SSIDブロードキャストを無効にすることのセキュリティリスク
On 2月 9, 2021 by adminオンラインでいくつかの記事を読んだことを思い出し、アドバイスを伝えても、SSIDブロードキャストを無効にすることは役に立たないだけではありません。セキュリティ対策だけでなく、クライアントデバイスのセキュリティにも悪影響を及ぼします。ロジックは次のようになります。
SSIDブロードキャストオン
- クライアントデバイスは既知のネットワークを受動的にリッスンします。
- クライアントは、既知のネットワークが聞こえると接続を開始します。 。
- 攻撃者は、関連付けられていないクライアントデバイスが探しているネットワークを知りません。
SSIDブロードキャストオフ
- クライアントデバイスは既知のネットワークを積極的に調査します。
- クライアントデバイスは信頼できるSSIDをアドバタイズしています。
- 攻撃者は信頼できるSSID情報を取得し、それを使用して、クライアントが近くにいないときに不正なAPに接続するように仕向けることができます。実際の信頼できるネットワーク。
これは一般的に賢明な仮定のようです。ただし、攻撃者がネットワークのセキュリティ構成の他の属性、特に暗号化プロトコルやキーを知らずにネットワークを偽装しようとしたときに何が起こるかを考慮した主張は見たことがないと思います。接続は必要です。理論的には、プロトコルの不一致または不正なキーネゴシエーションで失敗します。
上記のことを考えると、SSIDブロードキャストを無効にすると(まだ信頼できるセキュリティメカニズムではありませんが)、ネットポジティブな状態が続くように思われます。セキュリティへの影響-または最悪の場合、ネットニュートラル。何か足りないものはありますか?
コメント
- 攻撃者が試みるのを防ぐにはどうすればよいですか。暗号化プロトコルと主張されたSSIDのさまざまな組み合わせ?
- @AdnanGおそらく何もありません。しかし、それは、'他の方法で同じネットワークをクラックする必要がある方法とどのように大きく異なりますか?
- クライアントが不正なAPに接続する場合、実際のSSIDパスワード。攻撃者の仕事は彼のために行われます。
- @AdnanGそれは'非常に単純です。その場合、ネットワークは、APをスプーフィングする aren ' t の攻撃者に対しても同様に弱くなります。
- @AdnanG :パスワードは送信されません。
回答
WiFiパイナップルをご覧ください。これは、100ドルと送料で利用できるワイヤレスMITM偽装デバイスです。攻撃者は、ほとんどの場合、電源を入れて構成するだけで、即時MITM攻撃の提供を開始します。モバイルデバイスが既知のオープンSSIDをプローブしている場合、モバイルデバイスは正常に機能するインターネット接続を提供します。操作にはほとんどスキルは必要ありません。
重要なのは、オープンなWiFiアクセスポイントへの接続が1つでも信頼できるクライアントが、脆弱な立場に置かれていることです。これは、あなたがいるかどうかに関係なく当てはまります。あなたのSSIDをブロードキャストしています。安全なアプローチは、アクセスポイントに資格情報を要求し、クライアントの問題の一部にならないようにすることです。 SSIDをブロードキャストするかどうかは、ユーザーの利便性の問題になり、セキュリティの問題ではありません。
コメント
- これは質問に答えないでください。元のネットワークの既知のプロパティと一致しない場合、クライアントは不正APへの接続をどのように信頼しますか?例:SSIDが" MyNetwork "の信頼できるネットワークは、" MyPassword "。不正APは、SSID " MyNetwork "をブロードキャストしますが、暗号化されていないか、WEPを使用しているか、PSKパスフレーズが
EvilPassword "。クライアントが不正APを取得した場合、'プロトコルの不一致または不正なPSKが発生したときに、接続の試行をドロップするべきではありませんか?
