Каков наиболее практичный метод обеспечения безопасности домашней беспроводной сети?

WiFi at home can be simple and secure. 

Решение, которое я рекомендую

• WPA2 с шифрованием AES
• Дома (или для небольшого офиса) используйте общий ключ (PSK). Это персональная архитектура WPA (в отличие от архитектуры WPA Enterprise).
• Используйте длинную фразу-пароль и НЕ записывайте ее, просто запомните (я вижу пароли на наклейках везде, это сводит меня с ума). Вы можете создать любой тип парольной фразы WPA, например, такой: « Я хочу считать $ 87 навсегда дважды ». Труднее угадать, когда это на самом деле не имеет смысла ... и на самом деле так легче запомнить! Если вы думаете, что для его набора требуется слишком много времени, просто сохраните его - вы дома.

Примечание . Вам понадобится длинная фраза-пароль, потому что WPA / PSK и WPA2 / PSK уязвимы для атак в автономном режиме. Хакеры могут прослушать успешную попытку входа в систему и пробовать миллионы паролей в автономном режиме, пока не найдут тот, который соответствует.

И конечно все остальные обычные рекомендации приходят на ум:

• Установите антивирус и обновляйте его
• Активируйте ваш брандмауэр
• Измените пароль вашего роутера
• Отключите доступ к интерфейсу администратора через Интернет, если он вам действительно не нужен
• Не активируйте его функциональность DMZ
• Не передавайте свой личный адрес в Facebook или где-либо еще в Интернете
• Не общайтесь с психопатами

Стоит ли избегать WPA / TKIP?

И да и нет. Исследователи недавно обнаружили недостаток в WPA и WPA2 с шифрованием TKIP. Люди утверждают, что WPA / TKIP не работает. Это НЕ ... пока. На данный момент этот недостаток позволяет (очень мотивированным) хакерам время от времени расшифровывать некоторые небольшие пакеты. Это не позволило бы им навредить. Поэтому, если ваше WiFi-оборудование поддерживает только WPA / TKIP, не паникуйте. WPA / TKIP разбит, но не сломан. Просто перейдите и обновите свое оборудование до WPA2 / AES Personal, когда у вас есть деньги, чтобы потратить. Не торопись.

Решения, которые я НЕ рекомендую

Эти «решения» только сделают вашу жизнь более сложной, не предоставляя вам никакой реальной безопасности:

• WEP-шифрование: оно ломалось годами.
• Фильтрация MAC-адресов: сложная в управлении, тривиальная подделка
• Нет трансляции SSID: тривиально обнаружить «скрытый» SSID. Только держит соседей и друзей подальше. WPA2 / AES будет держать их в любом случае, если вы не хотите.

Решения для средней или большой организации

Это просто бесплатный бонус, вы можете пропустить его (вопрос был только о домашней безопасности). ;-)

• Используйте WPA2 / AES Enterprise (для аутентификации, авторизации и учета требуется RADIUS-сервер) с PEAP / Ms-CHAP-v2 или TTLS / PAP.
  • В качестве альтернативы, если у вас есть существующее VPN-решение, вам может оказаться проще использовать его вместо развертывания решения WPA2 / AES Enterprise. Оставьте сеть Wi-Fi открытой, но подключите свои точки доступа к отдельной VLAN, настройте свои точки доступа, чтобы запретить весь прямой трафик между пользователями, и настройте сетевой брандмауэр, чтобы пропускать трафик только к вашему VPN-серверу и от него.
• Запретите слабые пароли, такие как «1234», «qwerty» или словарные слова.
• Методы аутентификации PEAP / Ms-CHAP-v2 и TTLS / PAP НЕ уязвимы для атак в автономном словаре, поэтому НЕ ДОЛЖНЫ пытаться применять сверхсложные пароли (например, «L9fl! 1 ~ SjQQ $ AjN»): это раздражает и противостоит -productive. Пользователи забудут о них или, опять же, запишут их на наклейки.
• Вместо этого пользователям следует разрешить иметь «разумные» пароли (8 символов, избегая таких слов, как «1234»). Пароли должны быть достаточно простыми для запоминания, но достаточно сложными, чтобы вы не могли угадать их всего за несколько тысяч попыток.
• Убедитесь, что ваш сервер аутентификации настроен для обнаружения атак методом перебора
• Контролируйте свою сеть на предмет вторжения и обнаруживайте мошеннические точки доступа.

