Использование Wireshark: доступное руководство и советы.

 Оригинал: https://www.varonis.com/blog/how-to-use-wireshark

Использование Wireshark: доступное руководство и советы.


Если вы занимаетесь устранением неполадок в сети, и вам нужно анализировать отдельные пакеты, вам необходим Wireshark - приложение для захвата и анализа сетевого трафика, которым вы должны уметь пользоваться. Поскольку Wireshark - наиболее распространённый инструмент для этих целей, давайте рассмотрим основы его применения: где его взять, как захватывать пакеты, как пользоваться фильтрами и т.д.

    ▪ Что такое Wireshark?

Это программа для анализа сетевых протоколов с открытым исходным кодом, которую часто считают отраслевым стандартом. Wireshark поддерживается международной организацией специалистов по сетям и разработчиков ПО, поэтому к ней постоянно выпускаются обновления с учётом новых сетевых технологий и методов шифрования.

Правительственные учреждения, корпорации, некоммерческие организации и образовательные учреждения используют Wireshark для устранения неполадок и обучения - действительно, разглядывать трафик под микроскопом Wireshark - лучший способ изучить сети на низком уровне.

Использовать Wireshark можно, только если вам разрешили анализировать трафик: просмотр пакетов без разрешения незаконен.

    ▪  Как работает Wireshark?

Wireshark - это сниффер, т.е. инструмент отслеживания и анализа сетевого трафика. Он перехватывает трафик протоколов ethernet, bluetooth, 802.11, token ring, frame relay и других и сохраняет данные для последующего анализа.

Примечание редактора 1: под пакетом подразумевается единица передачи данных протоколов, начиная с сетевого уровня (TCP, DNS и т.д.)

Примечание редактора 2: В локальной сети трафик широковещательный, то есть компьютер с wireshark может видеть трафик между двумя другими компьютерами. Чтобы увидеть, какой трафик отправляется на внешний сайт, надо перехватить пакеты на локальном компьютере.

Wireshark позволяет устанавливать фильтры на логирование перед захватом трафика либо во время его анализа, чтобы можно было сосредоточиться на том, что вам нужно найти, при трассировке. Например, можно установить фильтр для просмотра трафика протокола TCP между двумя IP-адресами; либо можно настроить отображение только пакетов, отправляемых с какого-то одного компьютера. Наличие фильтров стало одной из основных причин того, что что он стал стандартным инструментом анализа пакетов.

    ▪ В каких случаях следует использовать Wireshark?

Wireshark можно использовать для понимания того, как происходит обмен трафиком в сети, и для анализа причин проблем со связью.

Утилита помогает:

▶ Сетевым администраторам решать возникающие в сети проблемы

▶ Инженерам сетевой безопасности изучать сеть на наличие дыр в безопасности

▶ Тестировать приложения

▶ Разработчикам в отладке реализаций протоколов

▶ Пользователям изучать специфику отдельных протоколов

    ▪ В каких случаях не следует использовать Wireshark?

Wireshark может быть полезен в решении множества проблем в сети, а также в качестве инструмента изучения протоколов, но он не может:

▶ Помочь пользователям, которые не разбираются в сетевых протоколах: чтобы пользоваться утилитой, нужно понимать, как работают сети

▶ Перехватывать трафик за пределами вашего широковещательного домена

▶ Присылать уведомления: он может только применить цветовое кодирование для индикации битых пакетов

    ▪ Как установить Wireshark

Это несложно: сначала нужно посетить официальный сайт Wireshark: https://www.wireshark.org/download.html и загрузить версию программы для вашей операционной системы. Базовая версия бесплатна, установка простая.

    Wireshark на Windows

Для Windows  есть два варианта приложения: 64-битное и 32-битное. Выберите тот, который совместим с вашей ОС.

    Wireshark на Mac

https://www.wireshark.org/docs/wsug_html_chunked/ChBuildInstallOSXInstall.html : Wireshark можно установить с помощью менеджера пакетов Homebrew  https://formulae.brew.sh/cask/wireshark#default . Чтобы установить Homebrew, наберите в терминале следующую строку:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

После установке Homebrew вы сможете устанавливать различные open-source программы на макбук. Для установки wireshark наберите в терминале:

brew install wireshark

Homebrew загрузит и установит пакет вместе с зависимостями.

