Frage:
Lohnt sich das Filtern von MAC-Adressen und das Ausblenden von SSIDs noch?
Iszi
2011-01-13 23:02:25 UTC
view on stackexchange narkive permalink

Bei einer kürzlich durchgeführten Zertifizierungsprüfung wurde mir eine Frage zur Sicherung eines drahtlosen 802.11-Netzwerks gestellt. Es war eine Frage mit mehreren Antworten, aber die einzigen zwei verfügbaren Antworten, die sich überhaupt auf die Sicherheit bezogen, betrafen das Ausblenden von SSIDs und das Filtern von MAC-Adressen.

Glücklicherweise war diese spezielle Zertifizierung weder drahtlos noch sicherheitsorientiert.

Ich bin mir bewusst, dass diese beiden definitiv nicht Ihr einziges Mittel zur Sicherung Ihres drahtlosen Netzwerks sein sollten, aber sie werden immer noch als eine Implementierung wert angesehen, zusätzlich zu einer stabileren Authentifizierung und Verschlüsselung Mechanismen?

Sechs antworten:
#1
+29
sysadmin1138
2011-01-13 23:57:41 UTC
view on stackexchange narkive permalink

Sie sind Stolpersteine, aber nicht unüberwindbar. Das Ausblenden von SSIDs bietet einen gewissen Schutz vor Personen, die nach SSIDs suchen, die sie in die Hände bekommen können, und die MAC-Filterung kann gelegentliches Riffraff verhindern. Als einzige Methode zum Schutz eines WLANs sind sie ziemlich schwach.

Für jemanden, der speziell auf Ihr Netzwerk abzielt, bietet die Verschlüsselung (insbesondere die ungebrochene Verschlüsselung) eine erheblich bessere Sicherheit. MAC-Spoofing ist heutzutage in den meisten Adaptern trivial. Nachdem Sie das Netzwerk so weit geknackt haben, dass Sie Pakete während des Flugs überwachen können, können Sie eine Liste gültiger MAC-Adressen abrufen. SSID ist zu diesem Zeitpunkt ebenfalls trivial. Aufgrund der Automatisierung der verfügbaren Toolsets sind die MAC-Filterung und das Ausblenden von SSIDs die Mühe nicht mehr wert. Meiner Meinung nach.

Das Verstecken von SSIDs ist nicht einmal ein Stolperstein, da es so trivial zu identifizieren ist. Sofern Sie kein leicht zu erratendes Passwort haben, kann kein "Gelegenheits-Riffraff" eine Verbindung herstellen, und jeder andere verfügt über eine Software zur automatischen Identifizierung der SSID und wahrscheinlich zur Fälschung von MAC-Adressen. Das einzige, was das Ausblenden von SSIDs bewirkt, ist, dass gültige Benutzer die Verbindung erschweren und die Sicherheit der Geräte, die für die Verbindung konfiguriert sind, möglicherweise gefährden. http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/ http://technet.microsoft.com/en-us/library/ bb726942.aspx # EDAA
Ich habe wirklich das Gefühl, dass dies nicht als die richtige Antwort markiert werden muss und die unten stehende Antwort von Rory muss markiert werden.Die Verwendung der MAC-Adressfilterung ist ein Stolperstein, tut aber nichts gegen sachkundige Personen.Das Ausblenden von SSIDs ist aus den von Rory in seinem obigen Kommentar genannten Gründen eher ein Sicherheitsproblem als ein Vorteil.
#2
+23
Rory
2012-05-20 23:54:23 UTC
view on stackexchange narkive permalink

Nein, keine dieser Maßnahmen lohnt sich gegen einen Angreifer. Sofern Sie kein leicht zu erratendes Passwort haben, müssen Sie davon ausgehen, dass jeder, der realistisch versucht, Zugang zu Ihrem Netzwerk zu erhalten, über Software verfügt, die Ihnen hilft, oder über ein wenig Wissen, wie Sie mit solchen Techniken umgehen können.

