Frage:
Wird es als schlechte Praxis angesehen, den Firmennamen als Teil einer SSID zu verwenden?
sbrattla
2020-01-30 15:00:41 UTC
view on stackexchange narkive permalink

Wird es aus Sicherheitsgründen als schlechte Praxis angesehen, den Firmennamen als Teil einer SSID zu verwenden?

Angenommen, das Unternehmen befindet sich in einem dicht besiedelten Gebiet mit vielen "konkurrierenden" drahtlosen Netzwerken. Eine leicht identifizierbare SSID würde es einfach machen, das Netzwerk für diejenigen zu finden, die in diesem Büro arbeiten. Für andere außerhalb des Büros wäre es jedoch genauso einfach, das Netzwerk zu finden.

Würde ich dies überdenken, wenn SSIDs für drahtlose Netzwerke zufällige Zeichenfolgen sein müssten?

Sieben antworten:
#1
+81
schroeder
2020-01-30 15:09:54 UTC
view on stackexchange narkive permalink

Das "Verstecken" Ihrer SSID ist nur "Sicherheit durch Dunkelheit" - wie das Verstecken des Schlüssels der Vordertür unter der Matte. Es funktioniert nur so lange, wie niemand es herausfindet. Sobald es herausgefunden ist, bietet es keine Sicherheit mehr.

Im Allgemeinen möchten Sie Sicherheitsmaßnahmen, die auch dann funktionieren, wenn jeder weiß, welche Maßnahme Sie angewendet haben.

Ja, durch Angabe Ihres Namens kann sich jeder Opportunist auf Ihr Netzwerk konzentrieren, wenn Sie haben diesen Wunsch, aber nur ein WiFi-Netzwerk sendet, dass ein Netzwerk sowieso da ist. Wenn jemand Sie gezielt anspricht, findet er Ihre SSID, auch wenn Sie sie verdecken oder verbergen.

Das Ausblenden oder Verdecken der SSID bietet also einen sehr, sehr geringen Schutz. Sofern Sie keinen bestimmten Grund haben, einen solchen spezifischen, niedrigen und opportunistischen Schutz zu benötigen (und es gibt mögliche Gründe), würde ich mich stattdessen auf die Sicherung des Netzwerks konzentrieren.

Wie JPhi1618 und Emory in den Kommentaren hervorheben Sie können sogar ein Sicherheitsproblem mithilfe einer unscheinbaren SSID erstellen: Wenn Sie diese beispielsweise auf df42Sdd235f2 setzen, kann jemand ein WLAN-Netzwerk mit Ihrem Firmennamen oder sogar df42Sdd235f 3 , um Menschen dazu zu bewegen, sich anstelle Ihres Unternehmensnetzwerks mit ihm zu verbinden, und die Opfer hätten keine Hinweise darauf, dass das Netzwerk nicht das offizielle Netzwerk ist.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/104181/discussion-on-answer-by-schroeder-is-it-considered-bad-practice-to-use-company-n).
#2
+20
Nobody
2020-01-31 01:46:36 UTC
view on stackexchange narkive permalink

Es hilft aus Gründen, die in anderen Antworten beschrieben sind, nicht. Und es gibt tatsächlich eine Möglichkeit für einen Angreifer, seltsame SSIDs gegen Sie zu verwenden. Wenn sich Ihr Zugangspunkt mit einem Zertifikat authentifiziert und seine SSID "Firma" lautet, kann kein Angreifer behaupten, "Firma" zu sein. Sie müssten eine andere SSID wählen, also würde es offensichtlich zwei Netzwerke geben, und dies würde hoffentlich die Mitarbeiter dazu bringen, darüber nachzudenken, welches richtig ist (und jemanden benachrichtigen / fragen, der in der Lage wäre, zu erkennen, dass dies ein Angriff ist).

Wenn das offizielle Netzwerk "iewrbfpwh" ist und ein Angreifer ein Netzwerk "Company" erstellt, können Sie sicher sein, dass einige Personen versehentlich eine Verbindung herstellen.