   Wireshark на Linux

Процесс установки может зависеть от дистрибутива.

Ubuntu: наберите в терминале следующие команды:
    

    sudo apt-get install wireshark

    sudo dpkg-reconfigure wireshark-common

    sudo adduser $USER wireshark


Пакет будет загружен, обновлён, и ваш пользователь получит права на запуск Wireshark.


RHEL, Fedora:

    sudo dnf install wireshark-qt

    sudo usermod -a -G wireshark username

Первая команда устанавливает графический и командный интерфейсы программы, а вторая даёт пользователю права запускать Wireshark.

Kali Linux:

Скорее всего, пакет уже установлен, так как является частью основной системы. Попробуйте найти его в меню "Sniffing & Spoofing"

    ▪ Пакеты данных в Wireshark

Мы установили программу, а теперь узнаем, как включить сниффер и анализировать сетевой трафик. Wireshark расскажет, что происходит в сети, но не объяснит, почему.

    ▪ Перехват пакетов с помощью Wireshark

Открыв окно программы, вы увидите список всех сетевых соединений, доступных для мониторинга, а также строку фильтра, чтобы выделить трафик, который вам нужен: https://info.varonis.com/hubfs/using-wireshark-capture-filter-1@2x-png.png

Можно выбрать один или несколько сетевых интерфейсов с помощью shift+left-click. После этого можете начинать перехват трафика. Это можно сделать несколькими способами:

1. Нажать первую кнопку на панели, при наведении на которую всплывает её назначение: "start capturing packets".

https://info.varonis.com/hubfs/using-wireshark-start-capturing-2@2x-png.png

2. Через пункт меню Capture --> Start: https://info.varonis.com/hubfs/using-wireshark-capturing-packets-3@2x-png.png

3. Используя сочетание клавиш Control+e

Во время перехвата wireshark будет отображать перехваченные пакеты в реальном времени:

https://info.varonis.com/hubfs/using-wireshark-stop-capture-4@2x-png.png

Когда получите все нужные вам пакеты, закончите перехват, нажав кнопку "stop capturing packets" на панели, выбрав  соответствующий пункт в меню или сочетаниями клавиш Control+e или Control+c. Перехват рекомендуется закончить, прежде чем начать анализ трафика.

    ▪ Анализ пакетов с помощью Wireshark

Инструмент предоставляет три панели для анализа пакетов. Верхняя - список пакетов (Packet List). В ней отображаются все перехваченные пакеты. Если кликнуть на пакет, в двух остальных панелях отображается подробная информация о нём, в том числе можно определить, является ли он частью сеанса. Значение столбцов верхней панели:

1. No.: Порядковый номер перехваченного пакета. Квадратные скобки означают, что пакет - часть сессии.
2. Time: Время в секундах, прошедшее с момента начала перехвата до момента, когда был перехвачен конкретный пакет. Значение этого поля можно редактировать в меню настроек.
3. Source: Адрес системы, отправившей пакет.
4. Destination: Адрес получателя пакета.
5. Protocol: Тип пакета - например, TCP, DNS, DHCP, ARP.
6. Lenght: Длина пакета в байтах.
7. Info: дополнительная информация о содержимом пакета. Значение поля зависит от типа протокола пакета.

Средняя панель - это Packet details (сведения о пакете), в ней отображается как можно более полная информация о пакете, в зависимости от типа его протокола. Выделив текст в этой панели, можно нажать правую кнопку мыши и настроить фильтры.

Нижняя панель - Packet Bytes - байты пакета, - отображает пакет в шестнадцатеричном формате, как он выглядел, когда был перехвачен.

При просмотре пакета, являющегося частью сеанса, можно вызвать контекстное меню щелчком правой кнопки мыши и выбрать пункт Follow, чтобы увидеть только пакеты, принадлежащие этому сеансу.

    ▪ Фильтры Wireshark

Одни из наиболее полезных возможностей программы - это фильтры захвата и отображения. Фильтры позволяют при просмотре захвата выделить то, что необходимо вам для устранения неполадок. Для начала приведём некоторые из них.

