it-swarm-korea.com

WiFi 네트워크를 보호하는 방법?

WiFi 네트워크를 보호하려면 어떻게해야합니까? 모범 사례가 있습니까?

라우터에서 WPA2 암호화를 사용하는 것이 좋습니다. 충분합니까? 보안을 더욱 향상시키기 위해 어떻게해야합니까? 특정 MAC 주소 만 허용하는 것이 좋습니까, 아니면 필요하지 않습니까?

다른 사람이 동일한 SSID 및 더 강한 신호 강도로 WiFi 네트워크를 설정하면 내 컴퓨터가 내 네트워크 대신 해당 네트워크에 연결됩니다. 그것을 막기 위해 무엇을 할 수 있습니까?

29
Jonas
  • WPA2라고 말하면 WPA2- 개인을 의미합니다. 실제 비밀번호와 함께 사용하는 한 대부분의 경우에 충분합니다. https://www.grc.com/passwords.htm 은 좋은 생성기입니다.
  • Wi-Fi Protected Setup (WPS)을 비활성화합니다. 그렇지 않으면 공격자는 8 자리 PIN-) 만 깨면됩니다.
  • SSID를 은폐하십시오. 결정된 공격자는 멈추지 않지만 공격자와 같은 일부 스크립트 키디는 중지합니다.
  • 특정 MAC 주소 만 허용하면 사용자 액세스를 관리하는 좋은 단계가 될 수 있습니다. 그러나 어쨌든 현재 어떤 MAC 주소가 일반 텍스트로 무선에 연결되어 있는지 확인할 수 있기 때문에 결정된 공격자의 속도가 다시 느려지지는 않습니다.
  • 가능하면 WiFi가 공격받을 가능성을 줄이는 좋은 방법은 무선 액세스 포인트를 잘 배치하여 최소량의 신호가 건물 외부로 방송되도록하는 것입니다. 이런 식으로 공격자는 무선 안테나를 개선하여 수 마일 떨어진 곳에서 가져 오지 않는 한 공격을 시작하기 위해 더 가까이 있어야합니다.

예, 사람들은 Karma 와 같은 도구를 사용하여 실제 원하는 액세스 포인트 대신 더 강력한 신호를 브로드 캐스트하여 연결할 수 있습니다. 무선에 연결할 때마다 자동 연결을 허용하지 않는 것을 제외하고는이를 방지하는 구체적인 방법을 모릅니다. 수동으로 연결하고 올바른 액세스 포인트에 연결되어 있는지 확인해야합니다.

17
Mark Davidson

네트워크/환경에 따라 다릅니다. SOHO 무선 네트워크의 경우 WPA 2 PSK에 강력한 암호가 사용 된 개인이면 충분합니다.

민감한 정보를 다루는 엔터프라이즈 네트워크 또는 네트워크의 경우 다음 제어 기능을 사용해야합니다.

  • IEEE 802.1X/EAP에 연결된 WPA 2 Enterprise
  • 내부 네트워크와 분리 된 무선 네트워크
  • 로컬 공격 탐지/예방을위한 WIPS 및 로그 모니터링
  • 내부 액세스가 필요한 무선 클라이언트는 VPN을 통해 연결해야합니다
  • 물리적 제어 및/또는 신호 강도 조작을 통해 절대적으로 필요한 범위로 커버리지 제한
11
sdanelson

나는 지금까지 언급 한 모든 사항에 동의하며 Mark Davidson과 sdanelson은 라디오 범위를 언급 했으므로 몇 가지 영역이 있으므로 약간 확대하고 싶었습니다.

신호 강도 -일반적으로 특정 지역에서 가능한 최소 신호 강도를 사용하려고하므로 외부의 공격자는 액세스 할 수 없지만 악의적 인 액세스 포인트가 SSID를 복사하고 훨씬 더 높은 신호 강도를 사용하는 경우 Evil Twin 공격에 노출 될 수 있습니다.

해결책은 전파 경로 를 생각하는 것입니다. 안테나가 사이트를 향하도록 구성된 상태에서 사이트 외부에 액세스 포인트를 배치하면 신호를 측면 외부로 전파하지 않고 액세스 포인트 신호 강도 (클라이언트에게 더 강하게 보임)를 증가시킬 수 있습니다.

