Qual é o método de segurança mais prático para uma rede sem fio doméstica?

WiFi at home can be simple and secure.

A solução que recomendo

• WPA2 com criptografia AES
• Em casa (ou para um escritório pequeno), use uma chave pré-compartilhada (PSK). Esta é uma arquitetura pessoal WPA (em oposição a uma arquitetura WPA Enterprise).
• Use uma senha longa e NÃO a escreva, apenas lembre-se (vejo senhas em adesivos em todos os lugares, isso me deixa louco). Você pode inventar qualquer tipo de senha WPA como esta, por exemplo: " Eu quero contar 87 $ batatas para sempre duas vezes ". É mais difícil adivinhar quando isso não faz sentido ... e é realmente mais fácil lembrar desse jeito! Se você acha que leva muito tempo para digitá-lo, basta salvá-lo, você está em casa.

Observação : você precisa de uma longa frase-senha, pois WPA / PSK e WPA2 / PSK são vulneráveis a ataques de dicionário off-line. Os hackers podem farejar uma tentativa de login bem-sucedida e tentar milhões de senhas off-line até encontrarem a que corresponda.

E, é claro, todas as outras recomendações usuais vêm à mente:

• Instale um antivírus e mantenha-o atualizado
• Ativar seu firewall
• Altere a senha do seu roteador
• Desative o acesso à sua interface administrativa pela Web, a menos que você realmente precise
• Não ative sua funcionalidade DMZ
• Não forneça seu endereço pessoal no Facebook ou em qualquer lugar na Web
• Não converse com psicopatas

Você deve evitar o WPA / TKIP?

Sim e não. Uma falha no WPA e WPA2 com criptografia TKIP foi descoberta recentemente pelos pesquisadores. As pessoas alegaram que o WPA / TKIP está quebrado. NÃO é ... ainda. Por enquanto, a falha só permite que hackers (muito motivados) decifrem alguns pequenos pacotes, de vez em quando. Não lhes permitiria fazer muito mal. Então, se seus equipamentos WiFi suportam apenas WPA / TKIP, não entre em pânico. WPA / TKIP está danificado mas não está quebrado. Basta ir em frente e atualizar seus equipamentos para WPA2 / AES pessoal quando você tem algum dinheiro para gastar. Não se apresse.

Soluções NÃO recomendo

Estas "soluções" só tornarão a sua vida mais complicada, sem lhe dar qualquer tipo de segurança real:

• Criptografia WEP: está quebrada há anos.
• Filtragem MAC: complicada de gerenciar, trivial para falsificar
• Sem difusão SSID: trivial para detectar um SSID "oculto". Só mantém vizinhos e amigos longe. WPA2 / AES iria mantê-los longe de qualquer maneira, a menos que você quisesse.

Soluções para uma organização de médio ou grande porte

Este é apenas um bônus grátis, você pode querer ignorá-lo (a questão era apenas sobre segurança Home). ; -)

• Use WPA2 / AES Enterprise (requer um servidor RADIUS para autenticação, autorização e contabilidade) com PEAP / Ms-CHAP-v2 ou TTLS / PAP.
  • Como alternativa, se você tiver uma solução de VPN existente, talvez seja mais simples usá-la em vez de implantar uma solução WPA2 / AES Enterprise. Deixe sua rede WiFi aberta, mas conecte seus pontos de acesso a uma VLAN separada, configure seus pontos de acesso para proibir todo o tráfego direto entre usuários e configure seu firewall de rede para permitir tráfego somente de e para seu servidor VPN.
• Proibir senhas fracas como "1234", "qwerty" ou palavras de dicionário.
Os métodos de autenticação
• PEAP / Ms-CHAP-v2 e TTLS / PAP NÃO são vulneráveis a ataques de dicionário offline, portanto você NÃO deve tentar impor senhas extremamente complicadas (como "L9fl! 1 ~ SjQQ $ AjN"): é irritante e contraproducente. Os usuários vão esquecê-los ou, novamente, eles os anotam em adesivos.
• Em vez disso, os usuários devem ter permissão para ter senhas "razoáveis" (8 caracteres, evitando coisas como "1234"). As senhas devem ser simples o suficiente para serem lembradas, mas complicadas o suficiente para que você não possa adivinhá-las com apenas alguns milhares de tentativas.
• Verifique se o seu servidor de autenticação está configurado para detectar ataques de força bruta
• Monitore sua rede em busca de invasões e detecte APs invasores.