            1. Фильтры захвата    

Они ограничивают программу в момент захвата пакетов: если пакет не проходит фильтр, wireshark не будет его сохранять. Примеры фильтров захвата:

host IP-address: перехватывать только пакеты, отправителем или получателем которых является хост с указанным адресом.

net 192.168.0.0/24: перехватывать весь трафик подсети.

dst host IP-address: перехватывать пакеты, предназначенные для узла с указанным адресом.

port 53: перехватывать только трафик порта 53.

port not 53 and not arp: перехватывать весь трафик, кроме пакетов протоколов DNS и ARP.

            2. Фильтры отображения

Страница руководства: https://wiki.wireshark.org/DisplayFilters

Эти фильтры изменяют вывод в процессе анализа. Они используются по окончании перехвата, чтобы уменьшить количество пунктов в списке пакетов и упростить решение конкретной задачи.

Вот один из наиболее полезных фильтров:

ip.src==IP-address and ip.dst==IP-address

Он показывает пакеты, отправленные с одного узла (ip.src) другому (ip.dst). Можно также отображать пакеты, которые отправляет и принимает хост с указанным IP.

Также имеются следующие фильтры:

tcp.port eq 25: Показывает весь трафик на 25 порту - обычно это SMTP.

icmp: Показывает только трафик протокола ICMP - скорее всего это пинги.

ip.addr!=IP_address: показывает весь трафик, кроме входящего и исходящего на указанном адресе.

Аналитики даже создают фильтры для обнаружения определённых атак - например, этот фильтр используется для обнаружения червя Sasser:

ls_ads.opnum==0x09

    ▪ Дополнительные функции Wireshark

Помимо перехвата и фильтрации, у программы есть функции, которые могут упростить вам работу.

            1. Варианты выделения цветом

Wireshark  можно настроить, чтобы пакеты в списке выделялись определённым цветом в зависимости от фильтра. Примеры применения функции можно найти по ссылке: https://wiki.wireshark.org/ColoringRules    

            2. Promicuous mode (неразборчивый режим)

По умолчанию wireshark перехватывает только исходящие и входящие пакеты хоста, на котором он запущен. Поставив флаг promicuous mode в пункте меню capture settings, можно перехватывать почти весь трафик подсети.

            3. Командная строка wireshark

Страница руководства: https://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html

Программа предоставляет интерфейс командной строки (CLI), если на вашей системе отсутствует графический интерфейс. Лучше всего использовать CLI для захвата и сохранения логов, а потом просмотреть их в графическом интерфейсе.

Команды wireshark:

    wireshark : запустить Wireshark в графическом режиме

    wireshark –h : показать доступные параметры команды wireshark

    wireshark –a duration:300 –i eth1 –w wireshark. : перехватывать трафик на проводном интерфейсе eth1 в течение пяти минут. -a означает автоматическое прекращение перехвата; -i указывает, на каком интерфейсе перехватывать.

            4. Метрики и статистика

В меню Statistics есть множество опций для просмотра подробностей перехвата.

Изображение: https://info.varonis.com/hubfs/using-wireshark-statistics-6@2x-png.png

свойства файла, куда сохранились перехваченные данные: https://info.varonis.com/hubfs/using-wireshark-capture-file-properties-7@2x-png.png

График ввода-вывода программы: https://info.varonis.com/hubfs/using-wireshark-io-graph-8@2x-png.png

    ▪ Дополнительные источники и руководства по Wireshark

Есть много руководств и видеороликов, показывающих, как использовать wireshark для определённых целей. Начать следует с сайта Wireshark, а потом продвигаться дальше. На сайте вы можете найти официальную документацию (https://www.wireshark.org/docs/wsug_html_chunked/index.html) и вики (https://wiki.wireshark.org/).    

Wireshark - прекрасный сниффер и инструмент анализа пакетов, но лучше всего пользоваться им, когда вы понимаете, что ищете. Программа не подойдёт для обнаружения новой проблемы, так как в сети слишком много шума. Инструменты Varonis и Edge помогут разобраться в ситуации и указать, какую угрозу искать, после чего можно использовать wireshark, для более глубокого анализа и определения угрозы, которую представляет собой тот или иной пакет.

