web-dev-qa-db-fra.com

Quel est le meilleur algorithme de chiffrement de réseau sans fil domestique à utiliser?

Quel est le meilleur algorithme de chiffrement de réseau sans fil domestique à utiliser? Je sais que la meilleure réponse changera probablement avec le temps, et j'espère que les gens pourront fournir des réponses mises à jour à mesure que de nouvelles normes seront publiées. Jusqu'à présent, mes connaissances, au début de 2015, sont:

  • WEP - Horrible/obsolète, mais toujours un peu mieux que rien (ou peut-être même pire que rien car il fournit un faux sentiment de sécurité comme indiqué ci-dessous).
  • WPA - Fournit une certaine sécurité, mais il vaut probablement mieux aller avec WPA2.
  • WPA2 - Assez bon (surtout avec le cryptage AES), mais toujours pas parfait. C'est le meilleur que je connaisse pour un réseau domestique.

Existe-t-il de meilleures normes de chiffrement à utiliser que WPA2 pour un réseau sans fil domestique, ou est-ce le meilleur qui soit? Si c'est le meilleur qui soit, est-il facile de pirater?

S'il est vrai que d'autres indiquent que WPA-2 n'est pas adéquat et que rien de mieux n'existe, il semble que ce serait une bonne idée, peut-être même une bonne opportunité de gagner de l'argent pour que quelqu'un développe quelque chose de mieux!

Modifier (1er juillet 2019): WPA3 est maintenant une meilleure option que WPA2.

encryptionnetworkwirelesswpa2wep
43
Jonathan

Du point de vue de la sécurité, je pense que vous posez la mauvaise question. WPA2 est la réponse de base. Mais c'est totalement incomplet! Une réponse plus complète considérera WPA2 comme un composant de la défense de votre réseau sans fil. Bien sûr, il existe des méthodes de cryptage solides utilisant des certificats/vpn, etc., mais elles sont trop difficiles pour la plupart des gens à installer et sont généralement réservés aux entreprises. Supposons donc que WPA-2 soit la "meilleure" réponse à la question de base. Cependant ... comme vous le verrez, il y a beaucoup de points faibles que les attaquants recherchent, qui révèlent finalement votre mot de passe WPA2, donc je les ai inclus dans les points ci-dessous.

Je suppose que beaucoup de gens atterriront sur cette page et verront des réponses disant 'ouais, utilisez simplement un bon mot de passe et un cryptage WPA2', ce qui est un mauvais conseil. Votre réseau WPA2 est toujours complètement vulnérable, comme vous le verrez:

  1. la principale chose que vous pouvez faire est d'être la personne la plus difficile à pirater autour de vous. C'est le plus grand moyen de dissuasion. Si je vais vous pirater, mais que vous prenez trop de temps ou êtes trop cher à casser , je vais essayer la prochaine personne. Cela nécessitera de jouer dans les paramètres de votre routeur.

  2. Je suppose que vous n'utilisez jamais WEP . 10 minutes sur YouTube et votre maman peut le casser.

  3. Désactivez WPS. ceci est EXTRÊMEMENT vulnérable aux attaques par force brute et peut être piraté en quelques secondes, même si vous utilisez WPA2 avec un mot de passe ridiculement complexe . Des outils comme reaver et revdk3 ou bully en font un travail léger. Vous êtes seulement un peu plus protégé si votre routeur prend en charge la limitation de débit, ce qui ralentit, mais n'empêche pas les attaques par force brute contre la broche de votre routeur. Mieux vaut être sûr et simplement désactiver le WPS et être sûr à 100% contre ces attaques.

  4. désactiver l'accès à distance , DMZ, UPNP, redirection de port inutile

  5. allumer, tout système de détection d'intrusion intégré , Filtrage des adresses MAC (fastidieux à configurer si les visiteurs de votre maison veulent accéder à votre wifi (vous devrez ajouter votre appareil d'amis à la liste blanche MAC du routeur pour activer l'accès) Ceci peut être piraté en simulant facilement une adresse MAC, et obtenir votre MAC est également facile avec un scan airodump-ng, mais néanmoins, cela ralentira les attaquants , les oblige à se trouver à proximité d'un appareil client (téléphone portable ou ordinateur portable dans la liste blanche). Ce sera assez efficace contre certaines attaques à distance.

