Was ist die praktischste Sicherheitsmethode für ein drahtloses Heimnetzwerk?

WiFi at home can be simple and secure. 

Die Lösung empfehle ich

• WPA2 mit AES-Verschlüsselung
• Verwenden Sie zu Hause (oder in einem kleinen Büro) einen Pre-Shared Key (PSK). Dies ist eine WPA-Personal-Architektur (im Gegensatz zu einer WPA-Enterprise-Architektur).
• Verwenden Sie eine lange Passphrase und schreiben Sie sie NICHT auf, sondern erinnern Sie sich nur daran (ich sehe überall Passwörter auf Aufklebern, das macht mich verrückt). Sie können sich jede Art von WPA-Passphrase ausdenken, zum Beispiel: " Ich möchte 87 $ Kartoffeln für immer zählen ". Es ist schwieriger zu erraten, wenn es keinen Sinn ergibt ... und es ist einfacher, sich daran zu erinnern! Wenn Sie der Meinung sind, dass die Eingabe zu lange dauert, speichern Sie sie einfach, und Sie sind zu Hause.

Hinweis : Sie benötigen eine lange Passphrase, da WPA / PSK und WPA2 / PSK für Angriffe im Offline-Wörterbuch anfällig sind. Hacker können einen erfolgreichen Anmeldeversuch auskundschaften und Millionen von Kennwörtern offline ausprobieren, bis sie das passende finden.

Und natürlich fallen uns auch alle anderen üblichen Empfehlungen ein:

• Installieren Sie ein Antivirus und halten Sie es auf dem neuesten Stand
• Aktivieren Sie Ihre Firewall
• Ändern Sie das Passwort Ihres Routers
• Deaktivieren Sie den Zugriff auf die Administrationsoberfläche über das Web, sofern Sie es nicht wirklich benötigen
• Aktivieren Sie nicht die DMZ-Funktion
• Geben Sie Ihre persönliche Adresse nicht auf Facebook oder im Internet weiter
• Chatten Sie nicht mit Psychopathen

Sollten Sie WPA / TKIP vermeiden?

Ja und nein. Forscher haben kürzlich einen Fehler in WPA und WPA2 mit TKIP-Verschlüsselung entdeckt. Die Leute haben behauptet, WPA / TKIP sei gebrochen. Es ist NICHT ... noch nicht. Für den Moment erlaubt der Fehler (sehr motivierten) Hackern nur ein paar kleine Pakete zu entschlüsseln. Es würde ihnen nicht erlauben, viel Schaden zuzufügen. Wenn Ihre WLAN-Geräte nur WPA / TKIP unterstützen, geraten Sie nicht in Panik. WPA / TKIP ist beschädigt, aber nicht defekt. Aktualisieren Sie Ihre Ausrüstung einfach auf WPA2 / AES Personal, wenn Sie etwas Geld ausgeben möchten. Eile nicht.

Lösungen, die ich NICHT empfehlen kann

Diese "Lösungen" werden Ihr Leben nur komplizierter machen, ohne Ihnen eine wirkliche Sicherheit zu geben:

• WEP-Verschlüsselung: Sie ist seit Jahren defekt.
• MAC-Filterung: kompliziert zu handhaben, trivial zu fälschen
• Keine SSID-Übertragung: Trivial zum Erkennen einer "versteckten" SSID. Nur hält Nachbarn und Freunde fern. WPA2 / AES würde sie sowieso fernhalten, wenn Sie nicht wollten.

Lösungen für eine mittlere oder große Organisation

Dies ist nur ein kostenloser Bonus. Vielleicht möchten Sie ihn überspringen (die Frage war nur die Sicherheit zu Hause). ;-)

• Verwenden Sie WPA2 / AES Enterprise (erfordert einen RADIUS-Server zur Authentifizierung, Autorisierung und Abrechnung) mit PEAP / Ms-CHAP-v2 oder TTLS / PAP.
  • Wenn Sie bereits über eine VPN-Lösung verfügen, ist es möglicherweise einfacher, sie anstelle der Bereitstellung einer WPA2 / AES Enterprise-Lösung zu verwenden. Lassen Sie Ihr WLAN-Netzwerk offen, verbinden Sie Ihre Zugangspunkte jedoch mit einem separaten VLAN, konfigurieren Sie Ihre Zugangspunkte, um jeglichen direkten Datenverkehr zwischen Benutzern zu unterbinden, und konfigurieren Sie Ihre Netzwerkfirewall so, dass nur Verkehr von und zu Ihrem VPN-Server zugelassen wird.
• Verbieten Sie schwache Passwörter wie "1234", "qwerty" oder Wörterbücher des Wörterbuchs.
• PEAP / Ms-CHAP-v2- und TTLS / PAP-Authentifizierungsmethoden sind NICHT anfällig für Angriffe im Offline-Wörterbuch. Daher sollten Sie NICHT versuchen, äußerst komplizierte Kennwörter (z. B. "L9fl! 1 ~ SjQQ $ AjN") zu erzwingen: Dies ist ärgerlich und kontraproduktiv -produktiv. Die Benutzer werden sie vergessen oder sie werden auf die Aufkleber aufgeschrieben.
• Stattdessen sollten Benutzer "vernünftige" Kennwörter haben dürfen (8 Zeichen, um Dinge wie "1234" zu vermeiden). Passwörter sollten einfach genug sein, um sich zu erinnern, jedoch so kompliziert, dass Sie sie mit wenigen tausend Versuchen nicht erraten können.
• Stellen Sie sicher, dass Ihr Authentifizierungsserver so konfiguriert ist, dass er Brute-Force-Angriffe erkennt
• Überwachen Sie Ihr Netzwerk auf Eindringlinge und erkennen Sie Rogue-APs.

