WiFi接入点的安全措施?

信息安全 网络 无线上网
2021-08-21 16:40:46

我打算购买一个程序,它带有一个应用程序,允许您通过电话控制程序。开发人员告诉我,连接将通过一个额外的 WIFI 盒连接到我的电脑来完成。我打算把这个WIFI的密码给朋友和家人。

问题:

  1. 这会使我的 PC 受到攻击吗?

  2. 我的电脑通过电缆连接到家庭网络。像这样打开 WIFI 是否会使我的家庭网络受到攻击?

  3. 有没有办法阻止人们使用手机以外的设备连接到这个 WIFI 网络(我最担心被感染的笔记本电脑)

3个回答

Mayank 的回答最重要的部分是正确的:使用 WPA2(不是 WEP,也不是无密码)。不过,我想补充几点。

  1. 您不应该为您的 AP“密码”使用“非基于字典的单词”,而应使用多字密码短语不要将此密码用于其他任何内容(您想保密),因为您将共享此密码(来访的朋友需要连接他们的笔记本电脑),并且您的设备将以可恢复的方式存储此密码。有些设备甚至会默认将您的 wifi 密码存储在云中!)我建议使用密码,因为它更容易告诉某人“正确的马电池订书钉”(所有小写空格,单词之间),而不是“大写 T,小写 r , 零, 小写 ub, 数字 4, 小写的 dor, & 符号, 数字 3”,并且密码具有更高的熵(另请参阅此处的讨论)。对观察到的 wifi 握手的攻击可以离线进行,因此需要强大的密码。

  2. MAC地址过滤是微不足道的绕过和烦人的管理。 MAC 地址用于第 2 层(链路级)寻址;所以在wifi中,这是您的路由器和任何收听接收器之间的无线电信号。即使您有加密连接;数据被加密而不是第 2 层数据包头。因此,如果路由器使用 MAC 地址过滤,则很容易收集从路由器发送的一个数据包(发送到允许的 MAC 地址),然后攻击者可以更改其 MAC 地址以克隆观察到的允许 MAC 地址。(是的,两台不同的计算机同时使用相同的 MAC 地址会导致问题,但您可以等到它们不再使用它。)此外,MAC 地址过滤管理起来很烦人,因为您 每次将新设备添加到网络并复制 12 位十六进制数字 MAC 地址时,都必须进入路由器设置(并且费心弄清楚如何在每个随机 wifi 设备上提取 MAC 地址)。使用 MAC 地址过滤的人也会误以为它非常安全,然后对密码短语做出弱选择,或者认为可以使用 WEP 或 WPS 或其他漏洞。

  3. 禁用 SSID 广播会导致功能丢失,而没有具体的安全性增益. 您的移动设备将无法自动连接到 wifi 网络。回家后,您的手机无法从 3G/4G 无线电切换到速度更快、功耗更低的 wifi,除非您手动按下按钮切换到非广播网络,或者设备配置为频繁广播我正在寻找SSID 'sdfasdfasdf' 让您容易受到具有恶意接入点的攻击者的攻击,这些攻击者会回复我。(授予 WPA2 他们应该无法完成与您的 4 次握手;但取决于您的设备 - 它可能允许连接到突然不是 WPA2 的同一 SSID)。与 MAC 地址一样,即使启用了 WPA2,您也可以窃听 SSID 以防止其他客户端连接到非广播网络。

  4. 确保 WPS(Wifi 保护设置)已禁用许多路由器默认启用 WPS,这允许攻击者在 11000 次猜测下闯入您的网络授予较新的路由器可能会在连续尝试时超时,这可能会使这更加困难;但该标准建议只有 60 秒的超时,这只会将攻击者尝试闯入的时间延迟几天)。

顺便说一句,为了一点额外的安全性,我建议将您的接入点的 SSID 从默认值(例如,linksys / NETGEAR)更改为不常见的值。接入点在通过 HMAC 之前被用作 WPA2-PSK 中 PMK(成对主密钥)的盐,因此观察到四次握手并先前攻击过类似网络的攻击者可能会为自己节省一些时间通过使用已知盐存储来自各种常见密码的 PMK(假设他们仍然必须找到生成 PTK 以匹配观察到的4 次握手的 PMK )。

TL;DR - 使用具有强密码的 WPA2,禁用路由器上的 WPS(并将您的 SSID 更改为不常见的东西)。如果您愿意,您可以使用 MAC 地址过滤或禁用 SSID 广播,尽管任何患者窃听者都可以轻松绕过任何一种保护。

是的。拥有接入点确实会使您的家庭网络易受攻击,因为最终通过 wifi 连接到您的 PC 的设备将成为您家庭网络的一部分(同一子网的一部分)。配置接入点时要考虑的一些安全措施是

  1. 不要使用 WEP(有线等效隐私) - 它很容易被脚本小子破解。使用 WPA2(这是最好的)或 WPA(WiFi 保护访问)。
  2. 始终更改 AP 的默认密码。使用非基于字典的密码。
  3. 启用 MAC 过滤:正如您所提到的,您将使用有限数量的设备(属于您和您家人的智能手机)连接到您的 AP。这将限制网络仅允许来自您输入了 MAC 地址的设备的连接。(技术人员可以欺骗 MAC 地址)
  4. 您可能希望启用 HTTPS 来管理您的接入点,这样您的用户名和密码就不会以明文形式传输。
  5. 您还应该禁用 SSID 广播(AP 发送广播,以便搜索网络连接的无线站可以发现它)。您可以手动连接到您的无线设备。这将在一定程度上保护您免受战争驾驶,但同样不能阻止您进行复杂的攻击。

来自评论:

你能告诉我在 WIFI 盒子上使用不同的子网是否有帮助吗?

基本上,您的手机应用程序需要与主应用程序(安装在您的 PC 上)进行通信。据我了解,您不能将它们保存在不同的子网中。如果它们位于不同的子网中,您将需要一个第 3 层设备(路由器)来启用它们的通信。

我建议您在配置接入点时牢记以上几点,并定期更改您的密码。人们变得懒惰,他们多年来一直使用相同的密码。是的,只与受信任的人分享您的密码。

Mayank Sharma 在帖子中已经涵盖了许多风险。我只想补充一点,wifi 客户端与接入点的信任关系很大程度上受信号强度的影响,即客户端和接入点之间的接近程度。

例如,当您的笔记本电脑启用 wifi 并设置为自动连接(其默认设置)时,当放在开放接入点附近时,将始终尝试连接到该站点。

您应该始终对这种行为保持警惕,因为在许多情况下,它会在没有任何用户交互的情况下发生。防止这种情况的最佳方法是将您的客户端配置为始终仅连接到首选接入点(您可以在设置选项中执行此操作)类似于此处给出的内容(注意“要求加入”复选框)

其它你可能感兴趣的问题
上一篇纯文本密码重置漏洞 下一篇如何研究键盘记录器发送的数据包