2 routers, un escritorio y un Android

A menos que puedan acceder a la red de administración del enrutador a través de la conexión del enrutador 2, normalmente no pueden acceder a su panel de administración. asegúrese de que sus interfaces administrativas estén en una red diferente a la red utilizada para el acceso a Internet.

Teniendo en cuenta el tiempo que llevaría a Bruteforce una clave WPA-PSK de 63 bits:

Las frases de contraseña de WPA-PSK se rellenan 4096 veces con una sal (que es el SSID del AP). Ahora, con 63 bits probablemente te refieras a una frase de paso con 63 caracteres de longitud, ya que WPA-PSK tiene una clave de 256 bits (no puedes cambiar esto). WPA admite ASCII, por lo que son 128 caracteres posibles. 63 ^ 128 = este número . Ahora, supongamos que toma GPU de primera clase para aplicar la fuerza bruta a la clave que podría obtener alrededor de 2.5 mil millones de hashes cada segundo. Obtendría el siguiente cálculo: (Número muy grande / (2.5 mil millones / 4096)) / 86400 = otro número grande insanely días antes de poder descifrarlo (menos la mitad si se tiene en cuenta la probabilidad). Para entonces probablemente estarías muerto.

Para su tercer comentario, WPA2 es tan difícil de configurar como WPA. Es exactamente el mismo principio (desde el punto de vista de la configuración) solo diferentes algoritmos. Supongo que su equipo no lo admite.

EDIT

Error de cálculo: es 128 ^ 63 no al revés. En cualquier caso, sigue siendo un número enorme.

Si el enrutador 2 está conectado al enrutador 1, no es necesario que un dispositivo en el enrutador 2 tenga que interrumpir el PSK en el enrutador 1. La clave precompartida solo se usa para conexiones inalámbricas. Una vez en la red interna, no hay ninguna clave necesaria para el acceso. Esta es la razón por la que no tiene que ingresar la clave en su escritorio con cable, simplemente conéctela. La clave solo se aplica al enlace de radio.

Si tienen acceso al enrutador 2, no podrán administrar el enrutador 1, pero es probable que puedan ver parte del tráfico que pasa a través de la red en el enrutador 1. También podrán conectarse con cualquier enrutador. computadoras en el enrutador 1.

Si ya tienen acceso a la red, no tienen necesidad de atacar a la PSK, pero sí, podrían atacar a la PSK directamente sin importar si existe algo más. Simplemente podría ser el enrutador 1 sentado en una habitación por sí mismo y aún podrían atacar directamente al PSK.

Para la tercera pregunta, no lo es. La única razón sería que algunos dispositivos no son compatibles con WPA2, por lo que pueden hacer WPA por motivos de compatibilidad de forma predeterminada. Yo sugeriría cambiarlo a WPA2. Si no tiene acceso para hacerlo, solicitaría que el ISP deshabilite la conexión inalámbrica y use WPA2 desde mi propio enrutador para poder administrar mi seguridad. (De hecho, hago esto en casa, donde mi cable módem es compatible con Wi-Fi, pero el Wi-Fi está apagado).

Varía según la longitud de la clave y el cifrado utilizado, pero se tarda entre algunas horas y semanas en romper las claves WPA o WPA derivadas de contraseñas débiles. Lo último que supe, las claves WPA fuertes aún eran bastante seguras. La información que se transmite puede ser grabada por un atacante en tiempo real, solo tienen que obtener la clave de cifrado antes de que puedan entender lo que se está enviando.

Tenga en cuenta que si está accediendo a sitios seguros que utilizan SSL, incluso si el enlace de la red está comprometido, seguirá estando protegido, ya que SSL protege la información de su computadora al servidor y viceversa. También tenga en cuenta que su información sobre conexiones no SSL puede leerse e incluso modificarse en Internet si alguien puede interponerse entre usted y el servidor de destino, por lo que nunca debe confiar en el cifrado inalámbrico para mantener sus datos seguros. La mayoría de las veces es solo una barrera para evitar que los usuarios no autorizados ingresen datos a su red.