Ich würde WPA2 (AES-Verschlüsselung) empfehlen. Ich benutze es (WPA2-PSK) zu Hause ohne Probleme und empfehle allen meinen Freunden (und allen, die dies fragen). Die Einrichtung mit einem anständigen Router ist nicht allzu schwierig und übertrifft sicherlich alles andere - wenn man bedenkt, dass MAC-Adressen gefälscht und WEP geknackt werden kann (auch WPA).

Ich denke, dass Ars die Verwundbarkeit von WPA PSK überbewertet hat. Wenn Sie einen guten Schlüssel haben, sollte WPA PSK für den persönlichen Gebrauch geeignet sein. (Es ist nicht gut für Unternehmen, da jeder den gleichen Schlüssel hat.)

Die Frage war:

Was ist die praktischste Sicherheitsmethodik?

Dies impliziert verschiedene Dinge - erstens, dass wir tatsächlich über Sicherheit verfügen und zweitens, dass das Setup oder der Support nicht zu aufwendig ist.

Also in absteigender Reihenfolge der Praktikabilität (am meisten praktisch zuerst) und unter der Annahme, dass Sie tatsächlich sicher sein wollen:

1. Ändern Sie das Standardkennwort und, falls möglich, den Benutzernamen, um sich bei Ihrem Router anzumelden (notieren Sie sich beide, wenn Sie dies tun).
2. (Oder vielleicht 1) Verwenden Sie WPA-PSK - zum besten Standard, das alle Ihre Kits unterstützen (wenn einige Ihrer Geräte nur WEP unterstützen, ersetzen Sie sie oder verwenden Sie eine alternative Methode, um sie zu vernetzen). Verwenden Sie eine längliche Passphrase - muss nicht zufällig sein, eine gute Menge von Wörtern mit gemischter Groß- und Kleinschreibung und einige Interpunktionszeichen werden ziemlich gut funktionieren und sind leichter zu merken und in verschiedene Geräte einzugeben. Wenn Sie Besuchern / Gästen den Zugriff ermöglichen (was praktisch ist), lassen Sie ihn auf etwas schreiben / drucken, von dem sie kopiert werden können, aber lassen Sie das nicht auf einer einfachen Seite.
3. Übertragen Sie die SSID nicht, damit Sie für Leute, die Sie fernhalten möchten, nicht so gut zu finden ist, für Gäste / Besucher usw. weniger gut, da Sie erst durch mehr Reifen springen müssen, um überhaupt eine Verbindung herzustellen.
4. Schränken Sie die MAC-Adressen ein. Wenn Sie jetzt ein neues Gerät zu Ihrem WLAN hinzufügen, wird dies zum mühsamen Job, da Sie am Router Konfigurationsänderungen vornehmen müssen, um das Gerät hinzuzufügen. Dadurch werden wir weniger praktisch sichern.

An diesem Punkt denke ich, dass wir ziemlich an der Grenze dessen sind, was man in Bezug auf Funk- und Heimnetzwerke tun könnte, obwohl ich froh bin, korrigiert zu werden.

Überlegungen, die darüber hinausgehen, sind die normalen für ein Netzwerk, dh die anderen Geräte in Ihrem Netzwerk sollten so geschützt sein, wie es angemessen ist - wenn Sie nicht möchten, dass andere Personen, die sich in Ihrem Netzwerk befinden, in der Lage sind, Ihre Dateien durchzusehen, als Sie sollte die Konten / Server / Ordner / etc schützen, die diese Dateien enthalten.

Wie @Neall angedeutet hat, ist es eine brutale Aussage, zu sagen, dass WPA PSK in wirklichem Maße "gehackt" wurde. In jedem System, das Sie sich vorstellen, ist dies ein offener Standard, der Gegenstand einer eingehenden Überprüfung ist. Ihr allgemeines Ziel ist es, keine entdeckten Techniken zu finden, die besser als die Brute-Force-Suche mit den ausgewählten Anmeldeinformationen der Site sind. Das heißt, es sollte keine echten Abkürzungen geben, um die geheimen Schlüssel zu bestimmen.

Im Fall von WPA PSK werden keine Abkürzungen gezeigt, um die rohe Gewalt zu schlagen. Die einzigen veröffentlichten Techniken bisher haben gezeigt, schlecht gewählt Techniken wurden für die Entdeckung (dh leicht zu erraten) Sätze gelangen über eine Analyse der erfassten Funkverkehr.