#3
+10
YLearn
2020-01-31 01:11:35 UTC
view on stackexchange narkive permalink

Wird es aus Sicherheitsgründen als schlechte Praxis angesehen, den Firmennamen als Teil einer SSID zu verwenden?

Nein.

Würde ich dies überdenken, wenn ich verlangen würde, dass SSIDs für drahtlose Netzwerke zufällige Zeichenfolgen sind?

Ja wird in keiner Weise einen interessierten oder entschlossenen Angreifer abschrecken. Effektive Sicherheit sollte den Angreifer immer stärker belasten als die zu schützende Ressource. Lassen Sie uns dies ein wenig untersuchen.

Selbst wenn Sie sich in einem großen mehrstöckigen Gebäude im Zentrum eines großen Geschäftsviertels befinden (wahrscheinlich das extreme Beispiel für "in einem dicht besiedelten Gebiet mit vielen "konkurrierende" drahtlose Netzwerke "), es würde nicht mehr als das Wissen, dass Sie dort waren, einen moderaten Zugriff (zum Beispiel Treppenhäuser sind normalerweise für Fluchtzwecke leicht zugänglich und werden für diesen Zweck ausreichen), einen Laptop unter Linux (oder andere Betriebssysteme mit bestimmten verfügbaren Tools) und 10 bis 20 Minuten, um herauszufinden, welche drahtlosen Netzwerke Ihnen gehören. Mit einigen anderen verfügbaren 802.11-Tools und / oder mehr Zugriff kann dies problemlos in weniger als 10 Minuten erledigt werden.

Wenn Sie ein Gastnetzwerk haben, das für Besucher leicht erkennbar ist, können Sie Ihre Netzwerke in bestimmen weniger als eine Minute.

Vergleichen Sie dies nun mit der Belastung Ihrer Benutzer und IT-Mitarbeiter. Wie verwirrend dies für sie wäre, wie viele Fehler gemacht wurden, wie oft die Fragen gestellt werden usw. Abhängig von der Größe Ihres Unternehmens wären dies weit über 10 bis 20 Minuten pro Tag und sicherlich viel mehr, wenn Sie legen zuerst diese Richtlinie fest (jedes Gerät müsste auf irgendeine Weise "berührt" werden usw.).

Dies besteht den Test der effektiven Sicherheit nicht und betritt den Bereich des Sicherheitstheaters. Diese Art von Aktion bietet wirklich keinen Sicherheitsvorteil.

