Misure di sicurezza per un punto di accesso WiFi?

Sì. Avere un punto di accesso rende la rete domestica vulnerabile perché in definitiva i dispositivi che si collegano al PC tramite il wifi diventeranno parte della rete domestica (parte della stessa sottorete). Alcune misure di sicurezza da considerare durante la configurazione di un punto di accesso sono

1. NON usare WEP (Wired Equivalent Privacy) - Può essere facilmente hackerato da uno script kiddie. Usa WPA2 (questo è il meglio che otterrai là fuori) o WPA (WiFi Protected Access).
2. Modifica sempre la password predefinita per AP.Utilizza una password non basata su dizionario.
3. Abilita filtro MAC : come hai detto, ti connetteresti al tuo AP utilizzando un numero limitato di dispositivi (smartphone appartenenti a te e alla tua famiglia). Ciò limiterà la rete a consentire solo le connessioni dai dispositivi il cui indirizzo MAC è stato inserito. (Gli indirizzi MAC possono essere falsificati da una persona competente)
4. Puoi abilitare HTTPS per la gestione del tuo punto di accesso, in modo che i tuoi nomi utente e password non vengano trasmessi in testo non crittografato.
5. È inoltre necessario disabilitare la trasmissione SSID (l'AP invia le trasmissioni in modo che le stazioni wireless alla ricerca di una connessione di rete possano rilevarlo). È possibile connettersi manualmente ai dispositivi wireless. Questo ti proteggerà da wardriving in una certa misura, ma ancora una volta non può impedirti di un attacco sofisticato.

dal commento:

Can you please tell me if using a different subnet on the WIFI box helps?

Fondamentalmente l'app del telefono deve comunicare con l'app principale (installata sul PC). Per quanto posso capire, non puoi tenerli in sottoreti differenti. Se si trovano in sottoreti differenti, è necessario un dispositivo layer 3 (router) per abilitare la loro comunicazione.

Raccomando di configurare il punto di accesso tenendo presente i punti sopra riportati e di continuare a modificare le password regolarmente. Le persone diventano pigre e mantengono la stessa password per anni. E sì, condividi la tua password solo con persone fidate.

La risposta di Mayank ha avuto la parte più importante: usare WPA2 (non WEP e non no-password). Tuttavia, voglio aggiungere alcuni punti.

1. Non dovresti usare una "parola non basata sul dizionario" per la "password" del tuo AP, ma invece usare una passphrase con più parole . Non riutilizzare questa frase segreta per qualsiasi altra cosa (che si desidera mantenere privata) poiché si condividerà questa password (per visitare un amico è necessario connettere il proprio laptop) e i dispositivi lo memorizzeranno in modo recuperabile. (E alcuni dispositivi potranno anche memorizzare automaticamente le tue password wifi nel cloud per te !) Suggerisco passphrase in quanto è più facile dire a qualcuno " graffetta batteria cavallo corretto " (tutti gli spazi minuscoli, tra le parole), di "T maiuscola, r minuscola, zero, ub minuscolo, numero quattro, dor minuscolo, e commerciale, numero tre "e la passphrase ha maggiore entropia (anche vedere la discussione qui ). Gli attacchi agli handshake wifi osservati possono essere fatti offline, quindi sono necessarie passphrase forti.

2. Il filtraggio degli indirizzi MAC è banale da bypassare e fastidioso da gestire. Gli indirizzi MAC vengono utilizzati per l'indirizzamento layer-2 (livello di collegamento); quindi in wifi è il segnale radio tra il router e qualsiasi ricevitore in ascolto. Anche quando hai una connessione criptata; i dati vengono crittografati non le intestazioni dei pacchetti di livello 2. Quindi, se un router utilizza il filtraggio degli indirizzi MAC, è piuttosto facile raccogliere un pacchetto inviato dal router (a un indirizzo MAC consentito) e l'utente malintenzionato può quindi modificare il proprio indirizzo MAC per clonare l'indirizzo MAC consentito osservato. (Sì, due computer diversi che utilizzano lo stesso indirizzo MAC allo stesso tempo causerebbero problemi, ma puoi aspettare fino a quando non lo utilizzano più.) Inoltre, il filtraggio degli indirizzi MAC è fastidioso da gestire, perché devi entrare le impostazioni del router ogni volta che aggiungi un nuovo dispositivo alla tua rete e copia il 12 indirizzo MAC esadecimale (e ti preoccupi di capire come richiamare un indirizzo MAC su ogni dispositivo wifi casuale). Le persone che usano il filtraggio degli indirizzi MAC sono anche convinti che sia molto sicuro e quindi fanno scelte deboli per la passphrase o pensano di usare WEP o WPS o altre vulnerabilità.