Meiner Meinung nach ist dies kaum ein Nutzen von Bedeutung. Es ist eine wichtige Eigenschaft zu verstehen, führt jedoch zum Schluss von etwas, das wir bereits kennen - die Sicherheit kann nur so gut sein wie die gewählte Passphrase.

In Bezug auf die ursprüngliche Frage nach Empfehlungen für die praktische Sicherheit in einer häuslichen Umgebung haben Sie tatsächlich hervorragende Sicherheit, wenn Sie Folgendes tun:

1) Wählen Sie eine lange Passphrase (mehr als 10 Zeichen) aus, die numerische Ziffern, Satzzeichen und / oder Groß- und Kleinschreibung enthält. Im Idealfall werden einige "Wörter" in der Phrase als nicht sinnvolle "Baby Talk" Wörter ausgewählt, die nicht in einem Wörterbuch gefunden werden und je länger desto besser. Diese Regel unterscheidet sich nicht von den Empfehlungen für die Auswahl eines sicheren Kennworts, das für andere Arten von Zugriffsberechtigungen verwendet wird.

2) Verwenden Sie eine nicht standardmäßige SSID, die von anderen wahrscheinlich nicht verwendet wird. Dies soll Wörterbuchangriffe gegen gängige SSIDs verhindern. Es sollte keine Rolle spielen, ob Sie eine gute Passphrase verwenden, aber es ist eine gute zusätzliche Maßnahme

Das Deaktivieren von SSID-Broadcasts und / oder MAC-Adressen-basierten Sperren ist Zeitverschwendung. Die MACs können leicht gefälscht werden und das Erkennen der echten SSID ist trivial, auch wenn die Broadcasts deaktiviert sind.

Fazit: WPA PSK ist sehr sicher, wenn eine gut gewählte Passphrase verwendet wird.

Ich habe gesehen, dass WEP in weniger als einer Minute "gehackt" wurde. MAC-Adressen können auch ziemlich leicht gefälscht werden. Wenn es keinen guten Grund gibt, sich für WEP zu entscheiden (dh meine 2 Router unterstützen nur Wireless Bridge mit WEP-Sicherheit), sollten Sie sich für eine Form von WPA entscheiden.

Durch das Filtern nach MAC-Adressen wird die Sicherheit nicht erhöht. Es ist einfach, sie herauszufinden und auf Ihrer Crackmaschine zu fälschen.

Wenn Sie etwas haben, das Sie WIRKLICH nicht möchten, dass die Leute es wissen, lassen Sie es vom Netzwerk fern oder verschlüsseln mit etwas wie Trucrypt .

Das letzte Mal, als ich darüber nachdachte, war die einzige "sichere" Sache, die ich mir vorstellen konnte: wepor wpa (erkennen, dass beide geknackt werden können), Mac-Filterung (erkennen, dass diese gefälscht werden können) und ipsec-Tunnel (sicher mit einem anständigen System) Schlüssel !!) zwischen den drahtlosen Clients und einem kabelgebundenen Konzentrator oder Server.

Aber für den Heimgebrauch würde ich sagen, dass die MAC-Adressfilterung mit wep / wpa gut genug sein sollte. Oder lassen Sie es einfach offen, wen interessiert das?

Ich antworte nur, um zwei zusätzliche Elemente hinzuzufügen:

1. Wenn Sie von zu Hause aus arbeiten oder mit Arbeitsdaten von zu Hause aus arbeiten, müssen Sie sie wie ein Arbeitsnetzwerk behandeln und als solches schützen. (siehe obigen Hinweis zu ipsec)
2. Dies ist keine Programmierfrage, und ich bin mir nicht sicher, ob es sich um eine Sysadmin-Frage handelt, daher bin ich mir nicht sicher, ob sie überhaupt zu stackoverflow gehört.

Fühlen Sie sich frei, nach oben oder unten zu stimmen, auch wenn Sie 1 oder 2 nicht zustimmen oder nicht zustimmen ... :)

Das Deaktivieren von DCHP auf dem Router funktioniert ziemlich gut, da es den durchschnittlichen Joe davon abschaltet, Ihr WLAN zu verwenden. Sie müssen lediglich auf jedem Computer, den Sie verwenden, eine statische IP-Adresse festlegen, und Sie sind fertig. Dies ist gut, wenn Sie regelmäßig Gäste haben, aber keinen WPA / WEP-Schlüssel herausfischen möchten. Dies ist jedoch keine perfekte Lösung. Um optimale Sicherheit zu erhalten, sollten Sie WPA2 verwenden. Es ist bekannt, dass WEP Schwachstellen aufweist, die mit einem Paketsniffer ausgenutzt werden können.

WPA2 mit einem langen, kryptografisch zufälligen Schlüssel. Verwenden Sie einen Passwortgenerator, um ein zufälliges Passwort mit 63 Zeichen (maximal zulässig) zu generieren.

Ausnahme: Wenn Sie einen Nintendo DS online verwenden möchten, müssen Sie 128-Bit-WEP verwenden. Vertrauen Sie dem drahtlosen Netzwerk nicht, wenn Sie dies tun.