Riscos de segurança de desativar a transmissão SSID
On Fevereiro 9, 2021 by adminLembro-me de ter lido vários artigos online, e até mesmo de passar adiante o conselho, afirmando que desativar a transmissão SSID não é apenas inútil como um medida de segurança, mas também prejudicial à segurança dos dispositivos clientes. A lógica é a seguinte:
SSID Broadcasting On
- Dispositivos clientes ouvem passivamente as redes conhecidas.
- Os clientes iniciam a conexão quando uma rede conhecida é ouvida .
- Os invasores não sabem quais redes os dispositivos clientes não associados estão procurando.
Transmissão SSID desativada
- Os dispositivos clientes devem sondar ativamente por redes conhecidas.
- Dispositivos clientes estão anunciando SSIDs confiáveis.
- Os invasores podem capturar informações SSID confiáveis e usá-las para enganar os clientes para que se conectem a um AP Rogue quando não estiverem perto a rede confiável real.
Esta parece uma suposição geralmente sensata. No entanto, não acho que tenha visto nenhuma reclamação que leve em consideração o que acontece quando um invasor tenta se passar por uma rede sem conhecer outros atributos da configuração de segurança da rede – particularmente, o protocolo ou as chaves de criptografia. A conexão deve , em teoria, falha com incompatibilidade de protocolo ou negociação de chave incorreta.
Diante do exposto, parece-me que desativar a transmissão de SSID (embora ainda não seja um mecanismo de segurança confiável) ainda tem uma rede positiva impacto na segurança – ou neutro da rede, na pior das hipóteses. Há algo que estou perdendo?
Comentários
- O que impediria um invasor de tentar diferentes combinações do protocolo de criptografia com o SSID reivindicado?
- @AdnanG Talvez nada. Mas como isso é substancialmente diferente de como eles ‘ teriam que quebrar a mesma rede de outra forma?
- se o cliente se conectar ao AP não autorizado, eles se autenticarão com a senha SSIDs real. O trabalho do invasor foi feito para ele.
- @AdnanG Isso ‘ é incrivelmente simples. Para ser esse o caso, a rede seria igualmente fraca contra invasores que não ‘ t falsificando o AP.
- @AdnanG : A senha nunca é transmitida .
Resposta
Dê uma olhada no WiFi Pineapple , que é um dispositivo de personificação MITM sem fio disponível por US $ 100 mais frete. O invasor precisa apenas ligá-lo e configurá-lo, e ele começará a oferecer ataques MITM instantâneos. Se um dispositivo móvel estiver procurando por um SSID aberto já conhecido, ele fornecerá uma conexão funcional com a Internet. Não requer quase nenhuma habilidade para operar.
O importante é que um cliente que confia em até mesmo uma única conexão para qualquer ponto de acesso WiFi aberto em qualquer lugar se colocou em uma posição vulnerável, e isso é verdade, quer você ou não estão transmitindo seu SSID. A abordagem segura é exigir credenciais em seus pontos de acesso e evitar ser parte do problema para seus clientes. Transmitir ou não seu SSID torna-se uma questão de conveniência para seus usuários, e não de segurança.
Comentários
- Isso significa não responda a pergunta. Como o cliente confiará em uma conexão a um AP Rogue, se ela não corresponder às propriedades conhecidas da rede original? Exemplo: Rede confiável com SSID ” MyNetwork ” usa criptografia WPA2 com uma senha PSK de ” MyPassword “. O AP não autorizado transmite o SSID ” MyNetwork “, mas sem criptografia, ou usa WEP, ou usa WPA2 com uma senha PSK de ” EvilPassword “. Quando o cliente detecta o AP Rogue, não deve ‘ ele interromper a tentativa de conexão ao encontrar uma incompatibilidade de protocolo ou PSK incorreto?
- Você ‘ está correto, não se conectará se a criptografia (e a chave) não ‘ corresponder; mas não ‘ importa se o SSID foi transmitido ou não. Meu ponto é que você não pode configurar seu SSID para corrigir um problema causado por clientes que já confiam no ” StarbucksFreeWiFi ” (diferente para não forçar seus clientes a usar uma conexão de rede sem fio não autenticada.)
- Ponto justo, mas outras redes não ‘ fazem parte da equação de risco aqui. Suponha que os dispositivos cliente estejam configurados apenas para se conectar à minha rede. Como a segurança deles, ou a segurança da minha rede, é realmente prejudicada ao desligar a transmissão de SSID no roteador?
- A pergunta que você parece estar fazendo presume que a visibilidade do SSID isoladamente de tudo o mais impacta a segurança, mas não ‘ t. É ‘ é apenas um fator em combinação com uma rede não segura, o que coloca em risco todos os clientes que confiam nela. E esse risco pode ser mitigado com o uso de uma VPN, momento em que você ‘ re rouba carmicamente o Wi-Fi gratuito do invasor.
- Isso ‘ é exatamente o que eu ‘ estou tentando determinar – se um invasor obtém apenas as informações SSID de uma rede confiável e a rede é protegida por criptografia e um PSK não conhecido pelo invasor, o SSID sozinho é suficiente para o invasor enganar os dispositivos cliente para que se conectem ao seu AP Rogue? Eu ‘ vi muitas postagens sobre ocultação de SSID que dizem que isso coloca os clientes em maior risco de se conectar a APs falsificados, mas eles ‘ não resolver o que acontece com incompatibilidades de protocolo de criptografia / PSK quando o invasor apenas tem o SSID para trabalhar.
