SSID Broadcast -palvelun käytöstä poistamisen turvallisuusriskit
On helmikuu 9, 2021 by adminMuistan, että olen lukenut useita artikkeleita verkossa ja edistänyt jopa neuvoja ja todennut, että SSID-lähetyksen poistaminen käytöstä on hyödytöntä vain turvallisuustoimenpiteitä, mutta myös haitallisia asiakaslaitteiden turvallisuudelle. Logiikka kuuluu seuraavasti:
SSID-lähetys käytössä
- Asiakaslaitteet kuuntelevat passiivisesti tunnettuja verkkoja.
- Asiakkaat aloittavat yhteyden, kun kuulet tunnetun verkon. .
- Hyökkääjät eivät tiedä, mitä verkkoja yhdistämättömät asiakaslaitteet etsivät.
SSID-lähetys pois käytöstä
- Asiakaslaitteiden on oltava tutkia aktiivisesti tunnettuja verkkoja.
- Asiakaslaitteet mainostavat luotettavia SSID-tunnuksia.
- Hyökkääjät voivat kaapata luotettavia SSID-tietoja ja käyttää sitä huijaamaan asiakkaita muodostamaan yhteyden Rogue AP: hen, kun he eivät ole lähellä varsinainen luotettu verkko.
Tämä näyttää olevan yleisesti järkevä oletus. En kuitenkaan usko, että olen nähnyt väitteitä, joissa otetaan huomioon, mitä tapahtuu, kun hyökkääjä yrittää esiintyä verkkoa tuntematta verkon suojauskokoonpanon muita määritteitä – etenkin salausprotokollaa tai avaimia. , teoriassa epäonnistuu protokollan ristiriitaisuuksien tai huonojen avainneuvottelujen avulla.
Edellä esitetyn perusteella näyttää siltä, että SSID-lähetyksen poistaminen käytöstä (vaikka se ei silti ole lainkaan luotettava suojausmekanismi), on silti nettopositiivinen vaikutus turvallisuuteen – tai pahimmillaan nettoneutraali. Onko jotain puuttuvaa?
Kommentit
- Mikä estäisi hyökkääjää yrittämästä erilaisia salausprotokollan yhdistelmiä haetun SSID: n kanssa?
- @AdnanG Ehkä mitään. Mutta miten se eroaa olennaisesti siitä, miten heidän ’ d on purettava sama verkko muuten?
- jos asiakas muodostaa yhteyden vääriin tukiasemiin, he todentavat todellinen SSID-salasana. Hyökkääjien työ on tehty hänelle.
- @AdnanG Se ’ on mahdotonta yksinkertaista. Jotta näin olisi, verkko olisi yhtä heikko hyökkääjiä vastaan, jotka eivät ’ t väärennä AP: tä.
- @AdnanG : Salasanaa ei koskaan lähetetä .
Vastaa
Tutustu WiFi-ananasiin , joka on langaton MITM-matkimislaite, joka on saatavana 100 dollaria plus toimitus. Hyökkääjän on melkein vain kytkettävä se päälle ja määritettävä se, ja se alkaa tarjota välittömiä MITM-hyökkäyksiä. Jos mobiililaite etsii jo tunnettua avointa SSID: tä, se tarjoaa mielellään toimivan Internet-yhteyden. Toiminta vaatii melkein mitään taitoa.
Tärkeintä on, että asiakas, joka luottaa edes yhteen yhteyteen mihin tahansa avoimeen WiFi-tukiasemaan missä tahansa, on asettanut itsensä haavoittuvaan asemaan, ja totta riippumatta sinä lähettävät SSID: täsi. Suojattu lähestymistapa on vaatia kirjautumistietoja tukiasemiltasi ja välttää olemasta osa asiakkaidesi ongelmaa. SSID-tunnuksen lähettämisestä tulee käyttäjän kannalta mukavuuden asia, eikä se ole turvallisuuden kysymys.
Kommentit
- Tämä tekee ei vastaa kysymykseen. Kuinka asiakas luottaa yhteyteen Rogue AP: hen, jos se ei vastaa alkuperäisen verkon tunnettuja ominaisuuksia? Esimerkki: Luotettu verkko SSID-tunnuksella ” Oma verkko ” käyttää WPA2-salausta PSK-salasanalla ” Oma salasana ”. Rogue AP lähettää SSID-tunnuksen ” MyNetwork ” mutta ei salausta, tai käyttää WEP: tä tai käyttää WPA2: ta PSK-salasanan kanssa ” Paha salasana ”. Kun asiakas saa Rogue AP: n, sen ei pitäisi ’ t keskeyttää yhteysyritystä, kun se havaitsee protokollan ristiriidan tai virheellisen PSK: n?