Das Ausblenden von SSIDs verbessert die Sicherheit nicht, da es trivial ist, die SSID eines verwendeten Netzwerks zu identifizieren (z. B. inSSIDer herunterladen und ausführen), und dies kann sogar zu Kompromissen führen die Sicherheit von drahtlosen Clients, die für die Verbindung mit versteckten SSID-Netzwerken konfiguriert sind. Aus einem Microsoft TechNet-Artikel:

Die Verwendung von Nicht-Broadcast-Netzwerken gefährdet die Privatsphäre der drahtlosen Netzwerkkonfiguration eines… drahtlosen Clients, da regelmäßig die bevorzugten Netzwerke offengelegt werden Nicht gesendete drahtlose Netzwerke… Es wird dringend empfohlen, keine nicht gesendeten drahtlosen Netzwerke zu verwenden.

Die MAC-Adressfilterung verbessert die Sicherheit nicht, da der Netzwerkverkehr Enthält die unverschlüsselte MAC-Adresse aktiver Netzwerkgeräte. Dies bedeutet, dass jeder eine MAC-Adresse herausfinden kann, die auf der zulässigen Liste steht, und dann leicht verfügbare Software verwenden kann, um seine MAC-Adresse zu fälschen.

Authentifizierung und Verschlüsselung sind die einzig vernünftigen Möglichkeiten zur Sicherung Ihr drahtloses Netzwerk. Für ein Heimnetzwerk bedeutet dies, dass die WPA2-PSK-Sicherheit mit einem sicheren Kennwort und einer SSID verwendet wird, die nicht auf der Liste der 1000 häufigsten SSIDs aufgeführt ist.

Die MAC-Adressfilterung bietet möglicherweise eine Vorteil: Kontrolle des Zugriffs für nicht böswillige Benutzer. Sobald Sie jemandem Ihr WLAN-Passwort gegeben haben, haben Sie keine Kontrolle darüber, wem er das Passwort gibt: Er kann seinen Freunden leicht sagen, vielleicht nachdem er vergessen hat, dass er es nicht sollte. MAC-Adressfilterung bedeutet, dass Sie zentral steuern können, welche Geräte von Nicht-Hackern eine Verbindung herstellen können.

Wenn Sie sich also Sorgen machen, dass sich jemand in Ihr Netzwerk hackt, vergessen Sie das Ausblenden der SSID und das Filtern der MAC-Adresse. Wenn Sie nicht möchten, dass die Freunde Ihrer Freunde eine Verbindung herstellen, kann die MAC-Adressfilterung hilfreich sein. Es wäre jedoch weniger mühsam, Ihre Freunde zu bitten, das Kennwort nicht weiterzugeben oder auf allen Geräten einfach das WLAN-Kennwort für sie einzugeben.

"Eine SSID, die nicht auf der Liste der 1000 häufigsten SSIDs steht". Warum sagst du das? Natürlich wäre es verwirrend und unpraktisch, eine dieser gängigen SSIDs zu verwenden - aber warum verringert dies die Sicherheit? Ist es dadurch einfacher, die Verschlüsselungsschicht anzugreifen?
Ich kann mich nicht genau erinnern, aber ich denke, das liegt daran, dass Sie so etwas wie eine Regenbogentabelle mit möglichen Passwörtern für die häufigsten SSIDs generieren und diese dann brutal erzwingen können. Wenn Sie eine ungewöhnliche SSID haben, ist es aufwändiger, eine solche Liste möglicher Kennwörter zu erstellen. Das setzt voraus, dass das Hash-Passwort mit der SSID zusammenhängt, was ungefähr richtig erscheint, aber ich habe keine Referenz dafür.
@Rory, Sie denken wahrscheinlich an die [Renderlab Church of Wifi WPA-PSK-Nachschlagetabellen] (http://www.renderlab.net/projects/WPA-tables/), die in beiden [Pyrit] (https: // Code) nützlich sind .google.com / p / pyrit /) und [coWPAtty] (http://wirelessdefence.org/Contents/coWPAttyMain.htm#Precomputing_WPA_PMK_to_crack_WPA_PSK :), die beide für Angreifer mit ein paar Tausend Dollar oder mehr obsolet gemacht wurden (oder viel weniger Geld, Cloud-GPU-Zugriff und eine kleine Zielliste) von modernen GPUs und [oclHashcat] (http://hashcat.net/oclhashcat/), aber dennoch SEHR nützlich für Angreifer mit begrenzten Ressourcen.
#3
+5
user502
2011-01-13 23:54:58 UTC
view on stackexchange narkive permalink