Sie unterschätzen drastisch, wie einfach es ist, herauszufinden, welche SSID vom Zielunternehmen stammt.Sogar ich, der sich in Sachen Geschicklichkeit fest im Skript-Kiddy-Gebiet befindet, wenn ich Zugang zu einer Treppe oder einem Flur auf Ihrer Etage oder der darüber oder darunter liegenden Etage habe und ungefähr weiß, auf welchem Teil welcher Etage Sie sich befinden (normalerweise gezeigt)Auf einem Schild in der Lobby) können Sie Ihre verschleierte SSID mit einer Smartphone-App in weniger als 10 Minuten (ohne Fahrzeit vom Boden zu Ihrem Boden) trivial finden. Wenn Sie auf ein Telefon starren, während Sie durch die Halle gehen, ist dies weitaus weniger verdächtig.suchen als einen Laptop offen zu haben.
@MatthewNajmon, Dies kann schwieriger sein als Sie denken, abhängig davon, wie groß die Organisation ist, wie viele Mieter pro Etage, die Grundrissgestaltung und die Lage der Treppenhäuser.Das Auffinden der SSIDs ist kein Problem. Die eindeutige Identifizierung der SSIDs bei welchem Unternehmen kann etwas länger dauern.Und als Netzwerktechniker mit mehr als 20 Jahren Erfahrung, viel Erfahrung mit drahtlosem Tracking und drahtlosem Verhalten im Allgemeinen, der dies bereits mehrfach getan hat, gab ich eine sehr solide konservative Schätzung ab.Kann es sicher schneller gehen, aber ich kann es im schlimmsten Fall in 10-20 Minuten tun.
Nein, ich weiß ganz genau, wie schwierig es ist, wie ich es tatsächlich getan habe (als pädagogische Übung; habe vor ein paar Jahren einen Kick gemacht und alles darüber gelernt, wie sich WLAN-Signale ausbreiten, warum die Schatten dort sind, wo sie sind usw.).Ich werde anerkennen, dass es einen schlimmsten Fall geben könnte, der länger dauern würde, den ich bei meinen Tests einfach nicht erlebt habe, aber dann sollten Sie in Ihrer Antwort wahrscheinlich etwas klarer machen, dass "10-20 Minuten" sindim schlimmsten Fall, und das ist typisch viel schneller.
@MatthewNajmon, Ich habe dies ziemlich oft gemacht und 10-20 Minuten ist der Zeitrahmen, den ich jedem Kunden schätzen würde, der mich danach fragt, da ich weiß, dass ich es in diesem Zeitrahmen tun kann.Ich sage bereits in meiner Antwort, dass es viel weniger dauern kann.In diesem Kommentar ging mir der Platz aus, aber ich könnte mit den Herausforderungen fortfahren, wenn Sie möchten.Die meisten drahtlosen Unternehmenssysteme verwenden eine Art RRM-Prozess, bei dem APs mit weniger als der maximalen Leistung ausgeführt werden.Omnidirektionale Antennen in Laptops und die Verwendung von Mehrwege-Antennen seit 802.11n machen die Triangulation schwierig und zeitaufwendiger für genaue Ergebnisse.Und so weiter.
OK ... "seit 802.11n" scheint das Problem zu klären, da meine Experimente hauptsächlich in einem 802.11g-Kontext durchgeführt wurden (802.11n existierte zu diesem Zeitpunkt, war aber noch nicht weit verbreitet, wo ich mich befand)..
Vor 802.11n wurde Multipath als schlecht für das drahtlose Design angesehen.Während APs mehrere Antennen für Diversity hatten, wurde zwischen ihnen zum Senden und Empfangen von Clients gewechselt.Bei 802.11n und mehreren räumlichen Streams wird Multipath im Allgemeinen als Vorteil angesehen.
#4
+6
Anonymous
2020-01-31 00:32:39 UTC
view on stackexchange narkive permalink

Ich würde keinen offensichtlichen SSID-Namen senden. Ich glaube zwar nicht an Sicherheit durch Dunkelheit, sehe aber keinen starken Anreiz darin, Ihre Identität über Funk zu bewerben. Und die SSID muss keine zufälligen Zeichen sein, sie kann etwas einprägsam sein, aber nichts mit dem tatsächlichen Firmennamen zu tun haben.

Ich möchte lieber die Leute informieren, die in Ihrem Unternehmen arbeiten Büro und gewähren Sie ihnen Zugriff auf einer Basis, die Sie wissen müssen, da Sie ihnen sowieso das Passwort geben müssen, oder? Und es wird normalerweise einmal auf ihrem Gerät konfiguriert, es sei denn, Sie haben ein zusätzliches Setup, von dem wir nichts wissen. Daher sehe ich hier keine großen Unannehmlichkeiten.

Abgesehen davon denke ich, dass dies vom Zweck abhängt. Ich könnte den Firmennamen in einem Gast Netzwerk für Besucher senden , das gewährt Zugang zum Internet und sonst nichts. In diesem Fall möchten Sie es Außenstehenden erleichtern, das WLAN-Netzwerk zu finden.

Wenn der WLAN-Hotspot direkt mit Ihrem LAN verbunden ist, möchte ich lieber ein niedrigeres Profil beibehalten. Ich könnte sogar die SSID ausblenden, wenn es praktisch ist. Obwohl wir uns alle einig sind, dass dies keinen Schutz bietet, sondern die Aufklärungsbemühungen vereitelt.