- Sinä ’ on oikein, se ei muodosta yhteyttä, jos salaus (ja avain) ’ t eivät täsmää; mutta sillä ei ole ’ väliä onko SSID lähetetty vai ei. Mielestäni ei ole mitään tapaa, jolla voit määrittää SSID-tunnuksesi korjaamaan ongelman, joka johtuu asiakkaista, jotka jo luottavat ” StarbucksFreeWiFi ” (muu kuin ei pakottaa asiakkaitasi käyttämään todentamatonta langatonta verkkoyhteyttä.)
- Kohtuullinen piste, mutta muut verkot eivät ole ’ t riskin yhtälössä. Oletetaan, että asiakaslaitteet on määritetty vain muodostamaan yhteys verkkooni. Kuinka heidän tai verkon turvallisuutta todella vahingoitetaan poistamalla SSID-lähetys käytöstä reitittimessä?
- Kysymys, jonka näytät esittävän, olettaa, että SSID-näkyvyys erillään kaikesta muusta vaikuttaa turvallisuuteen, mutta se ei ’ t. ’ on vain tekijä yhdessä suojaamattoman verkon kanssa, jolloin se vaarantaa kaikki siihen luottavat asiakkaat. Ja tätä riskiä voidaan vähentää käyttämällä VPN: ää, jolloin ’ varastat karmisesti ilmaisen wifin hyökkääjältä.
- Että ’ tarkalleen mitä minä ’ yritän selvittää – jos hyökkääjä saa vain luotettavan verkon SSID-tiedot ja verkko on muuten suojattu salauksella ja PSK, jota hyökkääjä ei tiedä, riittääkö SSID yksin, jotta hyökkääjä huijaa asiakaslaitteet muodostamaan yhteyden Rogue AP: hen? Olen ’ nähnyt monia SSID: n piiloutumista koskevia viestejä, joiden mukaan asiakkaille on suurempi riski muodostaa yhteys väärennettyihin tukiasemiin, mutta he eivät ’ t osoite salausprotokollan / PSK-yhteensopimattomuuden kohdalla, kun hyökkääjällä vain on SSID toimimaan.
Vastaa
SSID-lähetys päällä
- Asiakaslaitteet kuuntelevat passiivisesti tunnettuja verkkoja.
- Asiakkaat aloittavat yhteys, kun tunnettu verkko kuuluu.
- Hyökkääjät eivät tiedä, mitä verkkoja yhdistämättömät asiakaslaitteet etsivät.
Lähetyksen jatkaminen ei estä kaikkia asiakkaita aktiivisesti etsimästä tunnettuja verkkoja. Tämä on toteutuskohtaista – esimerkiksi Windows XP: n oletuksena on vain aktiivinen skannaus. Siksi oletuksesi, jonka mukaan hyökkääjät eivät välttämättä tiedä, mitä verkkoja etsitään, on virheellinen. Sitä käytetään vain, jos muodostat yhteyden nykyaikaisiin laitteisiin, jotka etsivät passiivisesti verkoista näkyviä SSID-tunnuksia, kun ne oli määritetty.
SSID-lähetys pois käytöstä
- Asiakaslaitteiden on tutkittava aktiivisesti tunnettuja verkkoja.
- Asiakaslaitteet mainostavat luotettavia SSID-tunnuksia.
- Hyökkääjät voivat kaapata luotettuja SSID-tietoja ja käyttää niitä huijaamaan asiakkaita muodostamaan yhteyden verkkoon. Rogue AP, kun ne eivät ole todellisen luotettavan verkon lähellä.
Tämä pätee niin kauan kuin verkko on auki. Asiakas ei voi muodostaa yhteyttä suojattuun verkkoon eri salasanalla tai ilman salasanaa.