回答
SSIDブロードキャストオン
- クライアントデバイスは既知のネットワークを受動的にリッスンします。
- クライアントが開始します既知のネットワークが聞こえたときの接続。
- 攻撃者は、関連付けられていないクライアントデバイスが探しているネットワークを知りません。
ブロードキャストをオンにしても、すべてのクライアントが既知のネットワークをアクティブにスキャンすることを妨げることはありません。これは実装固有です。たとえば、WindowsXPはデフォルトでアクティブにスキャンするだけです。したがって、攻撃者がどのネットワークが求められているかを必ずしも知っているとは限らないというあなたの仮定は正しくありません。これは、構成時にネットワークで可視SSIDを受動的にスキャンする最新のデバイスに接続する場合にのみ適用されます。
SSIDブロードキャストオフ
- クライアントデバイスは既知のネットワークを積極的にプローブする必要があります。
- クライアントデバイスは信頼できるSSIDをアドバタイズしています。
- 攻撃者は信頼できるSSID情報を取得し、それを使用してクライアントをだまして実際の信頼できるネットワークの近くにない場合の不正AP。
ネットワークが開いている限り、これは当てはまります。クライアントは、パスワードが異なるか、パスワードがない場合、セキュリティで保護されたネットワークに接続できなくなります。
これは、一般的に賢明な想定のようです。ただし、攻撃者がネットワークのセキュリティ構成の他の属性、特に暗号化プロトコルやキーを知らずにネットワークになりすまそうとした場合に何が起こるかを考慮した主張は見たことがないと思います。接続する必要があります。 、理論的には、プロトコルの不一致または不正なキーネゴシエーションで失敗します。
ビーコンフレーム、SSIDをブロードキャストしていない場合(つまり、SSIDはこのフレームでNULL
として送信されます)でも、暗号化の詳細を含むネットワークセキュリティ構成の詳細を示します。
上記のことを考えると、SSIDブロードキャストを無効にすると(まだ信頼できるセキュリティメカニズムではありませんが)、セキュリティに正味のプラスの影響があります。最悪の場合、正味中立です。 。何か足りないものはありますか?
ブロードキャストしていない場合でも、NULL
を使用してプローブリクエストを送信しますSSIDが原因である可能性があるためSSIDを含むビーコンで応答するAP。有効なデバイスがSSIDに接続する必要があるとすぐに、どの道路もAPによってブロードキャストされることになります。提供される追加のセキュリティは、隠すことによるセキュリティだけだと思います。気分が良くなるかもしれませんが、ネットワークの安全性が向上するわけではありません。無視できる唯一の利点は、SSIDが頻繁にブロードキャストされないことです。反対に、攻撃者は、これが特に機密性の高いネットワークであると想定し、より多くの時間をターゲットに費やす可能性があります。
回答
クライアントデバイスは、特定のネットワークのSSIDブロードキャストがオンになっているかどうかに関係なく、既知のネットワークをアクティブにプローブします。パッシブスキャンは理論的には可能ですが、実装されることはめったにありません。これは、クライアントがすべてのチャネルを循環し、ビーコンをリッスンするために各チャネルに時間を費やす必要があるためです。これにより、APへの接続に必要な時間が長くなります。
私はairmon-ngを使用してプローブ要求を監視してきましたが、これまでのところ、すべてのワイヤレスカードが既知のネットワークをアクティブにプローブしています。したがって、SSIDブロードキャストをオフにしてもリスクが高まることはありません。
詳細: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
コメント
- これは質問に答えません。元のネットワークの既知のプロパティと一致しない場合、クライアントは不正APへの接続をどのように信頼しますか?例:SSIDが" MyNetwork "の信頼できるネットワークは、" MyPassword "。不正APは、SSID " MyNetwork "をブロードキャストしますが、暗号化されていないか、WEPを使用しているか、PSKパスフレーズが
EvilPassword "。クライアントが不正APを取得した場合、'プロトコルの不一致または誤ったPSKが発生したときに接続の試行をドロップするべきではありませんか?
コメントを残す