#5
+6
Matthew Steeples
2020-01-31 17:55:36 UTC
view on stackexchange narkive permalink

Beachten Sie, dass einige Geräte senden, mit welchen SSIDs sie zuvor verbunden waren, wenn sie unterwegs sind. Dies kann es trivial machen, Mitarbeiter / Besucher Ihres Unternehmens außerhalb der Website selbst zu identifizieren.

Es hängt jedoch von Ihrem Bedrohungsmodell ab, ob dies ein Problem darstellt.

Ich liebe diesen Blickwinkel insofern, als er sich auf die Mitarbeiter konzentriert, wenn sie nicht durch die Netzwerkkontrollen geschützt sind.
#6
+2
J. Chris Compton
2020-01-31 21:56:58 UTC
view on stackexchange narkive permalink

... ist es [eine] schlechte Praxis, den Firmennamen als Teil einer SSID zu verwenden?

Wie schroeder oben erwähnt , wahrscheinlich nicht.

Es scheint jedoch, als würden Sie ein schlechtes Beispiel geben. , richtig?

Wählen Sie einfach etwas aus und verwenden Sie es konsequent - jeder wird es trotzdem tun Wenn Sie wissen, was Sie von der Liste streichen sollen, sehen Sie für Personen, die nicht informiert sind, nicht "unsicher" aus.


Anekdote:

Ein Freund, der für X arbeitet (ein Fortune 200-Netzwerkunternehmen) war vor ein paar Jahren mit seinem Arbeitslaptop bei mir zu Hause. "Oh! Schneesturm."

Ich: "Huh?"

"Ich bin gerade in das interne Netzwerk meines Unternehmens eingestiegen. Blizzard ist die Netzwerk-ID, die mein Unternehmen verwendet, aber ich habe nicht bemerkt, dass sie überall verwendet wird."

Ich: "Ah, diese SSID. Nachbar arbeitet für X. "