Tämä tuntuu yleisesti järkevältä oletukselta. En kuitenkaan usko, että olen nähnyt väitteitä, joissa otetaan huomioon, mitä tapahtuu, kun hyökkääjä yrittää esiintyä verkkoa tuntematta verkon suojauskokoonpanon muita määritteitä – etenkin salausprotokollaa tai avaimia. , teoriassa epäonnistuu protokollan ristiriidan tai virheellisen avaimen neuvottelun yhteydessä.
majakkakehys , vaikka SSID-tunnusta ei lähetettäisikään (ts. SSID lähetetään tässä kehyksessä nimellä NULL
), silti verkon suojauskokoonpano sisältää salauksen yksityiskohdat.
Edellä esitetyn perusteella näyttää siltä, että SSID-lähetyksen poistamisella (vaikka se ei silti ole lainkaan luotettava turvamekanismi) on silti nettopositiivinen vaikutus turvallisuuteen – tai pahimmillaan nettoneutraali. . Onko jotain puuttuvaa?
Lähettämällä koekutsupyynnön NULL
, vaikka en lähettäisikään kuten SSID saattaa aiheuttaa AP: n vastaamaan majakalla, joka sisältää SSID: n. Mikä tahansa tie, heti kun kelvollinen laite tarvitsee yhdistää SSID, pääsee AP: n lähettämään. Sanon, että ainoa tarjolla oleva ylimääräinen suojaus on suojaus hämäryyden kautta – se voi saada sinut tuntemaan olosi paremmaksi, mutta se ei todellakaan tee verkostostasi turvallisempaa. Ainoa vähäinen etu on, että SSID: täsi ei lähetetä niin usein . Kääntöpuolella hyökkääjä voi olettaa, että tämä on erityisen arkaluontoinen verkko , ja viettää enemmän aikaa kohdistamiseen.
Vastaa
Asiakaslaitteet tutkivat aktiivisesti tunnettuja verkkoja riippumatta siitä, onko kyseisen verkon SSID-lähetys käytössä vai ei. Vaikka passiivinen skannaus on teoriassa mahdollista, se toteutetaan hyvin harvoin. Tämä johtuu siitä, että asiakkaan täytyy selata kaikkia kanavia ja viettää aikaa jokaisella kanavalla majakkojen kuuntelemiseen. Tämä lisäisi aikaa, joka tarvitaan yhteyden muodostamiseen AP: hen.
Olen käyttänyt airmon-ng: tä tarkkailemaan koetuspyyntöjä, ja toistaiseksi kaikki langattomat korttini tutkivat aktiivisesti tunnettuja verkkoja. Siksi SSID-lähetyksen poistaminen käytöstä ei saisi lisätä riskiä.
Lisätietoja: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
Kommentit
- Tämä ei vastaa kysymykseen.Kuinka asiakas luottaa yhteyteen Rogue AP: hen, jos se ei vastaa alkuperäisen verkon tunnettuja ominaisuuksia? Esimerkki: Luotettu verkko SSID-tunnuksella ” Oma verkko ” käyttää WPA2-salausta PSK-salasanalla ” Oma salasana ”. Rogue AP lähettää SSID-tunnuksen ” MyNetwork ” mutta ei salausta, tai käyttää WEP: tä tai käyttää WPA2: ta PSK-salasanan kanssa ” Paha salasana ”. Kun asiakas saa Rogue AP: n, sen ei pitäisi ’ t lopettaa yhteysyritystä, kun se havaitsee protokollan ristiriidan tai virheellisen PSK: n?
- Samalla kun asiakkaat saattavat Skannaa teknisesti aktiivisesti aluetta, aktiivinen skannaus ei vaadi tunnettujen SSID-tunnusten lähettämistä, ellei verkon tiedetä erityisesti jättävän SSID: tä lähetykseen.
- Kyllä, se voisi lähettää koepyynnön kaikille tukiasemille alueella. Useimmat verkkokortit sisältävät kuitenkin SSID-nimen koetuspyynnössä.
- Ok. Mutta en silti ymmärrä ’, kuinka tämä on merkittävä riski, jos asiakas ei silti muodosta yhteyttä väärin määritettyyn tukiasemaan. Jos uusi oletus on kuitenkin sisällyttää SSID: t kaikkiin koetinlähetyksiin, miten SSID piilottaa huonoa asiaa? ’ ei todellakaan ole mitään todellista etua sille. Mutta ’ ei vaikuta verkon turvallisuuteen (kenties jotkut käyttökelpoisuuteen, mutta se ’ ei ole kysymykseni tässä) verkon tai joko sen asiakas.
Vastaa