Riscuri de securitate ale dezactivării transmisiei SSID
On februarie 9, 2021 by adminÎmi amintesc că am citit mai multe articole online și chiar am transmis sfatul, afirmând că dezactivarea transmisiei SSID nu este doar inutilă ca măsură de securitate, dar și dăunătoare pentru securitatea dispozitivelor client. Logica merge astfel:
SSID Broadcasting On
- Dispozitivele client ascultă pasiv rețelele cunoscute.
- Clienții inițiază conexiunea atunci când se aude o rețea cunoscută. .
- Atacatorii nu știu ce rețele caută dispozitivele client neasociate.
SSID Broadcasting Off
- Dispozitivele client trebuie cercetați activ rețelele cunoscute.
- Dispozitivele client publică SSID-uri de încredere.
- Atacatorii pot captura informații SSID de încredere și le pot folosi pentru a înșela clienții să se conecteze la un AP Rogue atunci când nu sunt aproape rețeaua de încredere reală.
Aceasta pare o presupunere generală sensibilă. Cu toate acestea, nu cred că am văzut vreo afirmație care să țină cont de ceea ce se întâmplă atunci când un atacator încearcă să suplinească o rețea fără să cunoască alte atribute ale configurației de securitate a rețelei – în special, protocolul sau cheile de criptare. , în teorie, eșuează cu nepotrivirea protocolului sau cu negocierea cheii greșite.
Având în vedere cele de mai sus, mi s-ar părea că dezactivarea transmisiei SSID (deși încă nu este deloc un mecanism de securitate fiabil) are totuși un rezultat net pozitiv impact asupra securității – sau neutru, cel mai rău. Există ceva care îmi lipsește?
Comentarii
- Ce ar împiedica un atacator să încerce combinații diferite ale protocolului de criptare cu SSID-ul revendicat?
- @AdnanG Poate că nimic. Dar cum este diferența substanțială de modul în care ‘ ar trebui să spargă aceeași rețea altfel?
- dacă clientul se conectează la AP necinstiți, se va autentifica cu parola SSID-ului real. Sarcina atacatorilor este făcută pentru el.
- @AdnanG Acest ‘ este imposibil de simplu. Pentru ca acesta să fie cazul, rețeaua ar fi la fel de slabă împotriva atacatorilor care nu ‘ t falsifică AP.
- @AdnanG : Parola nu este transmisă niciodată .
Răspuns
Aruncați o privire la Pineapple WiFi , care este un dispozitiv fără fir de personalizare MITM disponibil pentru 100 USD plus expediere. Atacatorul trebuie doar să-l pornească și să-l configureze și va începe să ofere atacuri MITM instantanee. Dacă un dispozitiv mobil caută un SSID deschis deja cunoscut, acesta îi va oferi cu plăcere o conexiune de internet funcțională. Nu necesită aproape nicio abilitate pentru a funcționa.
Cheia este că un client care are încredere chiar și într-o singură conexiune la orice punct de acces WiFi deschis oriunde s-a plasat într-o poziție vulnerabilă și acest lucru este adevărat, indiferent dacă tu sau nu vă difuzează SSID-ul. Abordarea sigură este de a solicita acreditări pentru punctele dvs. de acces și de a evita să facă parte din problema clienților dvs. Indiferent dacă vă transmiteți SSID-ul dvs. atunci devine o chestiune de confort pentru utilizatorii dvs. și nu este o chestiune de securitate.
Comentarii
- nu răspunde la întrebare. Cum va avea încrederea clientul o conexiune la un AP Rogue, dacă nu se potrivește cu proprietățile cunoscute ale rețelei originale? Exemplu: rețea de încredere cu SSID ” MyNetwork ” utilizează criptarea WPA2 cu o expresie de acces PSK ” Parola mea „. Rogue AP difuzează SSID ” MyNetwork „, dar fără criptare, sau folosește WEP sau folosește WPA2 cu o expresie de acces PSK ” EvilPassword „. Când clientul preia AP-ul Rogue, nu ar trebui să ‘ să renunțe la încercarea de conectare când întâmpină o nepotrivire a protocolului sau un PSK incorect?
- Tu ‘ este corect, nu se va conecta dacă criptarea (și cheia) nu se potrivesc ‘ t; dar nu contează ‘ dacă SSID a fost difuzat sau nu. Ideea mea este că nu există nicio modalitate de a vă configura SSID pentru a remedia o problemă cauzată de clienții care au deja încredere în ” StarbucksFreeWiFi ” (altul decât pentru a nu vă forța clienții să utilizeze o conexiune de rețea fără fir neautentificată.)
- Punct echitabil, dar alte rețele nu fac parte din ecuația riscului aici ‘ Să presupunem că dispozitivele client sunt configurate numai pentru a se conecta la rețeaua mea. Cum este de fapt securitatea lor sau securitatea rețelei mele afectată prin dezactivarea transmisiei SSID pe router?
- Întrebarea pe care pareți să o puneți presupune că vizibilitatea SSID izolată de orice altceva afectează securitatea, dar nu ‘ t. ‘ este doar un factor în combinație cu o rețea nesecurizată, moment în care pune în pericol clienții care au încredere în ea. Și acest risc poate fi atenuat prin utilizarea unei rețele VPN, moment în care ‘ furi karmic rețeaua wifi gratuită de la atacator.
- Acest ‘ este exact ceea ce încerc ‘ să încerc să stabilesc – dacă un atacator primește doar informațiile SSID ale unei rețele de încredere, iar rețeaua este securizată prin criptare și un PSK care nu este cunoscut de atacator, SSID-ul este suficient pentru ca atacatorul să păcălească dispozitivele client în conectarea la AP-ul său Rogue? ‘ am văzut multe postări despre ascunderea SSID care spun că pune clienții la un risc mai mare de conectare la AP-uri falsificate, dar nu ‘ t soluționați ce se întâmplă cu protocolul de criptare / nepotrivirile PSK când atacatorul numai are SSID-ul cu care să lucreze.