Kismet und andere vollständig passive HFON-Scanner gibt es schon lange. Sofern es sich nicht um ein WLAN-Heimnetzwerk handelt, das Sie niemals mit Gästen teilen und selten Geräte hinzufügen, ist die geringfügige Erhöhung der Sicherheit, die Sie durch diese beiden Aktionen erhalten, die geringfügige Erhöhung der Unannehmlichkeiten nicht wert.

@user502 - Ich bin mir nicht sicher, wie RFID-Scanner dies tun können oder wann Kismet einer wurde?
@user502 - Wenn Sie rfid durch 802.11 ersetzen, haben Sie wahrscheinlich Recht :-)
#4
+2
Ben
2016-04-21 00:33:55 UTC
view on stackexchange narkive permalink

Wie andere geantwortet haben, helfen MAC-Filterung und Ausblenden von SSIDs nicht gegen einen aktiven Angreifer.

Sie können sich jedoch für einen gewissen Schutz vor nicht vertrauenswürdigen Geräten lohnen, die von meist vertrauenswürdigen Personen verwendet werden. Ich erkläre dies mit einer hypothetischen Situation:

Angenommen, Sie haben zu Hause (oder in einem Unternehmen) einen Router, der für ein separates "Gastnetzwerk" konfiguriert ist. Viele Heimrouter machen diese Einstellung leicht verfügbar, verwenden häufig einen WPA-Schlüssel für das primäre "Heim" -Netzwerk, stellen jedoch ein Captive-Portal für das Gastnetzwerk bereit.

Es kann viel bequemer sein (und ist definitiv mehr sicher), um das primäre Netzwerk zu nutzen, damit Ihre Familie das natürlich nutzt. Da Sie jedoch der Technikfreak sind, haben Sie sicher alle Geräte in Ihrem Heimnetzwerk gesichert und sie vollständig mit aktuellen Antivirenprogrammen, Firewalls usw. gepatcht.

Nun, während Sie Ich bin auf der Arbeit, die Freundin Ihres Teenagers kommt herüber, um im Haus abzuhängen, und sie bringt ihren Laptop mit. Sie will das WLAN-Passwort. Sie möchten, dass sie das Gastnetzwerk verwendet, denn wer weiß, was sich auf diesem Laptop befindet?

Ihr Teenager könnte nur das primäre WLAN-Passwort ausgeben, aber Sie haben die MAC-Adressfilterung konfiguriert . Stattdessen gibt sie das Passwort an das Gastnetzwerk weiter, da es schwierig wäre, den Laptop ihrer Freundin in das Heimnetzwerk zu bringen, selbst wenn sie das Administratorkennwort des Routers hätte. Sie meckern darüber, dass sie sich jedes Mal neu verbinden müssen, wenn sie vorbeikommt, aber der nicht vertrauenswürdige Laptop bleibt von Ihrem vertrauenswürdigen Netzwerk fern.