  6. ont un mot de passe très long, non humain et complexe. Si vous avez déjà essayé de déchiffrer un mot de passe, vous saurez qu'il est de plus en plus difficile à déchiffrer. un mot de passe le plus complexe, le moins prévisible et le plus long. Si votre mot de passe ressemble même à distance à un mot, ou à quelque chose qui pourrait probablement être un ensemble de mots (voir: chaînes markov), vous avez terminé. Ne vous embêtez pas non plus à ajouter des nombres à la fin des mots de passe, puis un symbole ... ceux-ci sont facilement piratés avec une attaque par dictionnaire avec des règles qui modifient le dictionnaire pour l'étoffer et couvrir plus de mots de passe. Cela prendra chaque mot ou mots du dictionnaire et ajoutera une syntaxe et des structures populaires, telles que des mots de passe qui ressemblent à cette "majuscule, lettres minuscules, quelques chiffres puis un symbole. Cat111 $, Cat222 # ou tout ce que le cracker veut. Ces dictionnaires sont énormes, certains peuvent être examinés sur crackstation ou tout simplement jeter un œil sur cloudcrackr.com de Moxie Marlinspikes. L'objectif ici est d'être "coûteux en calcul". Si vous coûte trop cher à craquer en utilisant des ordinateurs de craquage basés sur le cloud à très haute vitesse, vous êtes en sécurité contre presque n'importe qui. Donc, idéalement, vous voulez utiliser les 64 caractères maximum pour votre mot de passe, et l'avoir ressemble au morceau de dribble incohérent en majuscules et en minuscules le plus foireux que vous ayez jamais vu. Vous serez probablement en sécurité après 14 caractères, il y a beaucoup d'entropie ici, mais il est beaucoup plus facile d'ajouter des caractères que de déchiffrer.

  7. changez le mot de passe et le SSID par défaut de votre routeur . personne ne le fait, mais tout le monde devrait. C'est littéralement la chose la plus stupide. Aussi, ne soyez pas paresseux. et ne gardez pas le numéro de modèle du routeur dans le SSID, cela pose simplement des problèmes.

  8. mettez à jour le firmware de votre routeur. Aussi, si votre routeur est ancien. jetez-le et achetez-en un plus récent, car il est probable que votre routeur se trouve sur un site Web comme routerpwn.com/ et vous avez déjà perdu la bataille. Les anciens routeurs sont pleins de bogues, peuvent être facilement refusés, n'ont généralement pas de pare-feu ou de systèmes de détection d'intrusion et n'ont généralement pas de limitation du taux WPS par force brute, entre autres. obtenez juste un nouveau.

  9. en savoir plus sur les hacks maléfiques . La façon la plus simple de vous protéger contre cela est d'empêcher votre appareil de se connecter automatiquement. Cependant, cela pourrait encore vous accrocher. Familiarisez-vous avec des logiciels comme le wiphishing et la base aérienne, ces applications clonent votre routeur, puis déni de service de votre routeur faisant que votre appareil se connecte au routeur cloné des attaquants, leur permettant d'intercepter votre trafic. Ils essaient généralement de hameçonner le mot de passe WPA2 ici. Vous êtes plus en sécurité contre ces attaques si vous savez vraiment à quoi ressemble la console Web de votre routeur , car les pages de phishing par défaut fournies avec ces types d'applications sont généralement assez vieux, mais un attaquant sophistiqué peut créer une bonne page de destination. En termes simples, si votre `` routeur '' veut que vous tapiez un mot de passe, ne le tapez pas! On ne vous demandera que lorsque vous êtes en créant le mot de passe, lorsque vous vous connectez spécifiquement à l'interface utilisateur 192.168.0.1 ou 10.1.1.1, vous êtes victime de phishing et le jeu est terminé. Pour empêcher cette attaque, vous pouvez également réduire artificiellement la portée de votre routeur. sortez l'antenne et créez une petite cage faraday autour d'elle, en laissant une petite zone qui pointe vers votre position wifi la plus idéale. Alternativement, utilisez simplement un câble pour votre ordinateur portable ou votre ordinateur jusqu'à ce que l'attaquant abandonne.