Das Problem dabei ist, wie viele auf dieser Seite ausführlich dargelegt haben, dass es nicht nur keine schlechte Praxis ist, es offensichtlich zu lassen, sondern dass es eine schlechte Praxis ist, es zu verschleiern.Sie verursachen nicht nur mehr Ärger als Sie sparen, sondern setzen auch eine schlechte Praxis fort, um für die Idioten gut auszusehen.
@MatthewNajmon "sieht gut aus für die Idioten" scheint abwertend.Die Frage hier beschäftigt sich mit dem Eindruck, den Sie mit Menschen machen, die Sicherheitsbedenken ignorieren - nicht Idioten.Zwar ist Sicherheit durch Verschleierung theoretisch eine schlechte Idee, aber ich würde Ihnen dennoch raten, Ihren Laptop in den Kofferraum Ihres Autos zu stecken, anstatt ihn auf den Passagiersitz zu verlassen.Ja, es ist * besser *, den Laptop nicht im Auto zu lassen - aber wenn das keine Option ist, sollten Sie ihn in den Kofferraum legen, anstatt ihn sichtbar zu lassen.
Sie bevorzugen es dann, "für die Unwissenden gut auszusehen"?Gut, es ist zu spät, um meinen Kommentar zu bearbeiten, aber ich gebe frei zu, dass ich mit dieser Formulierung genauso zufrieden bin wie mit der, die ich ursprünglich verwendet habe.Auch der Kofferraum ist ein weiteres Beispiel dafür, dass Sie schlechte Ratschläge beibehalten, da der Kofferraum je nach Auto im Sommer heißer werden kann und im Winter sehr wahrscheinlich kälter wird. Auf den meisten Parkplätzen sollte es zu Batterieschäden kommenEine Sorge höherer Ordnung für jemanden, der einen Laptop im Auto lässt, als für jemanden, der das Fenster zertrümmert, um den Laptop zu greifen.
Ich sollte hinzufügen, dass auf den meisten Parkplätzen und für die meisten Laptops, obwohl jeder Laptop, der sicherheitsempfindlich genug ist, um dies zu schwingen, niemals völlig unbeaufsichtigt bleiben sollte, außer bei einem ordnungsgemäß installierten Safe.
@MatthewNajmon Sie sollten meinen Kommentar noch einmal lesen.Insbesondere der letzte Satz "Ja, es ist besser, den Laptop nicht im Auto zu lassen."Weil Menschen manchmal einen Laptop im Auto lassen müssen ... und wenn, dann ist es im Allgemeinen besser, ihn nicht sichtbar zu lassen.
Du solltest meine noch einmal lesen.Kein Teil davon, abgesehen von der letzten Klärung eines Ausnahmefalls, wird in irgendeiner Weise durch Ihre Bestätigung angesprochen, dass es eine schlechte Idee ist, ihn im Auto zu lassen.Mein Hauptpunkt war, dass es in vielen, vielleicht den meisten Fällen besser ist, es im Fahrgastraum als im Kofferraum zu lassen, wenn man davon ausgeht, dass es als gegeben im Auto belassen wird.
Die Polizei, bei der ich wohne, weist darauf hin, dass es weniger wahrscheinlich ist, dass es gestohlen wird, wenn es in den Kofferraum gelegt wird.
Wiederum nicht relevant, da es nicht wirklich den hervorstechenden Punkt anspricht, nämlich dass in den meisten Fällen Batterieschäden ein höheres Problem als Diebstahl sein sollten, wenn jemand einen Laptop im Auto lässt.Auch die Polizei ist eine schreckliche Quelle für Sicherheitsratschläge.
Wenn der Rat der Polizei in Bezug auf Diebstahl irrelevant ist und der springende Punkt lautet: "In den meisten Fällen sollte der Batterieschaden ein Problem höherer Ordnung sein als der Diebstahl", dann haben wir wahrscheinlich nicht genügend Gemeinsamkeiten für weitere Diskussionen.
#7
+1
Martin Zeitler
2020-01-31 21:53:08 UTC
view on stackexchange narkive permalink

Das Nicht-Senden einer SSID in Kombination mit der MAC-Filterung ist möglicherweise der einzige Ansatz, der die Sicherheit erhöht, da dies einen zusätzlichen Faktor für die Authentifizierung erfordert und nur bekannte Geräte zulässt. Der Nachteil ist, dass der Verwaltungsaufwand für das Hinzufügen / Entfernen von MAC-Adressen und die Unterstützung der Benutzer beim Einrichten eines eventuellen BYOD erhöht wird.

Wenn nur vom Unternehmen verwaltete Geräte eine Verbindung herstellen, kann es keine gute Idee sein, nicht zu senden.Aber MAC-Filterung?Komm schon ... Die richtige Authentifizierung mit einzelnen Anmeldungen oder Zertifikaten ist eine viel bessere Option.
Dieselben Prozesse, die die versteckte SSID finden, erfassen auch Client-MACs, die gefälscht werden können, um Zugriff zu erhalten.Da die Umgehung so trivial und der Wartungsaufwand so hoch ist, ist die Sicherheit äußerst ineffizient.Es fügt wirklich nichts hinzu und beeinträchtigt den Zeit- / Arbeitsaufwand, der für die Bereitstellung / Wartung einer Alternative verwendet werden könnte, die effizientere Sicherheit bietet.
Dies erhöht immer noch den Aufwand für den Versuch der Authentifizierung - auf Kosten eines gewissen Aufwands.Menschen, die versuchen, mit einem Notebook im Auto in den Krieg zu fahren, versuchen eher scheinbar einfache Ziele als Ziele, die besser gewartet zu werden scheinen - basierend auf der geschätzten Zeit, die für die Ergebnisse aufgewendet werden muss.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...