Я бы порекомендовал WPA2 (шифрование AES). Я использую его (WPA2-PSK) дома без проблем, и я рекомендую всем своим друзьям (и всем, кто спрашивает). Настроить приличный маршрутизатор не так уж сложно, и, конечно, он превосходит все остальное, учитывая, что mac-адреса могут быть подделаны, а WEP может быть взломан (также WPA).

Я думаю, что Арс преувеличивал уязвимость WPA PSK. Пока у вас есть хороший ключ, WPA PSK должен быть хорош для личного использования. (Это не хорошо для корпораций, потому что у всех одинаковый ключ.)

Вопрос был:

Какова наиболее практичная методология безопасности

Это подразумевает различные вещи - во-первых, что у нас действительно есть безопасность, и во-вторых, что это не слишком обременительно для установки или поддержки.

Итак, в порядке убывания практичности (прежде всего наиболее практичного) и предполагая, что вы действительно хотите быть в безопасности:

1. Измените пароль по умолчанию и, если возможно, имя пользователя для входа в маршрутизатор (но запишите оба, когда вы это сделаете).
2. (Или, может быть, 1) Используйте WPA-PSK - в соответствии с наилучшими стандартами, которые поддерживает все ваш комплект (если некоторые из ваших материалов поддерживают только WEP, замените его или используйте альтернативный метод для подключения к сети). Используйте длинную парольную фразу - не обязательно должен быть случайным, хороший набор слов, использующий смешанный регистр и некоторые знаки препинания, тоже подойдет, и их будет легче запомнить и вводить в различные устройства. Если вы собираетесь разрешить доступ посетителям / гостям (в этом и заключается практичность), напишите / напечатайте их на том, что они могут скопировать, но не оставляйте это на простом сайте.
3. Не передавайте SSID, вам будет труднее находить полезные для людей, которых вы хотите держать вдали, менее полезные для гостей / посетителей и т. Д., Поскольку вам придется прыгать через большее количество обручей, чтобы подключиться в первую очередь.
4. Ограничьте MAC-адреса - в этот момент добавление нового устройства в вашу беспроводную сеть начинает становиться рутиной, поскольку для этого требуется внести изменения в конфигурацию на маршрутизаторе, чтобы добавить устройство, поэтому мы начинаем становиться менее практичными, хотя и более безопасный.

На данный момент я думаю, что мы в значительной степени находимся на пределе того, что можно сделать с точки зрения беспроводных и домашних сетей, хотя я рад, что меня поправили.

Помимо этого, существуют обычные соображения для любой сети, т. Е. То, что другие устройства в вашей сети должны быть защищены в той степени, в какой это подходит - если вы не хотите, чтобы другие люди в вашей сети могли просматривать ваши файлы, тогда вы должен защищать учетные записи / серверы / папки / и т.д., содержащие эти файлы.

Как указал @Neall, говорить о том, что WPA PSK был «взломан» в какой-то степени, является грубым заявлением. В любой схеме, которую вы придумали - это открытый стандарт, подлежащий проверке реализации, - ваша общая цель состоит в том, чтобы не было обнаруженных методов, которые могли бы работать лучше, чем поиск методом "грубой силы" по выбранным учетным данным сайта. То есть не должно быть никаких реальных сокращений для определения секретных ключей.

В случае WPA PSK нет коротких путей, показывающих грубую силу. До сих пор были опубликованы только те методы, которые были продемонстрированы для обнаружения плохо выбранных (то есть легко угадываемых) парольных фраз посредством анализа захваченного беспроводного трафика.