  10. les attaques de prise de contact sont assez populaires, c'est là que l'attaquant envoie un paquet de désautorisation à toute personne connectée à votre routeur à l'aide de votre mot de passe, puis lorsque cet appareil (disons un iPhone) tente de se reconnecter, il capture la `` poignée de main à 4 voies '' qui permet à l'appareil et au routeur de s'authentifier à l'aide de votre mot de passe WPA2. C'est ce que les pirates utilisent pour se casser hors ligne en utilisant les attaques par mot de passe au point 6. Cependant, si vous avez utilisé un mot de passe fort (comme décrit au point 6), alors vous avez déjà atténué cette attaque .

  11. Je me suis donc concentré sur la défense basée sur un routeur, mais il existe en fait des moyens encore plus faciles d'être attaqués. Si l'attaquant sait qui vous êtes, vous êtes foutu. Avec un tout petit peu d'ingénierie sociale , ils peuvent trouver votre facebook votre e-mail ou une autre façon de vous contacter et insérer un extrait de code malveillant qui est invisible et Détournez l'ensemble de votre ordinateur, ce qui leur permet donc de simplement vérifier les paramètres wifi de votre ordinateur et d'obtenir le mot de passe ultra fort que vous avez passé si longtemps à créer. Une méthode populaire consiste à vous envoyer un e-mail indésirable et à continuer de l'envoyer jusqu'à ce que vous cliquiez sur la désinscription, comme vous le feriez habituellement pour le courrier indésirable, sauf que ce lien est exactement la pire chose à faire. Vous avez enfreint la loi cardinale du courrier électronique. Ne cliquez pas sur les liens dans les e-mails. Si vous devez cliquer sur l'un, vérifiez au moins où il va en premier.

  12. Si quelqu'un a accès à l'un de vos appareils, ou branche/obtient que vous branchez un appareil sur votre ordinateur portable, vous êtes parti. des choses comme des clés USB 'USB Rubber Duck' peuvent compromettre votre ordinateur et révéler votre mot de passe WPA2 à un pirate relativement novice.

  13. si vous utilisez un clavier sans fil et que vous vivez près d'un voisin attaquant , il peut utiliser des choses comme balai à clés pour compromettre votre wifi, et bien plus encore. Cela pourrait être utilisé de manière créative avec une attaque jumelle maléfique pour augmenter la probabilité que vous tapiez votre mot de passe (il écoute les signaux du clavier sans fil). La façon de empêcher cette attaque est de ne pas utiliser de clavier Microsoft sans fil.

Il existe de nombreuses autres façons, et vous ne les empêcherez jamais toutes

mais généralement si votre routeur est verrouillé , a un joli mot de passe, a WPS désactivé, WPA2 activé, un (nouveau) routeur puissant avec un mot de passe, aucun accès Web à distance, les ports inutiles sont fermés, le filtrage MAC est utilisé et la détection d'intrusion dans le routeur est activée, vous empêcherez généralement même les attaquants assez dévoués. Ils devront essayer des méthodes plus dures et abandonneront probablement.

38
catsquid

En résumé, WPA2 est actuellement le système de sécurité sans fil le plus sécurisé.

Personnel et entreprise

Il prend en charge deux principaux modes d'authentification, appelés WPA2-Personal et WPA2-Enterprise. Le premier utilise une clé pré-partagée (PSK) et est généralement considéré comme le plus approprié pour les réseaux domestiques, tandis que le second est 802.1x qui nécessite un serveur d'authentification.

WPS

Un troisième mode d'authentification, Wi-Fi Protected Setup (WPS), est connu pour être vulnérable et doit être désactivé sur tous les réseaux sans fil. Lorsque ce mode d'authentification est activé (et il l'est souvent par défaut), le PIN associé) peut généralement être énuméré en quelques heures.