Хорошим примером может служить случай, когда исследователи безопасности Varonis обнаружили криптомайнер Norman. Они получили с нескольких машин уведомления, указывавшие на подозрительную сетевую и файловую активность. При анализе криптомайнера специалисты использовали Wireshark для проверки подозрительных машин, и программа показала, что криптомайнер, названный Норманом, активно взаимодействовал с командно-контрольными серверами (С&C) через DuckDNS. С помощью Wireshark команда Varonis увидела все адреса C&C-серверов, используемых злоумышленниками, поэтому они смогли отрезать связь с ними и остановить атаку.


    

7 советов по безопасности беспроводных сетей. Как не стать лёгкой добычей хакеров

 оригинал:   https://www.varonis.com/blog/7-wi-fi-security-tips-avoid-being-easy-prey-for-hackers

Технология wi-fi даёт возможность подключаться к сети без проводов, но при этом имеет уязвимости, часто эксплуатируемые хакерами. Пользователю трудно понять, какие привычки подвергают его риску, если он не знаком с приёмами хакеров для атак на устройства беспроводной сети.

Wi-fi часто взламывают, используя небольшие промахи, допускаемые пользователем при подключении устройств к сети или при настройке роутера. Существует ряд простых мер предосторожности, которые позволят избежать самых грубых ошибок, уменьшить поверхность атаки и не стать жертвой наиболее распространённых видов атак.


          Риски беспроводной сети

Думая о хакерах в контексте Wi-fi, люди обычно представляют себе взлом их локальной беспроводной сети. Такое случается, но с помощью wi-fi также можно следить за пользователями, точнее за их устройствами; проводить фишинговые атаки для компрометации паролей, а также выяснить, где человек живёт и куда ездит.

Нацелившись на беспроводную сеть, взломщики могут атаковать как саму сеть, так и устройства, подключенные к ней. Это позволяет выявить слабые места, полагаясь на то, что цель совершит критическую ошибку, либо эксплуатировать любую удобную для этого уязвимость.

При использовании Wi-fi поверхность атаки следует за вами. Передвижения мобильных беспроводных устройств легко отслеживать; также они передают в открытом виде идентификаторы, которые могут нести информацию о личности пользователя. Для тех, кто не хочет, чтобы их устройство транслировало информацию о том, где они работают или где недавно были, это может быть проблемой как конфиденциальности, так и безопасности.

Чтобы снизить подобные риски, можно исключить действия, которые приводят к утечке конфиденциальной информации и/или делают устройства более уязвимыми. Предприняв следующие шаги, можно уменьшить поверхность атаки на беспроводную сеть дома или в дороге.

            1. Удалите ненужные сети из списка автоматического подключения.

Список предпочитаемых сетей (The Preferred Network List, PNL) - это идентификаторы сетей, к которым ваше устройство подключается автоматически, считая, что им можно доверять. В этот список попадают сети, к которым вы когда-либо подключались, но ваша система не различает разные точки доступа с одинаковыми идентификаторами и типом шифрования. Это значит, что соединившись с сетью Старбакс один раз, ваше устройство запоминает это подключение и пытается автоматически подключиться к любой открытой сети с таким именем.

Создание фальшивых точек доступа с именами, имитирующими идентификаторы обычных открытых беспроводных сетей - самый простой способ для хакеров отслеживать ближайшие устройства и проводить атаки "человек посередине". Если вы оставите свой смартфон с включенным wi-fi в общественном месте, то он без предупреждения автоматически подключится к открытой сети с идентификатором, который есть в списке предпочтений. Если не принять никаких мер предосторожности, хакер сможет загружать фишинговые страницы; отслеживать, какие сайты вы посещаете; узнает, какими приложениями вы пользуетесь.

В Windows удалять сети из списка предпочтений можно с помощью панели управления сетевыми соединениями: надо нажать forget(это забыть, но я не знаю, как это переведено в русскоязычной винде, у меня её нет) на всех именах сетей, к которым вы не хотите подключаться автоматически. Нужно удалить как минимум все открытые беспроводные сети из этого списка. Риск того, что ваше устройство подключится к фальшивой точке доступа, гораздо выше, чем риск столкнуться с вредоносной сетью с таким же идентификатором и паролем, как у тех, что хранятся в вашем списке предпочтений.

https://info.varonis.com/hubfs/Imported_Blog_Media/image4.png?hsLang=en

В примере по ссылке я с помощью микроконтроллера  esp8266 за 3 доллара создал около тысячи фальшивых сетей. Вокруг было много смартфонов, пытавшихся подключиться к сетям из своих списков предпочтений, раскрывая, каким сетям они доверяли. Если хакер узнает имя сети, которая фигурирует в списке предпочтений большого количества устройств, он может перехватить их подключение с помощью единственной фальшивой точки доступа. Если в списке вашего устройства есть похожие имена, немедленно удалите их.