  

1. Si un atacante compromete el PSK más débil en el Router 2, ¿el Router 1 está en riesgo o el PSK de 32 caracteres los detiene?
  

Esto depende en gran medida de cómo se configura exactamente su red. Desafortunadamente, no hay suficientes detalles en su publicación para dar un análisis adecuado para su caso específico. Sin embargo, para las variantes de "El enrutador 2 ... está conectado al enrutador 1 por un cable Ethernet" solo hay dos posibilidades realmente relevantes.

Internet está conectado al puerto WAN del Router 2. Uno de los puertos LAN del Router 2 está conectado al puerto WAN del Router 1.

Esta es la variante ideal de su configuración. Aquí, el Enrutador 1 tratará esencialmente cualquier dispositivo conectado al Enrutador 2 como si fuera solo otro dispositivo en Internet. Por lo tanto, se aplicarán todas las reglas de firewall y NAT. En las configuraciones predeterminadas, esto significa que (en ausencia de una vulnerabilidad crítica en el software del enrutador) un atacante con acceso a la red WiFi del Router 2 no obtendrá acceso a la red del Router 1 sin tener que interrumpir el WiFi PSK más fuerte.

Cualquier otra configuración.

Esto incluye todas las configuraciones donde el Enrutador 1 es el dispositivo conectado directamente a Internet, así como donde el Enrutador 2 está conectado a Internet mientras los enrutadores están conectados entre sí a través de puertos LAN en cada extremo. El punto crítico a tener en cuenta aquí es que, en cualquier configuración que caiga dentro de esta categoría, el Enrutador 1 tratará todos los dispositivos conectados al Enrutador 2 como si fueran parte de la red local . En este punto, cualquier dispositivo conectado al Enrutador 2, ya sea por WiFi o Ethernet, casi también puede conectarse directamente al Enrutador 1. No se requiere desciframiento del PSK del Enrutador 1.

  

2. ¿Los atacantes tienen que descifrar el nombre de usuario / contraseña administrativos del enrutador antes de que puedan intentar descifrar el PSK, o pueden hackear el PSK del enrutador directamente?

El nombre de usuario / contraseña administrativa solo protege la interfaz de administración del enrutador. No no impide que las personas accedan a la red WiFi. De lo contrario, tendría que configurar cada cliente con el nombre de usuario / contraseña de administrador y el PSK de WiFi.

  

3. Le pregunté al administrador de ISP por qué el enrutador 1 se configuró como WPA, no WPA2 (hizo la configuración inicial). Me dijo que era "difícil" configurar WPA2. ¿Debo creerle? ¿Por qué es "difícil"?

En estos días, no hay razón para que sea "difícil". La mayoría de los puntos de acceso WiFi y los clientes modernos soportan WPA2 desde el primer momento. Configurar WPA2 para el modo PSK no es más o menos difícil que configurar WPA para el mismo. La única vez que se convierte en un problema es si hay hardware más antiguo (el punto de acceso o dispositivos de cliente) involucrados que no son compatibles con WPA2. Sin embargo, esos son cada vez menos y más alejados.

Sugeriría obtener la contraseña de administrador para el enrutador del ISP y echarle un vistazo usted mismo. Realmente no es de su incumbencia cómo se configura su WiFi: aplique cualquier nivel de seguridad que considere adecuado.

  

4. ¿Cuánto tiempo le toma a un atacante experto capturar todo el rastreo de la red, incluido el protocolo de autenticación inicial entre el dispositivo y el enrutador?

¿Cuánto tiempo toma capturar la traza de red? Exactamente siempre que tome el tráfico de red que esté capturando. Ahora, ¿cuánto tiempo les lleva a ellos leer ese tráfico como texto claro? Eso depende de qué tan fuertes sean la clave de encriptación y el algoritmo (si se usa alguno) y cuánta información previa tiene el atacante. También depende de qué tipo de hardware y software tenga el atacante a su disposición.