it-swarm-eu.dev

Lohnt sich das Filtern von MAC-Adressen und das Ausblenden von SSIDs noch?

Bei einer kürzlich durchgeführten Zertifizierungsprüfung wurde mir eine Frage zur Sicherung eines drahtlosen 802.11-Netzwerks gestellt. Es war eine Frage mit mehreren Antworten, aber die einzigen zwei verfügbaren Antworten, die sich überhaupt auf die Sicherheit bezogen, betrafen das Ausblenden von SSIDs und das Filtern von MAC-Adressen.

Glücklicherweise war diese spezielle Zertifizierung weder drahtlos noch sicherheitsorientiert.

Ich bin mir bewusst, dass diese beiden definitiv nicht Ihr nur Mittel zur Sicherung Ihres drahtlosen Netzwerks sein sollten, aber werden sie immer noch als eine Implementierung wert angesehen, zusätzlich zu stabileren Authentifizierungs- und Verschlüsselungsmechanismen?

33
Iszi

Sie sind Stolpersteine, aber nicht unüberwindbar. Das Ausblenden von SSIDs bietet einen gewissen Schutz vor Personen, die nach SSIDs suchen, die sie in die Hände bekommen können, und die MAC-Filterung kann gelegentliches Riffraff verhindern. Als einzige Methode zum Schutz eines WLAN sind sie ziemlich schwach.

Für jemanden, der speziell auf Ihr Netzwerk abzielt, bietet die Verschlüsselung (insbesondere die ununterbrochene Verschlüsselung) eine erheblich bessere Sicherheit. MAC-Spoofing ist heutzutage in den meisten Adaptern trivial. Nachdem Sie das Netzwerk so weit geknackt haben, dass Sie Pakete während des Flugs überwachen können, können Sie eine Liste gültiger MAC-Adressen abrufen. SSID ist zu diesem Zeitpunkt ebenfalls trivial. Aufgrund der Automatisierung der verfügbaren Toolsets sind die MAC-Filterung und das Ausblenden von SSIDs die Mühe nicht mehr wert. Meiner Meinung nach.

29
sysadmin1138

Nein, beides lohnt sich nicht Maßnahmen gegen einen Angreifer. Sofern Sie kein leicht zu erratendes Passwort haben, müssen Sie davon ausgehen, dass jeder, der realistisch versucht, Zugang zu Ihrem Netzwerk zu erhalten, über Software verfügt, die Ihnen hilft, oder über ein wenig Wissen, wie Sie mit solchen Techniken umgehen können.

Das Ausblenden von SSIDs verbessert die Sicherheit nicht, da es trivial ist, die SSID eines verwendeten Netzwerks zu identifizieren (z. B. herunterladen und ausführen inSSIDer ), und tatsächlich kann dies die Sicherheit von drahtlosen Clients gefährden konfiguriert, um eine Verbindung zu versteckten SSID-Netzwerken herzustellen. Von ein Microsoft TechNet-Artikel :

die Verwendung von nicht gesendeten Netzwerken beeinträchtigt die Privatsphäre der drahtlosen Netzwerkkonfiguration eines… drahtlosen Clients, da regelmäßig die bevorzugten nicht gesendeten drahtlosen Netzwerke veröffentlicht werden. Es wird dringend empfohlen, keine nicht gesendeten drahtlosen Netzwerke zu verwenden.

MAC-Adressfilterung verbessert die Sicherheit nicht da der Netzwerkverkehr die unverschlüsselte MAC-Adresse aktiver Netzwerkgeräte enthält. Dies bedeutet, dass jeder eine MAC-Adresse herausfinden kann, die auf der zulässigen Liste steht, und dann einfach verfügbar Software verwenden kann, um seine MAC-Adresse zu fälschen.

Authentifizierung und Verschlüsselung sind die einzig vernünftigen Möglichkeiten, um Ihr drahtloses Netzwerk zu sichern. Für ein Heimnetzwerk bedeutet dies, dass die WPA2-PSK-Sicherheit mit einem sicheren Kennwort und einer SSID verwendet wird, die nicht auf der Liste der 1000 häufigsten SSIDs steht.

Die Filterung von MAC-Adressen bietet möglicherweise einen Vorteil: die Kontrolle des Zugriffs für nicht böswillige Benutzer. Sobald Sie jemandem Ihr WLAN-Passwort gegeben haben, haben Sie keine Kontrolle darüber, wem er das Passwort gibt: Er kann seinen Freunden leicht sagen, vielleicht nachdem er vergessen hat, dass er es nicht sollte. MAC-Adressfilterung bedeutet, dass Sie zentral steuern können, welche Geräte von Nicht-Hackern eine Verbindung herstellen können.

Wenn Sie sich also Sorgen machen, dass sich jemand in Ihr Netzwerk hackt, vergessen Sie das Ausblenden der SSID und das Filtern der MAC-Adresse. Wenn Sie nicht möchten, dass die Freunde Ihrer Freunde eine Verbindung herstellen, kann die MAC-Adressfilterung hilfreich sein. Es wäre jedoch weniger mühsam, Ihre Freunde zu bitten, das Kennwort nicht weiterzugeben oder auf allen Geräten einfach das WLAN-Kennwort für sie einzugeben.

23
Rory

Kismet und andere völlig passive HFON-Scanner gibt es schon lange. Sofern es sich nicht um ein WLAN-Heimnetzwerk handelt, das Sie niemals mit Gästen teilen und selten Geräte hinzufügen, ist die geringfügige Erhöhung der Sicherheit, die Sie durch diese beiden Aktionen erhalten, die geringfügige Erhöhung der Unannehmlichkeiten nicht wert.