            2. Пользуйтесь vpn для шифрования трафика

Одним из ключевых недостатков протокола WPA-2, который был исправлен в версии WPA-3, является отсутствие концепции совершенной прямой секретности. Это означает, что в стандарте WPA-3 записанный трафик не может быть расшифрован, даже если злоумышленник получит ключ. В случает стандарта WPA-2 это не так: трафик в локальной сети может прослушиваться как другими пользователями, так и злоумышленником, который может записать его и расшифровать после того, как узнает пароль.

Протокол HTTPS сделал интернет намного более безопасным и конфиденциальным для пользователей ненадёжных сетей wi-fi, а VPN принял эстафету и отрезал доступ к трафику неавторизованным пользователям. Он шифрует сообщения протокола DNS и другую информацию, которая может открыть дверь для фишинговых атак, не давая злоумышленнику просто так увидеть, чем цель занимается в сети, или перенаправить её на вредоносный сайт.

Большинство популярных vpn-сервисов предлагают достаточный уровень защиты, чтобы не стать лёгкой добычей злоумышленника. PIA, Mullvad, NordVPN делают ваш локальный трафик нечитаемым для хакера и обеспечивают совершенную прямую секретность, что не даст возможность расшифровать ваш трафик, даже если атакующий узнает пароль от вашей сети.

https://info.varonis.com/hubfs/Imported_Blog_Media/image1-1.png?hsLang=en


В примере по ссылке я отключил PIA и мониторил своё беспроводное соединение с другого компьютера с помощью Wireshark. Как только я отключил vpn, сразу же стало видно, что на телефоне был запущен мессенджер Signal, что устройство находилось в сети AT&T и в данный момент воспроизводило видео с Younube - это следовало из запросов DNS. Я даже мог идентифицировать vpn, который регистрировался на своём сервере обновлений. Всю эту информацию я узнал за несколько секунд прослушивания трафика без vpn. Если хотите узнать больше о том, как прослушивать трафик с помощью Wireshark, можете перейти по этой ссылке:  https://www.varonis.com/blog/how-to-use-wireshark/  .


            3. Запретите автоподключение к сети, прежде чем соединяться с ней

Очистив список доверенных сетей, вы получите неудобства: каждый раз при попытке соединения точка доступа будет запрашивать пароль, который придётся вводить вручную. Если вы часто подключаетесь к сети, это будет раздражать. Кроме того, список PNL придётся очищать после каждого соединения с сетью.

Для беспроводных сетей, к которым вы часто подключаетесь, есть способ сохранить пароль и при этом не создать риск автоматического подключения к вредоносным сетям с аналогичным идентификатором. Для этого при первом соединении с сетью надо снять флаг "разрешить автоподключение" или выставить флаг "запретить автоподключение" в интерфейсе сетевой службы (вкладка WI-FI). Тогда ваше устройство не будет пытаться соединиться с сетями с аналогичным названием и типом шифрования. При этом вам придётся каждый раз нажимать на название сети в списке, чтобы к ней подключиться, но не надо будет вводить пароль. Нажимая лишний раз на кнопку, вы избежите трансляции списка, к которым ваше устройство ранее подключалось, всем вокруг.

            4. Никогда не делайте свою сеть скрытой

Нормальная точка доступа рассылает "маяки" в которых указывает всю информацию, необходимую клиентам для подключения к ней, включая её SSID и тип шифрования. Скрытые точки не рассылают широковещательных пакетов для их обнаружения и вообще никак о себе не заявляют. Чтобы к ним подключиться, клиентское устройство должно быть в зоне покрытия и заранее знать об их существовании. То есть скрытые сети не будут фигурировать в списке ближайших точек доступа, что теоретически затрудняет злоумышленнику задачу их обнаружения.

