אבטחת רשת אלחוטית יעילה
על מנת לענות על פרוטוקול ה-WEP הבעייתי ולאפשר תקינה מוסדרת של פרוטוקול הצפנה אלחוטי פותח פרוטוקול ה-WPA2. פרוטוקול זה לקח את העקרונות שהושתתו בפרוטוקול ה-WPA המקורי והביא אותם לתקינה מוסדרת של ארגון ה-Wi-Fi Alliance תוך הצגת אבטחה משופרת. מתקפת bruteforce רגילה אינה פרקטית מול פרוטוקול זה. אבל כמו שרשרת – גם פרוטוקול הצפנה חזק רק כעובי הנקודה החלשה שלו.
כפי שהזכרנו לעיל הסיסמה, שם המשתמש ושם הרשת מהווים חלק מנוסחת ההצפנה של האלוגריתם. שימוש בסיסמה חלשה או נפוצה תקל מאוד על התקפות dictionary (מבוססות מילון) על הרשת.
כפי שהזכרנו לעיל הסיסמה, שם המשתמש ושם הרשת מהווים חלק מנוסחת ההצפנה של האלוגריתם. שימוש בסיסמה חלשה או נפוצה תקל מאוד על התקפות dictionary (מבוססות מילון) על הרשת.
בנוסף ניתן להשוות בין קטעי קוד (hash) מוכנים מראש למידע שנאסף מהרשת ולחפש התאמות, דבר שיכול להאיץ את תהליך הפריצה. ישנם HASHים מוכנים מראש של אלפי שילובים של שמות משתמש, רשתות וסיסמאות נפוצים. שינוי שם הרשת ושם המשתמש לשם ייחודי ובחירת סיסמה חזקה (מעל 13 תווים כולל מספרים ותווים מיוחדים, ולא – מספר הפלאפון שלכם לא מהווה סיסמה בטוחה!) תגן עלינו מרוב ניסיונות הפריצה הנפוצים והמהירים. המהדרים גם יחליפו סיסמה כל חצי שנה דבר שיגרום לכל המידע שנאסף עד אז להפוך לחסר תועלת.
טוב, אז הגדרנו את אבטחת הרשת ל-WPA2, בחרנו שם מיוחד לרשת, סיסמה חזקה ושינינו שם משתמש וסיסמה לנתב. עכשיו אפשר לשבת ולהרגע עם רשת מאובטחת היטב.
או שלא?
או שלא?
נפלאות ה-WPS
ככל שהתפתחו הרשתות האלחוטיות וההצפנה השתכללה כך נוחות השימוש וההתחברות לרשת חדשה נעשו מסורבלים יותר ויותר. מלחיצת "התחבר לרשת" בודדה שנדרשה מהמשתמש הפשוט בתחילת השימוש ברשתות האלחוטיות הגענו להזנה של סיסמאות ארוכות מאוד ובעלות תווים מיוחדים ומסובכות ככל האפשר. דבר זה גרם למשתמשים רבים להרים ידיים בתסכול ופשוט לא לאבטח את הרשת. בשנת 2007 יצר ארגון ה-WiFi alliance את פרוטקול ה-WPS כמענה לבעיה זו. הרעיון העומד מאחורי הפרוטוקול הוא פשוט – במקום להזין סיסמה מסובכת בעת החיבור יהיה ניתן להזין מספר בן 8 ספרות שיאשר לנתב שמדובר במשתמש מאושר ואז הנתב ישלח לו את הגדרות הרשת וכך נחסוך את תהליך ההגדרה המסורבל.
עד כאן הכל טוב ויפה אבל כמו באמרה המפורסמת "הדרך לגיהנום מרוצפת כוונות טובות" בניסיונם להקל על המשתמשים יצר ארגון ה-WiFi alliance פרצת אבטחה לא קטנה. תהליך אימות ה-WPS פגיע מאוד למתקפות bruteforce המסוגלות לפרוץ אותו במשך מספר שעות בודד. פיצוח הפרוטוקול הנ"ל יתן בידיו של פורץ זדוני את פרטי הרשת ואף את סיסמתה כך שכל הזמן שהשקענו באבטחת המערכת ירד לטימיון.
איך זה עובד? תהליך האימות של ה-WPS מבוסס על שליחת 8 מספרים לנתב וביצוע אימות מולו. הספרה האחרונה בכל מספר היא סיכום הביקורת של שבעת המספרים שלפניה כך שיש רק שבעה מספרים שצריך "לנחש". בנוסף, אימות המספר מתחלק לשניים, כלומר 4 הספרות הראשונות והאחרונות מאשרות בנפרד על תקינותם. כך יוצא שבמקום 100 000 000 יש סה"כ 10,000 אפשרויות (ארבעת הספרות הראשונות) + 1,000 (שלושת הספרות האחרונות ללא ספרת הביקורת) = 11,000 אפשרויות סה"כ. זהו מספר נמוך מאוד שמאפשר את ניחוש המספר ופריצת סיסמת הרשת האלחוטית במספר שעות נמוך, במיוחד בשל העובדה שלא נצטרך לעבור על כל האפשרויות כמובן ובפועל כמות הניסיונות תהיה כבמחצית מהמספר הנ"ל (מבחינה סטטיסטית).
הבעייתיות של פרצה זו גוברת בהתחשב בעובדה שמרבית הנתבים שיוצרו בשנים האחרונות מגיעים עם אפשרות ה-WPS מופעלת כברירת מחדל. חוסר המודעות לחולשות הפרוטוקול מונעת מהמשתמשים להתייחס לפרצה ולטפל בה.
