über Ihr Netzwerk übertragen werden. Wenn also jemand in Ihr WLAN einbricht, sollte er nicht in der Lage sein, in etwas Sinnvolles einzudringen, außer vielleicht über Ihre Internetverbindung. Jede Kommunikation, die sicher sein muss, sollte dennoch einen starken Verschlüsselungsalgorithmus (wie AES) verwenden, der möglicherweise über TLS oder ein ähnliches PKI-Schema eingerichtet wird. Stellen Sie sicher, dass Ihre E-Mails und anderer sensibler Webverkehr verschlüsselt sind und dass Sie keine Dienste (wie Datei- oder Druckerfreigabe) auf Ihren Computern ausführen, ohne dass das richtige Authentifizierungssystem vorhanden ist.
Möchten Sie der Erklärung noch etwas hinzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Sehen Sie sich hier den vollständigen Diskussionsthread an.