Некоторые пользователи думают, что безопасность через неясность является хорошим способом скрыть их сеть от хакеров, но ирония заключается в том, что скрывая сеть, вы облегчаете отслеживание ваших умных устройств. Устройство, настроенное на подключение к скрытой сети, должно предполагать, что эта сеть может появиться поблизости в любой момент, так как сама точка доступа маяки не рассылает. На практике это означает, что ваше устройство будет постоянно вызывать эту сеть по названию, что позволит без труда его отслеживать, даже если вы используете рандомный MAC-адрес или другие предосторожности в целях анонимности. Это не только упрощает обман вашего устройства для подключения его к фальшивой точке доступа, но и позволяет всем желающим отслеживать, где вы находитесь, по радиосигналам probe request, которые будет постоянно рассылать ваше умное устройство.


Список доверенных сетей на смартфоне:  https://info.varonis.com/hubfs/Imported_Blog_Media/image7.png?hsLang=en


По ссылке вы увидите изображение того, что вышло, когда я добавил скрытую сеть в список предпочтений смартфона. С помощью wireshark можно легко отследить устройство, вызывающее скрытую сеть, причём не только идентифицировать сам смартфон, но и узнать идентификатор скрытой сети. Мы хотели скрыть нашу сеть, а вместо этого заставили клиентское устройство постоянно рассылать её название на всеобщее обозрение. Иногда, если SSID достаточно уникален, названия таких "скрытых сетей" можно даже найти на Wigle.net, что означает, что тот, кто прослушивает ваш беспроводной трафик, может даже узнать ваш рабочий или домашний адрес.


            5. Отключите на роутере поддержку wps

Сети с активированным WPS злоумышленники рассматривают как поднятый вверх большой палец. Хакер может одной командой просканировать пространство на наличие таких сетей, и они окажутся отличными целями для атак типа WPS-Pixie. Если сеть поддерживает какую-либо версию WPS, значит стоит проверить её инструментом вроде Airgeddon на предмет того, можно ли одержать лёгкую победу. Многие версии WPS уязвимы как к подбору пин-кода, так и атакам, эксплуатирующим уязвимость pixie dust. Последние позволяют злоумышленнику получить доступ к сети, в которой есть эта уязвимость, за 15 секунд.

Атаки на пин-код настройки WPS страшны тем, что если они удаются, то их влияние выходит за рамки изменения пароля. Если злоумышленник может получить пин-код настройки маршутизатора, воспользовавшись reaver или wps-pixie, то он получит ваш пароль вне зависимости от того, насколько он длинный, уникальный и безопасный. Причина этого в том, что пин-коды WPS создавались в первую очередь для восстановления забытых паролей, поэтому используя их, хакер получает такой же доступ к устройству, как и его владелец.

Чтобы избавиться от хакера, знающего пин-код WPS, недостаточно просто сменить пароль: надо запретить пин-коды маршрутизатора, а если хотите пользоваться пин-кодами, то, вероятно, придётся купить другой роутер. Многие маршрутизаторы не дают менять свой пин-код настройки, поэтому если хотите сохранить свой длинный и безопасный пароль в тайне, то обязательно отключите эту опцию в настройках роутера. Процедура может различаться на конкретных маршрутизаторах, но обычно надо войти в панель настроек роутера и снять флаг с названием типа "WPS PIN" или "WPS SETUP". На некоторых старых маршрутизаторах снятие флага не отключает опцию на самом деле, поэтому если хотите проверить, можно использовать команду "-wash" в Kali linux, чтобы увидеть ближайшие сети, использующие WPS. Если ваше устройство до сих пор использует WPS, лучше его заменить.

            6. Ни в коем случае не используйте пароли от wi-fi повторно

Один из самых больших недостатков WPA-2 - текущего стандарта wi-fi, заключается в том, что слабый пароль легко взломать. Если ваш пароль находится в списке среди примерно миллиона других неудачных паролей, то, скорее всего, хакер сможет взломать его за считанные минуты, потому что ему потребуется лишь перехватить рукопожатие при соединении клиента с точкой доступа, скормить его утилите вроде Hashcat и спокойно сидеть, пока она не переберёт все взломанные пароли из огромного файла.

В этом контексте важно считать пароль "сильным" на основании двух критериев: 1. Его должно быть трудно угадать; 2. Он должен быть уникальным. Это значит, что использование такого же или очень похожего пароля в других профилях может привести к тому, что этот пароль попадёт в список взломанных, которым хакеры пользуются при атаке методом перебора.