#5
+1
Rod MacPherson
2013-06-17 02:35:11 UTC
view on stackexchange narkive permalink

Als Sicherheitsgerät macht das Ausblenden von SSIDs nicht viel, da der Client zum Herstellen einer Verbindung mit dem versteckten Netzwerk die SSID anstelle des Access Points sendet, der sie sendet. Durch passives Überwachen für eine Weile können Sie sie abrufen Was ist die SSID überhaupt. MAC-Sperren sind auch nicht sehr gut für die Sicherheit. Wenn Sie passiv überwachen, sehen Sie, welche MACs erfolgreich verbunden sind, und können einen von ihnen fälschen und sich selbst verbinden. Dies sind Funktionen, die in Kombination mit anderen Methoden eine moderate Hilfe sein können, aber der Verwaltungsaufwand ist den Vorteil nicht wert, und es wäre viel besser, den Aufwand für Enterprise WPA2 aufzuwenden. Versteckte SSIDs können nützlich sein, um Verwirrung zu vermeiden und Verwirrung zu vermeiden, wenn sich Unternehmensnetzwerke und öffentlich zugängliche Netzwerke in demselben Gebäude / Bereich befinden. Wenn Sie die nicht öffentlichen Netzwerke ausblenden, werden Kunden / Gäste, die eine Verbindung zu Ihrem öffentlichen Netzwerk herstellen möchten, nicht so leicht verwirrt.

#6
  0
Aaron
2018-11-26 14:34:56 UTC
view on stackexchange narkive permalink

Einige könnten sagen, dass diese Maßnahmen marginal oder nutzlos sind und bis zu einem gewissen Grad korrekt sind. Die Netzwerkverwaltung ist jedoch ein Schritt in Richtung einer besseren Sicherheit. Bei der MAC-Filterung müssen Sie beispielsweise jedes Gerät in Ihrem Netzwerk finden und auflisten. Zu Hause ist dies keine große Sache, da die meisten Menschen weniger als zwanzig bis dreißig Geräte haben.

Stellen Sie sich also vor, Sie haben DHCP deaktiviert und statische Adressierung auf allen fünf Geräten, die Sie möglicherweise haben. Zum Beispiel ein Laptop, eine PlayStation, zwei Handys und ein Tablet. (Typisch für eine kleine Familie.)

Das sind nicht viele Geräte. Stellen wir uns nun vor, Sie hätten einen Hacker wirklich verärgert, und er zielt auf Sie und versucht, etwas Saftiges zu finden. Er ist sozial entwickelt, um Ihr WPA2-Passwort zu finden. Jetzt muss er nur noch Ihre MAC-Adresse fälschen und eine verfügbare IP auswählen.

Also ... Szenario 1: Er beschließt, Ihren Laptop zu fälschen. Er fälscht Ihren MAC und verwendet dieselbe IP. Dies funktioniert für den Hacker etwa 30 Minuten lang. Dann entscheiden Sie, ob Sie Netflix sehen möchten. Sie öffnen Ihren Laptop und entweder A: Kann keine Verbindung herstellen oder B: Windows teilt Ihnen mit, dass ein IP-Konflikt vorliegt. (Was es wird). Erraten Sie, was? Sie haben gerade gemerkt, dass etwas los ist, das nicht passieren sollte. Der Hacker (weil es WiFi ist) verwendet besser eine Yagi-Antenne aus einer Entfernung von einer Viertelmeile, weil er erwischt wurde. Du gewinnst. Da Sie Ihr Netzwerk verwalten, wissen Sie, ob jemand eine Konfigurationsänderung vornimmt oder ob bei einem Ihrer Geräte Verbindungsprobleme auftreten.

Lange Rede, kurzer Sinn, es kann ihn nicht fernhalten. Aber es wird schwieriger, sich zu verstecken.

Es gibt also ein Szenario, in dem es hilft, aber etwas zu empfehlen, das für die meisten Menschen sehr komplex ist, setzt den Fokus auf das Falsche.Die Auswahl eines sicheren Kennworts hilft mehr als das Hinzufügen zusätzlicher Ebenen, die möglicherweise ein falsches Sicherheitsgefühl vermitteln.Ich verstehe Ihren Standpunkt, aber er gilt nur für diejenigen, die wahrscheinlich bereits statische IPs und dergleichen festlegen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...