Risques de sécurité liés à la désactivation de la diffusion SSID
On février 9, 2021 by adminJe me souviens avoir lu plusieurs articles en ligne, et même transmis le conseil, déclarant que la désactivation de la diffusion SSID nest pas seulement inutile en tant que mesure de sécurité mais aussi nuisible à la sécurité des appareils clients. La logique est la suivante:
Diffusion SSID activée
- Les appareils clients écoutent passivement les réseaux connus.
- Les clients établissent la connexion lorsquun réseau connu est entendu .
- Les attaquants ne savent pas quels réseaux les appareils clients non associés recherchent.
Diffusion SSID désactivée
- Les appareils clients doivent sonder activement les réseaux connus.
- Les appareils clients annoncent des SSID de confiance.
- Les attaquants peuvent capturer des informations SSID de confiance et les utiliser pour inciter les clients à se connecter à un point daccès non autorisé lorsquils ne sont pas à proximité le réseau de confiance actuel.
Cela semble une supposition généralement sensée. Cependant, je ne pense pas avoir vu de réclamations tenant compte de ce qui se passe lorsquun attaquant tente de se faire passer pour un réseau sans connaître les autres attributs de la configuration de sécurité du réseau, en particulier le protocole ou les clés de cryptage. La connexion doit , en théorie, échoue avec une discordance de protocole ou une mauvaise négociation de clé.
Compte tenu de ce qui précède, il me semble que la désactivation de la diffusion SSID (bien que toujours pas du tout un mécanisme de sécurité fiable) a toujours un net-positif impact sur la sécurité – ou neutre, au pire. Y a-t-il quelque chose qui me manque?
Commentaires
- Quest-ce qui empêcherait un attaquant dessayer différentes combinaisons du protocole de cryptage avec le SSID revendiqué?
- @AdnanG Peut-être rien. Mais en quoi est-ce substantiellement différent de la façon dont ils ‘ doivent casser le même réseau sinon?
- si le client se connecte au point daccès non autorisé, il sauthentifiera avec le mot de passe SSID réel. Le travail des attaquants est fait pour lui.
- @AdnanG Ce ‘ est incroyablement simple. Pour que ce soit le cas, le réseau serait tout aussi faible contre les attaquants qui ne sont pas ‘ t usurpant l’AP.
- @AdnanG : Le mot de passe nest jamais transmis .
Réponse
Jetez un œil au WiFi Pineapple , qui est un appareil d’emprunt d’identité MITM sans fil disponible au prix de 100 $ plus les frais de port. Lattaquant na quasiment plus quà le mettre sous tension et à le configurer, et il commencera à proposer des attaques MITM instantanées. Si un appareil mobile recherche un SSID ouvert déjà connu, il se fera un plaisir de lui fournir une connexion Internet fonctionnelle. Cela ne nécessite presque aucune compétence pour fonctionner.
La clé est quun client qui fait confiance ne serait-ce quune seule connexion à nimporte quel point daccès WiFi ouvert nimporte où sest placé dans une position vulnérable, et cela est vrai que vous soyez ou non diffusez votre SSID. Lapproche sécurisée consiste à exiger des informations didentification sur vos points daccès et à éviter de faire partie du problème pour vos clients. Que vous diffusiez ou non votre SSID devient alors une question de commodité pour vos utilisateurs, et non une question de sécurité.
Commentaires
- pas répondre à la question. Comment le client approuvera-t-il une connexion à un point daccès non autorisé, si elle ne correspond pas aux propriétés connues du réseau dorigine? Exemple: un réseau de confiance avec SSID » MyNetwork » utilise le cryptage WPA2 avec une phrase secrète PSK de » MyPassword « . Rogue AP diffuse le SSID » MyNetwork » mais sans chiffrement, ou utilise WEP, ou utilise WPA2 avec une phrase de passe PSK de » EvilPassword « . Lorsque le client récupère le Rogue AP, ne devrait-il pas ‘ interrompre la tentative de connexion lorsquil rencontre une incompatibilité de protocole ou un PSK incorrect?
- Vous ‘ est correct, il ne se connectera pas si le cryptage (et la clé) ne correspondent pas ‘; mais cela na pas ‘ t importe si le SSID a été diffusé ou non. Mon point est que vous ne pouvez pas configurer votre SSID pour résoudre un problème causé par des clients qui font déjà confiance à » StarbucksFreeWiFi » (autre que pour ne pas forcer vos clients à utiliser une connexion réseau sans fil non authentifiée.)
- Bon point, mais les autres réseaux ne font ‘ pas partie de léquation des risques ici. Supposons que les périphériques clients sont uniquement configurés pour se connecter à mon réseau. Comment leur sécurité, ou la sécurité de mon réseau, est-elle affectée en désactivant la diffusion SSID sur le routeur?
- La question que vous semblez poser suppose que la visibilité du SSID indépendamment de tout le reste a un impact sur la sécurité, mais elle n’a pas ‘ t. Il ‘ nest quun facteur en combinaison avec un réseau non sécurisé, auquel cas il met en danger les clients qui lui font confiance. Et ce risque peut être atténué grâce à lutilisation dun VPN, auquel cas vous ‘ volez karmiquement le wifi gratuit à lattaquant.