5
user502

Wie andere geantwortet haben, helfen MAC-Filterung und Ausblenden von SSIDs einem aktiven Angreifer nicht.

Sie können sich jedoch für einen gewissen Schutz vor nicht vertrauenswürdigen Geräten lohnen, die von meist vertrauenswürdigen Personen verwendet werden. Ich werde mit einer hypothetischen Situation erklären:

Angenommen, Sie haben zu Hause (oder in einem Unternehmen) einen Router, der für ein separates "Gastnetzwerk" konfiguriert ist. Viele Heimrouter machen diese Einstellung leicht verfügbar, häufig mit einem Schlüssel WPA] für das primäre "Heimnetzwerk", bieten jedoch ein Captive-Portal für das Gastnetzwerk.

Es kann viel bequemer (und definitiv sicherer) sein, das primäre Netzwerk zu verwenden, sodass Ihre Familie dies natürlich nutzt. Da Sie jedoch der Technikfreak sind, haben Sie sicher alle Geräte in Ihrem Heimnetzwerk gesichert und sie mit aktuellen Antivirenprogrammen, Firewalls usw. vollständig gepatcht.

Jetzt, während Sie bei der Arbeit sind, kommt die Freundin Ihres Teenagers herüber, um im Haus abzuhängen, und sie bringt ihren Laptop mit. Sie will das WLAN-Passwort. Sie möchten, dass sie das Gastnetzwerk nutzt, denn wer weiß, was sich auf diesem Laptop befindet?

Ihr Teenager könnte gibt nur das primäre WLAN-Passwort aus, aber Sie haben die MAC-Adressfilterung konfiguriert. Stattdessen gibt sie das Passwort an das Gastnetzwerk weiter, da es schwierig wäre, den Laptop ihrer Freundin in das Heimnetzwerk zu bringen, selbst wenn sie das Administratorkennwort des Routers hätte. Sie meckern darüber, dass sie jedes Mal, wenn sie vorbeikommt, eine neue Verbindung herstellen müssen, aber der nicht vertrauenswürdige Laptop bleibt von Ihrem vertrauenswürdigen Netzwerk fern.

2
Ben

Als Sicherheitsgerät macht das Ausblenden von SSIDs nicht viel, da der Client zum Herstellen einer Verbindung mit dem verborgenen Netzwerk die SSID anstelle des Access Points sendet, der sie sendet. Wenn Sie also eine Weile passiv überwachen, können Sie die SSID ermitteln ist sowieso. MAC-Sperren sind auch nicht sehr gut für die Sicherheit. Wenn Sie passiv überwachen, werden Sie sehen, welche MACs erfolgreich verbunden sind, und können einen von ihnen fälschen und sich selbst verbinden. Dies sind Funktionen, die in Kombination mit anderen Methoden eine moderate Hilfe sein können, aber der Verwaltungsaufwand ist den Vorteil nicht wert, und es wäre viel besser, den Aufwand für Enterprise WPA2 aufzuwenden. Versteckte SSIDs können nützlich sein, um Verwirrung zu vermeiden und Verwirrung zu vermeiden, wenn sich Unternehmensnetzwerke und öffentlich zugängliche Netzwerke in demselben Gebäude/Bereich befinden. Wenn Sie die nicht öffentlichen Netzwerke ausblenden, werden Kunden/Gäste, die eine Verbindung zu Ihrem öffentlichen Netzwerk herstellen möchten, nicht so leicht verwirrt.

1
Rod MacPherson

Einige könnten sagen, dass diese Maßnahmen marginal oder nutzlos sind und bis zu einem gewissen Grad richtig sind. Netzwerkverwaltung ist ein Schritt in Richtung besserer Sicherheit. Zum Beispiel erfordert die MAC-Filterung, dass Sie jedes Gerät in Ihrem Netzwerk finden und auflisten. Zu Hause ist dies keine große Sache, da die meisten Menschen weniger als zwanzig bis dreißig Geräte haben.

Stellen Sie sich also vor, Sie haben DHCP deaktiviert und statische Adressierung auf allen fünf Geräten, die Sie möglicherweise haben. Zum Beispiel ein Laptop, eine PlayStation, zwei Handys und ein Tablet. (Typisch für eine kleine Familie.)

Das sind nicht viele Geräte. Stellen wir uns nun vor, Sie hätten einen Hacker wirklich verärgert, und er zielt auf Sie ab und versucht, etwas Saftiges zu finden. Er ist sozial entwickelt, um Ihr WPA2-Passwort zu finden. Jetzt muss er nur noch Ihre MAC-Adresse fälschen und eine verfügbare IP auswählen.

Also ... Szenario 1: Er beschließt, Ihren Laptop zu fälschen. Er fälscht Ihren MAC und verwendet dieselbe IP. Dies funktioniert für den Hacker etwa 30 Minuten lang. Dann entscheiden Sie, ob Sie Netflix sehen möchten. Sie öffnen Ihren Laptop und entweder A: Kann keine Verbindung herstellen oder B: Windows teilt Ihnen mit, dass ein IP-Konflikt vorliegt. (Was es wird). Erraten Sie, was? Sie haben gerade festgestellt, dass etwas los ist, das nicht passieren sollte. Der Hacker (weil es WiFi ist) verwendet besser eine Yagi-Antenne aus einer Entfernung von einer Viertelmeile, weil er erwischt wurde. Du gewinnst. Da Sie Ihr Netzwerk verwalten, wissen Sie, ob jemand eine Konfigurationsänderung vornimmt oder ob bei einem Ihrer Geräte Verbindungsprobleme auftreten.

Lange Rede kurzer Sinn, es kann ihn nicht fernhalten. Aber es wird schwieriger, sich zu verstecken.

0
Aaron