Resposta
SSID Broadcasting On
- Dispositivos clientes ouvem passivamente redes conhecidas.
- Clientes iniciam conexão quando uma rede conhecida é ouvida.
- Os invasores não sabem quais redes os dispositivos clientes não associados estão procurando.
Ativar a transmissão não impedirá todos os clientes de procurar ativamente por redes conhecidas. Isso é específico da implementação – por exemplo, o padrão do Windows XP é a varredura ativa apenas. Portanto, sua suposição de que os invasores não sabem necessariamente quais redes estão sendo procuradas está incorreta. Só se aplica se você se conectar a dispositivos modernos que procuram passivamente nas redes os SSIDs visíveis quando foram configurados.
SSID Broadcasting Off
- Dispositivos clientes devem sondar ativamente por redes conhecidas.
- Dispositivos clientes estão anunciando SSIDs confiáveis.
- Os invasores podem capturar informações SSID confiáveis e usá-las para enganar os clientes para que se conectem a um AP invasores quando não estão perto da rede confiável real.
Isso é verdade, desde que a rede esteja aberta. Um cliente não será capaz de se conectar a uma rede segura com uma senha diferente ou sem senha.
Esta parece uma suposição geralmente sensata. No entanto, não acho que tenha visto nenhuma reclamação que leve em consideração o que acontece quando um invasor tenta se passar por uma rede sem conhecer outros atributos da configuração de segurança da rede – particularmente, o protocolo ou as chaves de criptografia. A conexão deve , em teoria, falham com incompatibilidade de protocolo ou negociação de chave incorreta.
O quadro de beacon , mesmo quando não está transmitindo o SSID (ou seja, o SSID é enviado neste quadro como NULL
) ainda detalha a configuração de segurança da rede, incluindo detalhes de criptografia.
Diante do exposto, parece-me que desativar a transmissão SSID (embora ainda não seja um mecanismo de segurança confiável) ainda tem um impacto positivo na rede – ou neutro na rede, na pior das hipóteses . Há algo que estou perdendo?
Mesmo se não estiver transmitindo, enviando uma solicitação de sondagem com NULL
como o SSID pode causar o AP deve responder com um beacon contendo o SSID. Qualquer caminho, assim que um dispositivo válido precisar se conectar o SSID vai acabar sendo transmitido pelo AP. Eu diria que a única segurança extra oferecida é a segurança através da obscuridade – pode fazer você se sentir melhor, mas realmente não torna sua rede mais segura. O único benefício insignificante é que seu SSID não será transmitido com tanta frequência . Por outro lado, um invasor pode presumir que esta é uma rede particularmente sensível e gastar mais tempo como alvo.
Resposta
Dispositivos clientes irão sondar ativamente as redes conhecidas, independentemente se a transmissão SSID para essa rede em particular está ativada ou não. Embora uma varredura passiva seja teoricamente possível, é muito raramente implementada. Isso ocorre porque o cliente precisa percorrer todos os canais, gastando tempo em cada canal para ouvir os beacons. Isso aumentaria a quantidade de tempo necessária para se conectar ao AP.
Eu usei o airmon-ng para monitorar solicitações de sondagem e, até agora, todas as minhas placas sem fio sondam ativamente por redes conhecidas. Portanto, desligar a transmissão SSID não deve aumentar o risco.
Mais detalhes: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
Comentários
- Isso não responde à pergunta.Como o cliente confiará em uma conexão a um AP Rogue, se ela não corresponder às propriedades conhecidas da rede original? Exemplo: Rede confiável com SSID ” MyNetwork ” usa criptografia WPA2 com uma senha PSK de ” MyPassword “. O AP não autorizado transmite o SSID ” MyNetwork “, mas sem criptografia, ou usa WEP, ou usa WPA2 com uma senha PSK de ” EvilPassword “. Quando o cliente detecta o AP Rogue, não deve ‘ ele interromper a tentativa de conexão ao encontrar uma incompatibilidade de protocolo ou PSK incorreto?
- Além disso, embora os clientes possam tecnicamente estar ativamente escaneando a área, a varredura ativa não necessita de transmissão de SSIDs conhecidos, a menos que uma rede seja particularmente conhecida por não incluir seu SSID na transmissão.
- Sim, poderia enviar uma solicitação de investigação a todos os APs na área. No entanto, a maioria das placas de rede incluirá o nome SSID na solicitação de investigação.
- OK. Mas eu ainda não ‘ não entendo como isso é um risco significativo, se o cliente não se conectar a um AP configurado incorretamente de qualquer maneira. Por falar nisso, se o novo padrão é incluir SSIDs em todas as transmissões de sondagem de qualquer maneira, como o SSID está escondendo algo ruim? Certamente, ‘ não há nenhuma vantagem real nisso. Mas não ‘ s nenhum impacto na segurança (talvez algum na usabilidade, mas ‘ não é minha pergunta aqui) da rede ou seu cliente também.
Deixe uma resposta