Come proteggere una rete WiFi?

• Lo prendo quando dici WPA2 intendi WPA2-Personale. È abbastanza buono nella maggior parte dei casi al momento, purché combinato con una buona password. link è un buon generatore per loro.
• Disattiva Wi-Fi Protected Setup (WPS). Altrimenti, un utente malintenzionato deve solo rompere un PIN di 8 cifre, e questo è perfettamente fattibile.
• Cappa il tuo SSID. Non fermerà un determinato aggressore, ma fermerà alcuni degli script kiddie come attaccanti.
• Solo consentire specifici indirizzi MAC può essere un buon passo per gestire l'accesso degli utenti. Ma ancora una volta non rallenterà davvero un aggressore determinato, in quanto potranno vedere comunque quali indirizzi MAC sono attualmente connessi al wireless in testo normale comunque.
• Se possibile, una buona tattica per ridurre la probabilità che il tuo WiFi venga attaccato è posizionare bene il punto di accesso wireless in modo che la quantità minima di segnale venga trasmessa all'esterno dell'edificio. In questo modo l'attaccante deve essere più vicino per iniziare l'attacco a meno che non abbia migliorato le antenne wireless per afferrare da miglia di distanza.

Sì, le persone possono trasmettere un segnale più strong per cercare di connetterti a loro invece del tuo attuale punto di accesso desiderato usando strumenti come Karma . Non conosco alcun modo specifico per proteggersi da questo, tranne per non consentire alcuna associazione automatica invece ogni volta che si desidera connettersi al wireless, si dovrebbe farlo manualmente e verificare che ci si connette al punto di accesso corretto.

Dipende dalla rete / dall'ambiente. Per reti wireless SOHO WPA 2 Personal con una passphrase strong utilizzata per PSK dovrebbe essere sufficiente.

Per reti o reti aziendali che trattano informazioni riservate devono essere utilizzati i seguenti controlli:

• WPA 2 Enterprise legata a IEEE 802.1X / EAP
• Rete wireless segregata dalla rete interna
• Monitoraggio dei WIPS e dei registri per rilevare / prevenire attacchi locali
• I client wireless che necessitano di un accesso interno devono connettersi tramite VPN
• Limita la copertura a ciò che è assolutamente necessario attraverso i controlli fisici e / o la manipolazione della potenza del segnale

Sono d'accordo con tutti i punti menzionati finora, e poiché sia Mark Davidson che sdanelson hanno menzionato la copertura radio, volevo solo ampliare leggermente questo aspetto in quanto vi sono un paio di aree:

Intensità del segnale - in genere si desidera utilizzare la forza minima del segnale possibile in una particolare area, quindi un attaccante al di fuori della propria parte non può accedere, ma questo può lasciare aperto a un Evil Twin attacca se un access point malevolo copia il tuo SSID e utilizza una potenza del segnale molto più elevata.

Una soluzione è pensare ai tuoi percorsi di propagazione : localizzare i tuoi punti di accesso all'esterno del tuo sito con antenne configurate per essere direzionali nel tuo sito ti aiuterà molto dato che puoi aumentare il punto di accesso forza del segnale (in modo che sia più strong per i client) senza propagare il segnale fino al di fuori del lato.

Una soluzione più semplice, ma più efficace che ho visto (che potrebbe essere eccessivo per te - l'ho vista utilizzata in un ambiente molto sensibile): pareti rivestite in metallo e soffitto con rete nelle finestre - un sondaggio wireless di questo sito sito selezionato zero perdite RF!

La sicurezza attraverso l'oscurità - in questo caso nasconde i beacon SSID - ti dà un falso senso di sicurezza. Il tuo punto di accesso continuerà a trasmettere SSID, ma non nei frame dei beacon. Molti utenti ordinari saranno comunque in grado di connettersi poiché i driver di molte piattaforme identificheranno ancora il SSID e tutti gli utenti malintenzionati saranno in grado di trovarti come farebbero normalmente: prova uno degli strumenti disponibili su Russix LiveCD e funzioneranno abbastanza felicemente con la trasmissione SSID disabilitata .

Solo per lanciarlo qui.

Il singolo migliore modello di sicurezza "wireless" è quello di sostituire quei router wireless con il normale cablaggio CAT-5.

Il prossimo elemento migliore è garantire che tutto il traffico tra i computer sia protetto utilizzando Kerberos oltre alla crittografia fornita dal router wireless. Questo può essere fatto con le impostazioni dei criteri di gruppo sui domini Windows.

Qualunque cosa tu faccia, non fidarti in modo nativo di qualsiasi macchina che è in grado di autenticarsi sul tuo router.

Partendo dal presupposto che si tratta di un router wireless per una casa o una piccola impresa, dovrei raccomandare quanto segue:

• Come regola generale, modifica tutto ciò che è predefinito sul router, incluso ma non limitato al SSID e all'interfaccia web.

• È necessario utilizzare WPA2 solo con crittografia AES e una chiave sicura con password alfanumerica contenente più di 8 caratteri. Non hai bisogno di una password di 63 caratteri per proteggere la tua rete domestica.

• Utilizza Wireless Mac Filtering per consentire solo ai dispositivi wireless autorizzati di connettersi alla rete. Questa informazione è indicata come indirizzo fisico o indirizzo MAC e può essere trovata su una macchina Windows digitando ipconfig / all dal prompt dei comandi.

• Se il tuo router wireless lo supporta, dovresti limitare il raggio d'azione entro i confini della tua proprietà per ridurre l'area in cui un hacker potrebbe posizionarsi da solo.

• Infine nascondere il SSID non farà nulla nel modo di proteggere la tua rete e renderà in effetti più suscettibile agli attacchi. Inoltre, chiunque sia in grado di forzare una password WPA2 strong non sarà scoraggiato da un SSID nascosto. Per saperne di più su questo si prega di dare un'occhiata al seguente articolo: link

La buona difesa è stratificata, quindi non ci sarà una guida per dominarli tutti. In particolare per wireless, potresti dare un'occhiata alle guide di implementazione di DISA. Ti consigliamo di includere altre tecnologie per l'autenticazione enpoint, ecc., Ma questo è un buon inizio.

link

In alternativa, puoi eseguire una caduta ed eliminare un lotto di questi problemi.

Se si è disposti a eseguire il proprio software AP (che molto probabilmente significa hostapd), è possibile impostare l'EAP basato su password.

Puoi quindi avere una password per MAC che conosci e una password predefinita che ruoti spesso. Personalmente, penso che sia un'alternativa ragionevole al filtro MAC, ma potresti implementare entrambi.

Non è strong come un approccio a più livelli, ma per SOHO e il moderatamente preoccupato, ragionevole (ho usato un Pi3 per questo).

Consiglio vivamente di rendere obbligatoria una VPN per qualsiasi cosa significativa (ad esempio qualcosa di più che navigare nei siti Web pubblici) se ciò è un problema.