Az SSID Broadcast letiltásának biztonsági kockázatai
On február 9, 2021 by adminEmlékszem, hogy több cikket olvastam online, és még át is tettem a tanácsot, kijelentve, hogy az SSID-adás letiltása nemcsak haszontalan biztonsági intézkedés, de káros az ügyféleszközök biztonságára is. A logika így hangzik:
SSID Broadcasting On
- Az ügyféleszközök passzívan hallgatják az ismert hálózatokat.
- Az ügyfelek kapcsolatot kezdeményeznek, ha egy ismert hálózat hallható. .
- A támadók nem tudják, hogy a társított kliens eszközök milyen hálózatokat keresnek.
Az SSID-műsorszórás ki van kapcsolva
- Az ügyféleszközöknek meg kell adniuk. aktívan megvizsgálja az ismert hálózatokat.
- Az ügyféleszközök megbízható SSID-ket hirdetnek.
- A támadók megbízható SSID-információkat rögzíthetnek, és ezzel becsaphatják az ügyfeleket, hogy csatlakozzanak egy Rogue AP-hez, amikor nincsenek közel a tényleges megbízható hálózat.
Ez általában ésszerű feltételezésnek tűnik. Azt hiszem azonban, hogy nem láttam olyan állításokat, amelyek figyelembe vennék, mi történik, amikor a támadó megpróbálja megszemélyesíteni a hálózatot anélkül, hogy tudná a hálózat biztonsági konfigurációjának egyéb attribútumait – különösen a titkosítási protokollt vagy kulcsokat. , elméletileg kudarcot vallanak a protokollok nem megfelelősége vagy a rossz kulcsok tárgyalása esetén.
A fentiekre való tekintettel számomra úgy tűnik, hogy az SSID adás letiltása (bár egyáltalán nem megbízható biztonsági mechanizmus) még mindig pozitív hatás a biztonságra – vagy a hálózaton semleges, a legrosszabb esetben. Van valami, ami hiányzik?
Hozzászólások
- Mi akadályozná a támadót abban, hogy megpróbálja a titkosítási protokoll és az igényelt SSID különböző kombinációi?
- @AdnanG Talán semmi. De miben különbözik ez lényegesen attól, hogy ‘ különben feltörniük kell ugyanazt a hálózatot?
- ha az ügyfél csatlakozik a szélhámos AP-hoz, akkor a a tényleges SSID jelszó. A támadók feladata elvégzésre került.
- @AdnanG Ez ‘ lehetetlenül egyszerű. Ennek érdekében a hálózat ugyanolyan gyenge lenne a támadókkal szemben, akik nem ‘ t hamisítják az AP-t.
- @AdnanG : A jelszó soha nem kerül továbbításra .
Válasz
Vessen egy pillantást a WiFi ananászra , amely egy vezeték nélküli MITM megszemélyesítő eszköz, amely 100 dollár plusz szállítási költséggel kapható. A támadónak nagyjából csak bekapcsolnia és konfigurálnia kell, és azonnali MITM támadásokat kezd kínálni. Ha egy mobil eszköz egy már ismert nyílt SSID után kutat, akkor boldogan biztosítja számára működő internetkapcsolatot. Szinte semmilyen szakértelmet nem igényel a működése.
A legfontosabb az, hogy egy kliens, aki akár egyetlen kapcsolatban is megbízik bármelyik nyílt WiFi hozzáférési ponttal bárhol, kiszolgáltatott helyzetbe került, és ez igaz függetlenül attól, hogy Ön az Ön SSID-jét sugározza. A biztonságos megközelítés a hitelesítő adatok megkövetelését igényli a hozzáférési pontokon, és kerülje az ügyfelek problémájának részvételét. Az, hogy Ön SSID-jét sugározza-e, a felhasználók számára kényelmessé válik, és nem biztonsági kérdés.
Megjegyzések
- Ez nem nem válaszol a kérdésre. Hogyan bízik meg az ügyfél egy Rogue AP kapcsolatában, ha az nem felel meg az eredeti hálózat ismert tulajdonságainak? Példa: Megbízható hálózat SSID azonosítóval ” MyNetwork ” WPA2 titkosítást használ a ” MyPassword “. A Rogue AP sugározza az SSID ” MyNetwork ” SSID-t, de titkosítás nélkül, vagy WEP-t használ, vagy a WPA2-t ” EvilPassword “. Amikor az ügyfél felveszi a Rogue AP-t, nem szabad ‘ t elszakítania a kapcsolati kísérletet, amikor protokoll-eltérés vagy hibás PSK-val találkozik?