Eu recomendaria o WPA2 (criptografia AES). Eu uso (WPA2-PSK) em casa sem problemas, e recomendo todos os meus amigos (e qualquer um que perguntar). Não é muito difícil configurar com um roteador decente e certamente supera qualquer outra coisa - tendo em mente que os endereços mac podem ser falsificados, e o WEP pode ser quebrado (WPA também).

Acho que o Ars estava exagerando a vulnerabilidade do WPA PSK. Contanto que você tenha uma boa chave, o WPA PSK deve ser bom para uso pessoal. (Não é bom para a empresa porque todos têm a mesma chave.)

A questão era:

what is the most practical security methodology

Isto implica várias coisas - primeiro que nós realmente temos segurança e em segundo lugar que não é muito oneroso para configurar ou apoiar.

Então, em ordem decrescente de praticidade (mais prático primeiro) e assumindo que você realmente quer estar seguro:

1. Altere a senha padrão e, se possível, o nome de usuário para fazer login no roteador (mas anote as duas quando fizer isso).
2. (Ou talvez 1) Use o WPA-PSK - com o melhor padrão que todos os seus kits suportam (se algum de seus materiais só suporta WEP, substitua-o ou use um método alternativo para conectá-lo). Use uma frase longa - não precisa ser aleatória, um bom conjunto de palavras usando letras maiúsculas e minúsculas e alguma pontuação também será mais fácil e será mais fácil de lembrar e entrar em vários dispositivos. Se você vai permitir o acesso a visitantes / convidados (que é onde a prática entra), em seguida, tê-lo escrito / impresso em algo que eles podem copiar, mas não deixe isso no site simples.
3. Não transmita o SSID, dificulta a localização de pessoas que você deseja manter longe, menos boas para visitantes / visitantes, etc., já que você precisa passar por mais aros para se conectar.
4. Restringir os endereços mac - neste ponto, adicionar um novo dispositivo à sua rede sem fio começa a se tornar uma tarefa difícil, já que é necessário fazer alterações de configuração no roteador para adicionar o dispositivo, portanto, estamos começando a receber menos prático, embora mais seguro.

Neste ponto, acho que estamos bem no limite do que se pode fazer em termos de redes sem fio e domésticas, embora eu esteja feliz em ser corrigido.

Considerações além desta são as normais para qualquer rede, isto é, que os outros dispositivos em sua rede devem ser protegidos em qualquer grau apropriado - se você não quiser que outras pessoas que estejam em sua rede possam ignorar sua rede. arquivos, então você deve estar protegendo as contas / servidores / pastas / etc contendo esses arquivos.

Como o @Neall indicou, é uma afirmação grosseira dizer que o WPA PSK foi "hackeado" em qualquer grau real. Em qualquer esquema que você venha a apresentar - que é um padrão aberto sujeito a escrutínio de implementação - seu objetivo geral é que não haja técnicas descobertas que possam fazer melhor do que a busca de força bruta contra as credenciais selecionadas do site. Ou seja, não deve haver atalhos reais para determinar as chaves secretas.

No caso do WPA PSK, não há atalhos mostrados para vencer a força bruta. As únicas técnicas publicadas até agora têm sido técnicas demonstradas para descobrir senhas mal escolhidas (isto é: facilmente adivinhadas) através de uma análise do tráfego sem fio capturado.

Na minha opinião, isso dificilmente é uma façanha de qualquer significado. É uma propriedade importante de entender, mas leva à conclusão de algo que já sabíamos - a segurança só pode ser tão boa quanto a frase secreta escolhida.

Em termos da pergunta original para recomendações de segurança prática em um ambiente doméstico, você realmente tem excelente segurança se fizer o seguinte:

1) Selecione uma frase longa (mais de 10 caracteres) que contenha dígitos numéricos, pontuação e / ou maiúsculas e minúsculas. Idealmente, algumas "palavras" na frase são escolhidas como palavras "falas de bebês" que não são encontradas em um dicionário e quanto mais, melhor. Essa regra não é diferente das recomendações da seleção de uma senha segura usada para qualquer outro tipo de credencial de acesso.