Răspuns
SSID Broadcasting On
- Dispozitivele client ascultă pasiv rețelele cunoscute.
- Clienții inițiază conexiune atunci când se aude o rețea cunoscută.
- Atacatorii nu știu ce rețele caută dispozitivele client neasociate.
Difuzarea activată nu va împiedica toți clienții să scaneze activ rețelele cunoscute. Aceasta este specifică implementării – de exemplu, Windows XP este implicit scanat numai activ. Prin urmare, presupunerea dvs. că atacatorii nu știu neapărat ce rețele sunt căutate este incorectă. Se aplică numai dacă vă conectați la dispozitive moderne care scanează pasiv rețelele pentru SSID-urile vizibile atunci când acestea au fost configurate.
SSID Broadcasting Off
- Dispozitivele client trebuie să exploreze activ rețelele cunoscute.
- Dispozitivele client publică SSID-uri de încredere.
- Atacatorii pot captura informații SSID de încredere și le pot folosi pentru a înșela clienții să se conecteze la un Rogue AP atunci când nu se află în apropierea rețelei de încredere reale.
Acest lucru este adevărat atâta timp cât rețeaua este deschisă. Un client nu se va putea conecta la o rețea securizată cu o parolă diferită sau fără o parolă.
Acest lucru pare o presupunere generală sensibilă. Cu toate acestea, nu cred că am văzut vreo afirmație care să țină cont de ceea ce se întâmplă atunci când un atacator încearcă să imite o rețea fără să cunoască alte atribute ale configurației de securitate a rețelei – în special, protocolul de criptare sau cheile. , teoretic, eșuează cu nepotrivirea protocolului sau cu negocierea cheii greșite.
cadru de baliză , chiar și atunci când nu se difuzează SSID (adică SSID este trimis în acest cadru ca NULL
) detalii încă configurația de securitate a rețelei, inclusiv detalii de criptare.
Având în vedere cele de mai sus, mi s-ar părea că dezactivarea transmisiei SSID (deși încă nu este deloc un mecanism de securitate fiabil) are în continuare un impact net pozitiv asupra securității – sau net-net, în cel mai rău caz . Îmi lipsește ceva?
Chiar dacă nu difuzează, trimiterea unei cereri de sondare cu NULL
deoarece SSID poate provoca AP-ul să răspundă cu un far care conține SSID. Orice drum, de îndată ce un dispozitiv valid trebuie să se conecteze SSID va ajunge să fie difuzat de AP. Aș spune că singura securitate suplimentară oferită este securitate prin obscuritate – vă poate face să vă simțiți mai bine, dar nu face ca rețeaua dvs. să fie mai sigură. Singurul beneficiu neglijabil este că SSID-ul dvs. nu va fi difuzat la fel de des . Pe de altă parte, un atacator poate presupune că aceasta este o rețea deosebit de sensibilă și poate petrece mai mult timp vizând-o.
Răspuns
Dispozitivele client vor testa activ rețelele cunoscute, indiferent dacă difuzarea SSID pentru acea rețea este activată sau nu. În timp ce o scanare pasivă este teoretic posibilă, este foarte rar implementată. Acest lucru se datorează faptului că clientul trebuie să parcurgă toate canalele, petrecând timp pe fiecare canal pentru a asculta semnalizatoare. Acest lucru ar crește timpul necesar pentru conectarea la AP.
Am folosit airmon-ng pentru a monitoriza solicitările de sondare și până acum toate cardurile mele wireless sondează activ pentru rețelele cunoscute. Prin urmare, dezactivarea transmisiei SSID nu ar trebui să crească riscul.
Mai multe detalii: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive
Comentarii
- Aceasta nu răspunde la întrebare.Cum va avea încrederea clientul o conexiune la un AP Rogue, dacă nu se potrivește cu proprietățile cunoscute ale rețelei originale? Exemplu: rețea de încredere cu SSID ” MyNetwork ” utilizează criptarea WPA2 cu o expresie de acces PSK ” Parola mea „. Rogue AP difuzează SSID ” MyNetwork „, dar fără criptare, sau folosește WEP sau folosește WPA2 cu o expresie de acces PSK ” EvilPassword „. Când clientul preia AP-ul Rogue, nu ar trebui să ‘ să renunțe la încercarea de conectare atunci când întâmpină o nepotrivire a protocolului sau un PSK incorect?
- De asemenea, în timp ce clienții pot din punct de vedere tehnic, scanează în mod activ zona, scanarea activă nu necesită transmiterea SSID-urilor cunoscute, cu excepția cazului în care se știe în mod special că o rețea nu include SSID-ul său în difuzare.
- Da, ar putea trimite o cerere de probă către toate AP-urile în zona. Cu toate acestea, majoritatea plăcilor de rețea vor include numele SSID în cererea de probă.
- Ok. Dar încă nu ‘ nu înțeleg cum este un risc semnificativ, dacă clientul nu se va conecta oricum la un AP configurat necorespunzător. De altfel, dacă noua valoare implicită este să includă oricum SSID-uri în toate transmisiile sondei, cum ascunde SSID un lucru rău? Cu siguranță, ‘ nu are niciun avantaj real. Dar ‘ nu are niciun impact asupra securității (poate unele pentru utilizare, dar ‘ nu este întrebarea mea aici) a rețelei sau clientul său.
Lasă un răspuns