내가 본 더 간단하지만 효과적인 솔루션 (당신을 위해 과잉 일 수 있습니다-매우 민감한 시설에서 사용 된 것을 보았습니다)은 금속 클래드 벽과 창문에 메쉬가있는 천장입니다-이 사이트의 무선 사이트 조사 zero RF 누출!

불명확성을 통한 보안 (이 경우 SSID 비콘 숨기기)은 잘못된 보안 감각을 제공합니다. 액세스 포인트는 비콘 프레임이 아닌 SSID를 계속 브로드 캐스트합니다. 많은 플랫폼의 드라이버가 여전히 SSID를 식별하므로 많은 일반 사용자가 여전히 연결할 수 있으며 모든 공격자는 평소와 같이 사용자를 찾을 수 있습니다. Russix LiveCD SSID 브로드 캐스트가 비활성화 된 상태에서 매우 행복하게 작동합니다.

10
Rory Alsop

이것을 여기에 던져 넣으십시오.

단일 "무선"보안 모델은 이러한 무선 라우터를 일반 CAT-5 배선으로 교체하는 것입니다.

다음으로 가장 좋은 항목은 무선 라우터에서 제공하는 암호화 외에도 kerberos를 사용하여 컴퓨터 간의 모든 트래픽을 보호하는 것입니다. Windows 도메인에서 그룹 정책 설정으로 수행 할 수 있습니다.

무엇을 하든지 라우터에 대해 인증 할 수있는 시스템을 기본적으로 신뢰하지 마십시오.

4
NotMe

이것이 가정 또는 소규모 비즈니스를위한 무선 라우터라고 가정 할 때 다음을 권장해야합니다.

  • 일반적으로 SSID 및 웹 인터페이스를 포함하되 이에 국한되지 않는 라우터의 기본값을 변경하십시오.

  • AES 암호화 만 사용하는 WPA2와 8 자 이상의 영숫자 비밀번호가있는 강력한 키를 사용해야합니다. 홈 네트워크를 보호하기 위해 63 자 암호가 필요하지 않습니다.

  • 무선 Mac 필터링을 사용하면 허용 된 무선 장치 만 네트워크에 연결할 수 있습니다. 이 정보를 실제 주소 또는 MAC 주소라고하며 프롬프트에서 ipconfig/all을 입력하여 Windows 시스템에서 찾을 수 있습니다.

  • 무선 라우터가 지원하는 경우 해커가 자신을 배치 할 수있는 영역을 줄이려면 범위를 속성 범위 내로 제한해야합니다.

  • 마지막으로 SSID를 숨기면 네트워크를 보호하는 데 아무런 영향을 미치지 않으며 실제로 공격에 더 취약합니다. 또한 강력한 WPA2 암호를 해독 할 수있는 사람은 숨겨진 SSID로 인해 방해받지 않습니다. 이에 대한 자세한 내용은 다음 기사를 참조하십시오. http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more- 보안 /

3

좋은 방어는 계층화되어 있으므로 모두를 다룰 수있는 가이드가 하나도 없습니다. 특히 무선의 경우 DISA의 구현 안내서를 살펴볼 수 있습니다. 등록 인증 등을위한 다른 기술을 포함 시키려고하지만, 이것은 좋은 시작입니다.

http://iase.disa.mil/stigs/content_pages/wireless_security.html

또는 드롭을 실행하고 이러한 문제의 lot 을 제거 할 수 있습니다.

2
pboin

자체 AP 소프트웨어 (hostapd를 의미 함)를 실행하려는 경우 암호 기반 EAP를 설정할 수 있습니다.

그런 다음 알고있는 MAC 당 하나의 비밀번호와 자주 사용하지 않는 기본 비밀번호를 가질 수 있습니다. 개인적으로 MAC 필터링의 합리적인 대안이라고 생각하지만 둘 다 구현할 수 있습니다.

적절하게 계층화 된 접근 방식만큼 강력하지는 않지만 SOHO 및 온화하게 우려되는 합리적입니다 (Pi3을 사용했습니다).

우려되는 경우 중요한 것 (공개 웹 사이트를 탐색하는 것 이상)에 VPN을 필수로 설정하는 것이 좋습니다.

0
iwaseatenbyagrue