- Cela ‘ est exactement ce que je ‘ essaie de déterminer – si un attaquant obtient uniquement les informations SSID dun réseau de confiance, et si le réseau est par ailleurs sécurisé par cryptage et un PSK inconnu de lattaquant, le SSID suffit-il à lui seul pour inciter les périphériques clients à se connecter à son AP Rogue? Jai ‘ vu de nombreux articles sur le masquage des SSID qui disent que cela expose les clients à un risque plus élevé de se connecter à des points daccès usurpés, mais ils ne ‘ résoudre ce qui se passe avec les incompatibilités de protocole de chiffrement / PSK lorsque lattaquant seul dispose du SSID avec lequel travailler.
Réponse
Diffusion SSID activée
- Les appareils clients écoutent passivement les réseaux connus.
- Les clients lancent connexion lorsquun réseau connu est entendu.
- Les attaquants ne savent pas quels réseaux les appareils clients non associés recherchent.
La diffusion Turing sur nempêchera pas tous les clients de rechercher activement les réseaux connus. Ceci est spécifique à limplémentation – par exemple, Windows XP est configuré par défaut pour analyser uniquement activement. Par conséquent, votre hypothèse selon laquelle les attaquants ne savent pas nécessairement quels réseaux sont recherchés est incorrecte. Cela ne sapplique que si vous vous connectez à des appareils modernes qui recherchent passivement les SSID visibles sur les réseaux lors de leur configuration.
Diffusion SSID désactivée
- Les appareils clients doivent rechercher activement les réseaux connus.
- Les appareils clients annoncent des SSID de confiance.
- Les attaquants peuvent capturer des informations SSID de confiance et les utiliser pour inciter les clients à se connecter à un Points daccès non fiables lorsquils ne sont pas à proximité du réseau de confiance réel.
Cela est vrai tant que le réseau est ouvert. Un client ne pourra pas se connecter à un réseau sécurisé avec un mot de passe différent ou sans mot de passe.
Cela semble une supposition généralement raisonnable. Cependant, je ne pense pas avoir vu de réclamations tenant compte de ce qui se passe lorsquun attaquant tente de se faire passer pour un réseau sans connaître les autres attributs de la configuration de sécurité du réseau, en particulier le protocole ou les clés de cryptage. La connexion doit , en théorie, échoue avec une incompatibilité de protocole ou une mauvaise négociation de clé.
Le cadre de balise , même sil ne diffuse pas le SSID (cest-à-dire que le SSID est envoyé dans cette trame comme NULL
) détaille toujours la configuration de la sécurité du réseau, y compris les détails de chiffrement.
Compte tenu de ce qui précède, il me semble que la désactivation de la diffusion SSID (bien que nétant pas du tout un mécanisme de sécurité fiable) a toujours un impact net positif sur la sécurité – ou neutre, au pire . Y a-t-il quelque chose qui me manque?
Même sil ne diffuse pas, envoyer une requête de sonde avec NULL
car le SSID peut causer lAP pour répondre avec une balise contenant le SSID. Toute route, dès quun appareil valide doit se connecter, le SSID finira par être diffusé par lAP. Je dirais que la seule sécurité supplémentaire offerte est la sécurité par lobscurité – cela peut vous aider à vous sentir mieux mais cela ne rend pas vraiment votre réseau plus sécurisé. Le seul avantage négligeable est que votre SSID ne sera pas diffusé aussi souvent . Dun autre côté, un attaquant peut supposer quil sagit dun réseau particulièrement sensible et passer plus de temps à le cibler.
Réponse
Les appareils clients sonderont activement les réseaux connus, que la diffusion SSID pour ce réseau particulier soit activée ou non. Si un scan passif est théoriquement possible, il est très rarement mis en œuvre. En effet, le client doit parcourir tous les canaux, passer du temps sur chaque canal pour écouter les balises. Cela augmenterait le temps nécessaire pour se connecter au point daccès.
Jai utilisé airmon-ng pour surveiller les demandes de sonde et jusquà présent, toutes mes cartes sans fil sondent activement les réseaux connus. Par conséquent, la désactivation de la diffusion SSID ne devrait pas augmenter le risque.
Plus de détails: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
Commentaires
- Cela ne répond pas à la question.Comment le client approuvera-t-il une connexion à un point daccès non autorisé, si elle ne correspond pas aux propriétés connues du réseau dorigine? Exemple: un réseau de confiance avec SSID » MyNetwork » utilise le cryptage WPA2 avec une phrase secrète PSK de » MyPassword « . Rogue AP diffuse le SSID » MyNetwork » mais sans chiffrement, ou utilise WEP, ou utilise WPA2 avec une phrase de passe PSK de » EvilPassword « . Lorsque le client récupère le Rogue AP, ne devrait-il pas ‘ interrompre la tentative de connexion lorsquil rencontre une incompatibilité de protocole ou un PSK incorrect?
- Aussi, alors que les clients peuvent analyser activement la zone techniquement, lanalyse active ne nécessite pas la transmission de SSID connus à moins quun réseau ne soit particulièrement connu pour ne pas inclure son SSID dans la diffusion.
- Oui, il pourrait envoyer une demande de sonde à tous les points daccès dans la zone. Cependant, la plupart des cartes réseau incluront le nom SSID dans la demande de sonde.
- Ok. Mais je ne comprends toujours pas ‘ comment cest un risque important, si le client ne se connecte pas de toute façon à un AP mal configuré. Dailleurs, si la nouvelle valeur par défaut est dinclure de toute façon les SSID dans toutes les diffusions de sonde, comment le SSID cache-t-il une mauvaise chose? Certes, il ny a ‘ aucun avantage réel. Mais il ny a ‘ aucun impact sur la sécurité (peut-être un peu sur la convivialité, mais ce ‘ nest pas ma question ici) du réseau ou son client non plus.
Laisser un commentaire