בניגוד לתיאור הטכני שנראה מסובך למשתמש לא מנוסה, הדרישות היחידות לניצול פירצה זו הן מחשב נייד מצוי, דיסק livecd של הפצה המתמחה באבטחה וידע בסיסי באנגלית. סה"כ מדובר בהרצת 2-3 פקודות, לא יותר. מסיבות מובנות לא נפרט כאן על התהליך עצמו אבל ניתן למצוא מידע זה ברגעים ספורים בחיפוש בגוגל.
אז מה עושים?
התגובה האוטומטית של משתמש מהשורה היא לבטל את השימוש בפונקציית ה-WPS ולשכוח מהעניין. הבעיה היא שבמספר לא מבוטל של נתבים (לדוגמא של חברת LINKSYS האהודה) לא ניתן לבטל את אפשרות ה-WPS! גם כאשר מבטלים אותה מממשק הנתב ה-WPS עדיין מופעל והנתב פגיע.
כיצד ניתן להתגונן? קבלו מספר פתרונות אפשריים:
1. לעדכן קושחה – מספר חברות הזדרזו להוציא עדכוני קושחה לנתבים מתוצרתם על מנת למנוע ניצול לרעה של פונקציית ה-WPS. לדוגמא, נתב tp-link 1043nd נעל את אפשרות השימוש ב-WPS לאחר כ-60 עד 100 ניסיונות בלתי מוצלחים. יש לוודא בספרות המצורפת לנתב ולעדכון הקושחה שהיא אכן פותרת את הבעיה.
2. בנתבים התומכים ניתן לבטל את האפשרות "enable router's pin" בתפריט ה-WPS, דבר שמונע את המתקפה. בנתבים שאינם מאפשרים זאת אפשר לבטל לחלוטין את מנגנון ה-WPS אבל יש לוודא שהשימוש בו באמת מופסק (כפי שהסברנו לעיל).
3. התקנת קושחת DD_WRT – הקושחה הנפוצה אינה תומכת כלל במנגנון ה-WPS וכך חסינה למתקפה זו.
4. להיות עירניים – במקרה ואין עדכון קושחה מתאים והנתב שלכם נמצא כבעייתי יש צורך לשים לב לרשת ומדי פעם לוודא שאף אחד לא "תפס עלינו טרמפ". כמו כן מומלץ להחליף את סיסמת הרשת האלחוטית מפעם לפעם.
לסיכום
במאמר זה טעמנו קצת מיתרונותיהן וחסרונותיהן של הרשתות האלחוטיות. למדנו את החולשות המובנות שלהן וכיצד להתגבר ולמזער אותן. אנו מקווים שמדריך זה היה לכם לעזר, ושתוכלו סופסוף לישון בשקט בידיעה שאף אחד לא זולל לכם את רוחב הפס או משתלט על הנתונים האישיים שלכם.
במידה ואתם נתקלים בבעיות, או שיש לכם עוד כמה שאלות לשאול, תוכלו לגשת לפורום האינטרנט ורשתות שלנו.
הרבה רשתות מוצפנות בWEP
וניתן לפרוץ אליהם בקלי קלות מכל מחשב נייד.
כל טמבל עם התוכנה המתאימה יכול לעשות זאת.
משתמש זדוני עם גישה למחשב
יכול לשלוף את הסיסמה גם מוינדוס 7 ולא רק מ-XP, הסיסמה נמצאת במאפייני הרשת האלחוטית
הכי טוב WPA2
ואפשר גם לשלב ביחד עם MAC FILTERING.
אבל זה מבאס כשמגיע אנשים אליכם וצריך להגדיר להם שיוכלו לגשת…
אגב, ב WPS, יש אפשרות לאשר התחברות עם לחיצת כפתור על הראוטר, יותר בטוח מזה לא יכול להיות, אבל לא נראה לי שלמישהו יש כח כל פעם לעשות את זה.
ולפני שאנשים רצים למתקינים DD_WRT, זהירות או שהראוטר שלכם ישבוק חיים.
מאמר טוב
תודה רבה
הרשת האל חוטי שלי חסינה לפריצות מאויר
כי היא חוטית, זה חוסך כאבי ראש מיותרים
ל-5
גאוני! איך לא חשבו על זה קודם?
ומה עם מחשבים ניידים, טלפונים סלולרים, טאבלטים וכו' שמחייבים התקנה של רשת אלחוטית? אין לך? סחטיין.
לרוב האנשים היום יש ולכן חייבים גם רשת שהיא אל חוטית.
אפשר להסתדר יפה מאוד
למחשב נייד יש חיבור לאינטרנט קווי , טבלט אין ולטלפון סלולרי יש אינטרנט בלי הגבלה.
אני לא מתלהב מאינטרנט אלחוטי כי אם כל ההגנות זה עדין פריץ בקלות יחסית ויש לך גם מחיר שרוב האנשים לא חושבים עליו הקרינה שמופעלת על דיירי הבית 247 לך תדע מה חשיפה כזאת תגרום אני מעדין לא להיות שפן ניסיון.
http://www.calcalist.co.il/internet/articles/0,7340,L-3432941,00.html
אנחנו יודעים שקיים אינטרנט חוטי
אבל נושא המאמר הוא אינטרנט אלחוטי!
גם באינטרנט חוטי יש בעיות אבטחה. זה לא אומר שאני אתחיל להמליץ לא להשתמש בכלל באינטרנט.
STAY ON TOPIC. KTHX.