- Ön ‘ helyes, akkor nem fog kapcsolódni, ha a titkosítás (és a kulcs) nem egyezik ‘ t; de nem számít ‘, hogy az SSID-t sugározták-e vagy sem. Az a véleményem, hogy semmilyen módon nem konfigurálhatja az SSID-jét olyan problémák megoldására, amelyeket az ügyfelek okoznak, amelyek már megbíznak a ” StarbucksFreeWiFi ” szolgáltatásban (kivéve: hogy ne kényszerítsék az ügyfeleket egy nem hitelesített vezeték nélküli hálózati kapcsolat használatára.)
- Megfelelő pont, de más hálózatok nem a divízió ‘ része a kockázati egyenletnek. Tegyük fel, hogy az ügyféleszközök csak úgy vannak konfigurálva, hogy csatlakozzanak a hálózathoz. Az ő vagy a hálózatom biztonságát valójában károsítja-e azáltal, hogy kikapcsolják az útválasztón az SSID-adást?
- Az általad feltett kérdés feltételezi, hogy az SSID láthatósága minden mástól elkülönítve hatással van a biztonságra, de nem ‘ t. ‘ csak egy tényező egy nem védett hálózattal kombinálva, és ekkor minden olyan ügyfelet veszélyeztet. Ez a kockázat pedig csökkenthető egy VPN használatával, ekkor ‘ karmikusan ellopja az ingyenes wifit a támadótól.
- Ez ‘ pontosan azt, amit megpróbálok megállapítani ‘ – ha a támadó csak egy megbízható hálózat SSID-információit kapja meg, és a hálózat egyébként titkosítással és PSK, amelyet a támadó nem ismer, elegendő-e az SSID önmagában ahhoz, hogy a támadó becsapja a kliens eszközöket a Rogue AP-hez való csatlakozásra?
sok olyan bejegyzést láttam az SSID elrejtéséről, amelyek azt mondják, hogy ez nagyobb kockázatot jelent az ügyfeleknek, hogy csatlakozzanak a hamisított AP-khoz, de nem ‘ t annak kezelése, hogy mi történik a titkosítási protokollal / a PSK nem egyezik meg, ha a támadónak csak van az SSID, amellyel együtt dolgozhat.
Válasz
SSID-műsorszórás be
- Az ügyféleszközök passzívan hallgatják az ismert hálózatokat.
- Az ügyfelek kezdeményezik kapcsolat, ha egy ismert hálózat hallható.
- A támadók nem tudják, hogy az un társított kliens eszközök milyen hálózatokat keresnek.
A műsorszórás bekapcsolása nem fogja megakadályozni, hogy minden kliens aktívan keressen ismert hálózatokat. Ez a megvalósítás specifikus – például a Windows XP alapértelmezés szerint csak aktívan vizsgál. Ezért téves az a feltételezésed, miszerint a támadók nem feltétlenül tudják, hogy mely hálózatokat keresik. Csak akkor alkalmazható, ha olyan modern eszközökhöz csatlakozik, amelyek passzívan keresik a hálózatokat a látható SSID-k után, amikor konfigurálták őket.
SSID Broadcasting Off
- Az ügyféleszközöknek aktívan meg kell vizsgálniuk az ismert hálózatokat.
- Az ügyféleszközök megbízható SSID-ket hirdetnek.
- A támadók rögzíthetik a megbízható SSID-információkat, és ezzel becsaphatják az ügyfeleket, hogy csatlakozzanak egy Rogue AP, ha nincsenek a tényleges megbízható hálózat közelében.
Ez mindaddig igaz, amíg a hálózat nyitva van. Az ügyfél nem fog tudni csatlakozni egy biztonságos hálózathoz más jelszóval vagy jelszó nélkül.