Clés pré-partagées

L'authentification PSK, le type utilisé dans les réseaux domestiques, est vulnérable aux attaques par force brute hors ligne. Si un attaquant peut capturer une poignée de main WPA/WPA2, il peut utiliser des attaques par force brute et par dictionnaire (comme vous pourriez le faire avec un hachage), passant essentiellement par un grand nombre de valeurs possibles jusqu'à ce qu'une correspondance soit trouvée. Heureusement, la génération de WPA poignées de main est assez lente, ce qui rend la tâche plus difficile pour un attaquant, mais une fois la poignée de main capturée, ils ne doivent pas rester à proximité, ce qui pourrait potentiellement disparaître pendant des mois. pour le casser hors ligne (s'ils sont très déterminés)!

Les contre-mesures potentielles contre ces attaques PSK comprennent:

  • Une clé suffisamment forte, longue, complexe et non basée sur un mot de dictionnaire ou une expression courante (idéalement aléatoire), de sorte qu'il faudrait un temps extrêmement long pour se fissurer.

  • Une clé qui est modifiée à intervalles réguliers, de sorte qu'il est peu probable qu'un attaquant puisse la casser avant qu'elle ne change.

  • N'utilisez pas le SSID par défaut. Changer le "nom" du réseau sans fil empêchera Rainbow tables d'être utile. Des tableaux arc-en-ciel ont été compilés pour de nombreux SSID courants et ceux-ci peuvent réduire considérablement le temps nécessaire pour casser le PSK.

WPA2-Enterprise à domicile

Si vous êtes vraiment soucieux de la sécurité, il est tout à fait possible de configurer WPA2-Enterprise dans un environnement domestique, bien que vous deviez configurer un serveur RADIUS et utiliser un routeur qui le prend en charge - donc c'est un processus beaucoup plus complexe. Exemple

Les recommandations ci-dessus ne concernent que la réduction de la probabilité que le WPA2 soit spécifiquement fissuré. Dans tout réseau sans fil, une série d'autres considérations doivent être prises telles que la modification du nom d'utilisateur et du mot de passe de configuration du routeur et si les listes de périphériques doivent être surveillées ou le filtrage des adresses MAC utilisé.

27
itscooper

La réponse courte est: utilisez WPA2. WPA serait quelque peu tolérable, mais WPA2 devrait vraiment être préféré. Faites pas utilisez WEP, ce qui n'est pas vraiment mieux que rien (sans doute, WEP est pire que rien, car cela donne aux utilisateurs impression que la sécurité est en place, alors qu'elle ne l'est pas).

Plus important encore, assurez-vous d'utiliser un mot de passe fort (ce qui signifie: très aléatoire) et essayez d'éviter les "SSID communs" comme (par exemple) "homewifi" (certaines personnes ont compilé de grands tableaux de hachages de mots de passe précalculés pour certaines valeurs SSID courantes; vous pouvez battez toujours les attaquants dans cette situation en utilisant un mot de passe encore plus aléatoire, mais en utilisant un SSID peu commun améliore vos chances). Notez que les utilisateurs normaux ne tapent le mot de passe WiFi qu'une seule fois; par la suite, le mot de passe est stocké dans les entrailles de leur ordinateur ou appareil mobile; ainsi, il n'y a pas de réel problème à avoir un mot de passe long, gros, aléatoire et non mémorisable pour votre réseau WiFi.

Le SSID caché n'améliore pas la sécurité (bien que certaines personnes soient convaincues). Avec un SSID non caché, les utilisateurs n'ont jamais à le taper même une fois, donc un SSID choisi au hasard peut être utilisé sans aucun effet néfaste; un SSID choisi au hasard est susceptible d'être "peu courant" dans le sens exprimé ci-dessus.

(Dans tout ce qui précède, par "aléatoire", je veux dire "générer avec des pièces/dés/ordinateur, pas avec votre cerveau humain et charnu, ce dernier étant totalement incapable de produire un caractère aléatoire non pathétique qualité.)

Je ne suis au courant d'aucun plan en cours pour créer un WPA3 plus récent et amélioré. WPA2 est déjà assez puissant, dans les limites de la conception WiFi - en particulier, WPA2 vise à protéger le réseau contre les étrangers, mais pas signifie que les utilisateurs régulièrement connectés ne peuvent pas s'espionner les uns les autres. Si vous voulez aller plus loin, vous devrez ajouter une autre couche, par ex. appliquer l'utilisation IPsec entre les machines utilisateur et la passerelle.

10
Thomas Pornin