Как же сложные, длинные пароли, используемые в нескольких местах, попадают в общий доступ? Пароли от учётных записей в компаниях утекают постоянно, и одна из самых распространённых тактик - использовать эти пароли в других местах после их утечки. Взломщики беспроводных сетей знают, что пользователи любят копировать свои любимые "сильные" пароли из одной учётной записи в другую, что упрощает подбор пароля, который может и длинный, но не уникальный.

Чтобы узнать, какие из ваших любимых паролей, возможно, уже в открытом доступе, проверьте свой аккаунт на сайте  haveibeenpwned.com  и посмотрите, из каких компаний пароли к вашим аккаунтам могли утечь. Никогда не используйте для своей сети wi-fi пароль, который уже используется где-то в интернете, а тем более пароль, который уже был раскрыт другим сервисом.

            7. Создайте изолированные подсети для клиентов

Ошибка малых предприятий, предоставляющих посетителям wi-fi, которая может дорого стоить, заключается в том, что они не ограничивают гостей отдельной подсетью. Правильно спроектированная изолированная подсеть - это когда любой её клиент имеют связь только с маршрутизатором и не могжет свободно сканировать другие устройства или пытаться подключиться к открытым портам. В такой подсети сканирование утилитами Nmap или ARP-scan не показывает ничего либо показывает единственное устройство в сети - маршрутизатор. Более того, на маршрутизаторе не должно быть доступных портов с размещёнными на них интерфейсами администрирования или конфигурации гостевой сети, так как на таких страницах хакер найдёт информацию, которую сможет использовать для эксплуатации маршрутизатора.

https://info.varonis.com/hubfs/Imported_Blog_Media/image3-1.png?hsLang=en

На изображении по ссылке мы видим, что происходит в wi-fi сети малого предприятия, которое предоставляет клиентам услуги wi-fi, но не изолирует гостей в отдельные подсети. Без изоляции клиентов любой пользователь сети может видеть остальные подключенные к ней устройства и взаимодействовать с ними. В том числе он видит камеры слежения, видеорегистраторы, сам роутер, сетевые хранилища NAS или файловые серверы - все они будут напрямую доступны хакеру, как только он подключится к сети, что значительно упростит ему поиск слабого звена.

https://info.varonis.com/hubfs/Imported_Blog_Media/image5-e1568708858612.jpg?hsLang=en


На картинке по ссылке компания раскрыла сервер NAS своих камер слежения всем клиентам wi-fi сети с правами доступа по умолчанию, что позволяет хакерам видеть, что показывают камеры, или даже просматривать старые записи, хранящиеся на сервере. Часто компании настраивают беспроводную сеть и подключают к ней множество устройств, забывая сменить на них пароли по умолчанию, начиная с роутера и заканчивая принтерами. Если компания не меняет пароль на роутере и не создаёт виртуальную подсеть для каждого клиента, то вмешательство хакера в панель администрирования маршрутизатора - лишь вопрос времени. Когда гости сканируют сеть, они должны видеть только два устройства: шлюз и своё собственное.

Если оставить на маршрутизаторе пароль по умолчанию вроде "admin" или "password", хакер сможет загрузить на него вредоносное обновление прошивки, чтобы шпионить за пользователями или расплачиваться крадеными банковскими картами через этот маршрутизатор, используя его как свой личный vpn. Первый шаг к предотвращению подобных ситуаций - это в первую очередь ограничение ненужного доступа к устройствам сети.

           Беспроводная сеть будет безопасней, если принять основные меры предосторожности

В общем, лучше хранить поменьше доверенных сетей в списке своего устройства и запретить автоподключение. Если вы занимаете должность, подразумевающую доступ к конфиденциальной информации, и у вас на работе есть беспроводные сети с уникальными именами, то вы можете сливать их заинтересованным лицам, сами того не подозревая. Если сомневаетесь, лучше просто отключать wi-fi, когда вы им не пользуетесь - это предотвратит большинство атак.

Выполнив вышеуказанные меры,  вы снизите риск автоматического подключения своего устройства к вредоносной сети, отслеживания его местоположения или утечки персональных данных. Эти шаги не являются исчерпывающим руководством по безопасности беспроводных сетей, но они оградят вас от ряда самых простых хакерских атак.