Ez általában ésszerű feltételezésnek tűnik. Azt hiszem azonban, hogy nem láttam olyan állításokat, amelyek figyelembe vennék, mi történik, amikor a támadó megpróbálja megszemélyesíteni a hálózatot anélkül, hogy tudná a hálózat biztonsági konfigurációjának egyéb attribútumait – különösen a titkosítási protokollt vagy kulcsokat. elméletileg kudarcot vall a protokoll nem megfelelősége vagy a rossz kulcs tárgyalása esetén.
A jeladó keret , még akkor is, ha nem sugározza az SSID-t (azaz az SSID-t ebben a keretben NULL
néven küldi el), akkor is részletesen bemutatja a hálózati biztonsági konfigurációt, beleértve a titkosítás részleteit is.
A fentiekre való tekintettel számomra úgy tűnik, hogy az SSID-adás letiltása (bár egyáltalán nem megbízható biztonsági mechanizmus) még mindig pozitívan hat a biztonságra – rosszabb esetben net-semleges . Van valami, ami hiányzik?
Ha nem is sugároz, küld egy szondakérelmet a következővel: NULL
mivel az SSID okozhatja az AP, hogy válaszoljon az SSID-t tartalmazó jeladóval. Bármely utat, amint egy érvényes eszközhöz kell csatlakoztatni az SSID-t, végül az AP sugározza. Azt mondanám, hogy az egyetlen extra biztonság a biztonság a homályon keresztül – lehet, hogy jobban fogja érezni magát, de valójában nem teszi biztonságosabbá a hálózatát. Az egyetlen elhanyagolható előny, hogy SSID-jét nem fogják olyan gyakran sugározni. A másik oldalon a támadó feltételezheti, hogy ez egy különösen érzékeny hálózat , és több időt tölt el a célzásával.
Válasz
Az ügyféleszközök aktívan megvizsgálják az ismert hálózatokat, függetlenül attól, hogy az adott hálózat SSID-adása be van-e kapcsolva vagy sem. Míg elméletileg lehetséges a passzív vizsgálat, nagyon ritkán valósítják meg. Ennek oka az, hogy az ügyfélnek minden csatornán végig kell járnia, az egyes csatornákon időt töltve a jelzőfények meghallgatásával. Ez megnövelné az AP-hez való csatlakozáshoz szükséges időt.
Az airmon-ng-t használtam a szondakérések figyelemmel kísérésére, és eddig minden vezeték nélküli kártyám aktívan vizsgálta az ismert hálózatokat. Ezért az SSID-műsorszolgáltatás kikapcsolása nem növelheti a kockázatot.
További részletek: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
Megjegyzések
- Ez nem válaszol a kérdésre.Hogyan bízik meg az ügyfél egy Rogue AP kapcsolatában, ha az nem felel meg az eredeti hálózat ismert tulajdonságainak? Példa: Megbízható hálózat SSID azonosítóval ” MyNetwork ” WPA2 titkosítást használ a ” MyPassword “. A Rogue AP sugározza az SSID ” MyNetwork ” SSID-t, de titkosítás nélkül, vagy WEP-t használ, vagy a WPA2-t ” EvilPassword “. Amikor az ügyfél felveszi a Rogue AP-t, nem szabad ‘ t leállítania a kapcsolati kísérletet, amikor protokoll-eltérés vagy helytelen PSK-t talál?
- Ezenkívül, míg az ügyfelek technikailag aktívan vizsgálja meg a területet, az aktív beolvasáshoz nincs szükség ismert SSID-k továbbítására, kivéve, ha egy hálózatról különösen ismert, hogy nem tartalmazza az SSID-jét a sugárzásban.
- Igen, próbakérelmet küldhet az összes AP-nak a területen. A legtöbb hálózati kártya azonban tartalmazza az SSID nevet a szondakérelemben.
- Ok. De még mindig nem értem ‘, hogy ez mekkora kockázatot jelent, ha az ügyfél úgysem fog csatlakozni egy nem megfelelően konfigurált AP-hez. Ebből a szempontból, ha az új alapértelmezés szerint az SSID-ket minden szonda adásba be kell vonni, akkor az SSID hogyan rejt egy rosszat? Természetesen ‘ nincs valódi előnye számára. De ‘ nincs hatással a hálózat biztonságára (talán néhány a használhatóságra, de ez ‘ itt nem kérdésem), vagy az ügyfele sem.
Vélemény, hozzászólás?