2) Use um SSID não padrão que provavelmente não seja usado por outras pessoas. Isso é para impedir ataques de dicionário contra SSIDs comuns. Não importa se você usa uma boa frase secreta, mas é uma boa medida extra

Desativar transmissões SSID e / ou bloqueios baseados em endereço MAC são uma perda de tempo. Os MACs são facilmente falsificados e descobrem que o SSID real é trivial, mesmo se as transmissões estiverem desativadas.

Conclusão: WPA PSK é muito seguro se uma frase secreta bem escolhida for usada.

Eu já vi demonstrações de WEP sendo "hackeadas" em menos de um minuto. Endereços MAC também podem ser falsificados facilmente. A menos que haja uma boa razão para usar o WEP (ou seja, meus dois roteadores suportam apenas bridge wireless com segurança WEP), use alguma forma de WPA.

A filtragem no endereço MAC não adiciona nada à segurança, é fácil detectá-los e imitá-los em sua máquina de quebrar.

Se você tiver alguma coisa que REALMENTE não queira que as pessoas saibam, mantenha-a fora da rede ou criptografada com algo como Trucrypt .

A última vez que pensei nisso, a única coisa "segura" que consegui encontrar foi wepor wpa (perceber que ambos podem ser quebrados), filtragem de mac (perceba que estes podem ser falsificados) e ipsec túneis (seguro com uma chave decente !!) entre os clientes sem fio e um concentrador ou servidor com fio.

Mas para uso doméstico, eu diria que a filtragem de endereço MAC com wep / wpa deve ser boa o suficiente. Ou apenas deixe aberto, quem se importa?

Estou respondendo apenas para adicionar dois itens adicionais:

1. se você estiver trabalhando em casa ou lidando com dados de trabalho em casa, você precisa tratá-lo como um trabalho rede e protegê-lo como tal. (Vejo nota acima sobre ipsec)
2. isso não é uma questão de programação e Eu não tenho certeza se é mesmo um sysadmin pergunta, então eu não tenho certeza se ainda pertence em stackoverflow.

Sinta-se à vontade para votar para cima ou para baixo, mesmo que você não concorde ou discorde de 1 ou 2 ...:)

Desligar o DCHP no roteador funciona muito bem, o que evita que o usuário médio use o seu wireless. Você só precisa definir um IP estático em cada computador que você usa e pronto. Isso é bom se você tiver convidados regularmente, mas não quiser pescar uma chave WPA / WEP. No entanto, esta não é uma solução perfeita e, para obter a melhor segurança, você deve usar o WPA2. Sabe-se que o WEP tem vulnerabilidades que podem ser exploradas com um sniffer de pacotes.

WPA2 com uma chave longa e criptograficamente aleatória. Use um gerador de senha para gerar uma senha aleatória de 63 caracteres (o máximo permitido).

Exceção: se você quiser usar um Nintendo DS online, então você tem que usar o WEP de 128 bits. Não confie na rede sem fio se você fizer isso.

Acho que uma maneira segura de roteador sem fio regular é ter uma lista de endereços MAC permitidos e negar acesso ao restante. Além disso, você pode usar um WPA2.

Nunca coloque um cadeado de US $ 1.000 em uma bicicleta de US $ 20.

Se a sua rede doméstica, ou seja, não apenas os hosts individuais, mas a infraestrutura de rede em si, é tão valiosa que a força do WPA2 / PSK não é seguro suficiente contra os invasores que você está realmente esperando enfrentar, então você deve executando cabos CAT-5 em sua casa em vez de pontos de acesso Wi-Fi. Você provavelmente também deve considerar atualizações para seus sistemas de segurança física ... a casa de um homem é seu castelo, como dizem. Lembre-se de certificar-se de que os geradores têm tanques de combustível com capacidade suficiente, os tanques de água doce são grandes o suficiente para toda a família. Em um cerco, a água fresca é geralmente o recurso que se esgota primeiro.