3. La disattivazione della trasmissione SSID porta a una perdita di funzionalità senza alcun concreto vantaggio in sicurezza . I tuoi dispositivi mobili non saranno in grado di connettersi automaticamente alla rete wifi. Il tuo telefono cellulare non può passare dalla radio 3G / 4G al WiFi più veloce e meno affamato quando torni a casa, a meno che non premi manualmente i pulsanti per passare alla rete ininterrotta, o se il dispositivo è configurato per trasmissioni frequenti. Sto cercando SSID 'sdfasdfasdf' che ti rende vulnerabile agli aggressori con access point non autorizzati che rispondono che sono io. (Concesso con WPA2 non dovrebbero essere in grado di completare l'handshake a 4 vie con te, ma a seconda del dispositivo, potrebbe consentire una connessione allo stesso SSID che improvvisamente non è WPA2). Come gli indirizzi MAC, puoi spiare il SSID osservando altri client che si connettono alla rete non trasmittente anche se WPA2 è abilitato.

4. Verifica che WPS (WiFi Protected Setup) sia disattivato . Molti router sono dotati di WPS abilitato per impostazione predefinita e ciò consente a un utente malintenzionato di penetrare nella rete in meno di 11000 indovina . I router più recenti possono avere timeout su tentativi consecutivi che possono rendere questo più difficile; ma lo standard suggerisce solo un timeout degli anni '60 che ritarda solo gli aggressori che tentano di irrompere entro un paio di giorni).

Per inciso, per un po 'di sicurezza in più, ti suggerirei di cambiare il SSID del tuo punto di accesso dall'impostazione predefinita (ad es. linksys / NETGEAR) a qualcosa di non comune. Il punto di accesso viene utilizzato come sale del PMK (chiave master pairwise) in WPA2-PSK prima di passare attraverso l'HMAC, quindi un utente malintenzionato che ha osservato un handshake a quattro vie e ha attaccato una rete simile in precedenza può potenzialmente salvarsi tempo memorizzando i PMK da varie password comuni con il sale conosciuto (a condizione che debbano ancora trovare il PMK che genera il PTK in modo che corrisponda al handshake a 4 vie ).

TL; DR - Usa WPA2 con una passphrase strong, disabilita WPS sul tuo router (e cambia il tuo SSID per non essere qualcosa di super comune). Se lo desideri, puoi utilizzare il filtraggio degli indirizzi MAC o disattivare la trasmissione SSID, anche se qualsiasi utente maltrattato può facilmente aggirare la protezione.

Molti dei rischi sono già stati trattati nel post di Mayank Sharma. Voglio solo aggiungere che affermando che i client wifi hanno fiducia nella relazione con il punto di accesso è strongmente influenzato dalla potenza del segnale, ovvero dalla vicinanza tra client e punto di accesso.

Tale è il caso in cui il tuo laptop con wifi abilitato e configurato per la connessione automatica (impostazione predefinita), quando messo vicino a un punto di accesso aperto tenterà sempre di connettersi a quella stazione.

Dovresti sempre essere vigile su questo comportamento in quanto in molti casi accade senza alcuna interazione da parte dell'utente. Il modo migliore per evitare ciò è configurare il client per connettersi sempre solo al punto di accesso preferito (è possibile farlo nelle opzioni delle impostazioni) wifi network