На мой взгляд, это вряд ли какой-либо подвиг. Это важное свойство, которое нужно понимать, но оно приводит к заключению чего-то, что мы уже знали - безопасность может быть такой же хорошей, как выбранная парольная фраза.

Исходя из первоначального вопроса к рекомендациям по практической безопасности в домашней обстановке, вы действительно обладаете превосходной безопасностью, если выполняете следующие действия:

1) Выберите длинную фразу-пароль (более 10 символов), которая содержит цифровые цифры, знаки пунктуации и / или смешанный регистр. В идеале, некоторые «слова» во фразе выбираются как бессмысленные слова «болтовня», которых нет в словаре, и чем длиннее, тем лучше. Это правило ничем не отличается от рекомендаций по выбору безопасного пароля, используемого для любого другого типа учетных данных доступа.

2) Используйте SSID не по умолчанию, который вряд ли используется другими. Это должно предотвратить атаки по словарю против общих SSID. Это не должно иметь значения, если вы используете хорошую фразу-пароль, но это хорошая дополнительная мера

Отключение широковещательных рассылок SSID и / или блокировок на основе MAC-адресов - пустая трата времени. MAC-адреса легко подделываются, и обнаружение реального SSID тривиально, даже если широковещательные сообщения отключены.

Вывод: WPA PSK очень безопасен, если используется правильно выбранная парольная фраза.

Я видел демонстрацию взлома WEP менее чем за минуту. MAC-адреса также могут быть подделаны довольно легко. Если нет веских причин для использования WEP (т.е. мои 2 маршрутизатора поддерживают только беспроводной мост с защитой WEP), используйте некоторую форму WPA.

Фильтрация по MAC-адресу ничего не добавляет к безопасности, их легко обнаружить и подделать на вашем взломщике.

Если у вас есть что-то, что вы ДЕЙСТВИТЕЛЬНО не хотите, чтобы люди знали, то держите его в сети или зашифруйте с помощью чего-нибудь вроде Trucrypt .

В прошлый раз, когда я думал об этом, единственной «безопасной» вещью, которую я мог придумать, был wepor wpa (понимают, что оба могут быть взломаны), фильтрация Mac (понимают, что они могут быть подделаны) и туннели ipsec (защищенные приличным ключ !!) между беспроводными клиентами и проводным концентратором или сервером.

Но для домашнего использования я бы сказал, что фильтрация MAC-адресов с помощью wep / wpa должна быть достаточно хорошей. Или просто оставить его открытым, кого это волнует?

Я только отвечаю, чтобы добавить два дополнительных пункта:

1. Если вы выполняете работу из дома или работаете с домашними данными, вы должны относиться к ним как к рабочей сети и защищать их как таковые. (см. примечание выше относительно ipsec)
2. это не вопрос программирования, и я не уверен, что это даже вопрос системного администратора, поэтому я не уверен, что он даже относится к stackoverflow.

Не стесняйтесь голосовать за или против, даже если вы не согласны или не согласны с 1 или 2 ... :)

Отключение DCHP на маршрутизаторе работает довольно хорошо, оно отключает средний джо от использования вашего беспроводного. Вам просто нужно установить статический IP на каждом используемом компьютере, и все готово. Это хорошо, если у вас есть гости на регулярной основе, но вы не хотите вылавливать ключ WPA / WEP. Однако это не идеальное решение, и для обеспечения максимальной безопасности вам следует использовать WPA2. Известно, что в WEP есть уязвимости, которые можно использовать с помощью анализатора пакетов.

WPA2 с длинным, криптографически случайным ключом. Используйте генератор паролей для генерации случайного пароля из 63 символов (максимально допустимый).

Исключение: если вы хотите использовать Nintendo DS онлайн, вам нужно использовать 128-битный WEP. Не доверяйте беспроводной сети, если вы делаете.