it-swarm.com.de

Sicherheitsrisiken beim Deaktivieren von SSID Broadcast

Ich erinnere mich, dass ich mehrere Artikel online gelesen und sogar den Rat weitergegeben habe, dass das Deaktivieren der SSID-Übertragung nicht nur als Sicherheitsmaßnahme nutzlos, sondern auch für die Sicherheit der Clientgeräte schädlich ist. Die Logik lautet wie folgt:

SSID Broadcasting On

  • Client-Geräte warten passiv auf bekannte Netzwerke.
  • Clients stellen eine Verbindung her, wenn ein bekanntes Netzwerk gehört wird.
  • Angreifer wissen nicht, nach welchen Netzwerken nicht zugeordnete Clientgeräte suchen.

SSID-Rundfunk aus

  • Clientgeräte müssen aktiv nach bekannten Netzwerken suchen.
  • Client-Geräte bewerben vertrauenswürdige SSIDs.
  • Angreifer können vertrauenswürdige SSID-Informationen erfassen und damit Clients dazu verleiten, eine Verbindung zu einem Rogue-AP herzustellen, wenn sie sich nicht in der Nähe des tatsächlich vertrauenswürdigen Netzwerks befinden.

Dies scheint eine allgemein vernünftige Annahme zu sein. Ich glaube jedoch nicht, dass ich irgendwelche Behauptungen gesehen habe, die berücksichtigen, was passiert, wenn ein Angreifer versucht, sich als Netzwerk auszugeben, ohne andere Attribute der Sicherheitskonfiguration des Netzwerks zu kennen - insbesondere das Verschlüsselungsprotokoll oder die Schlüssel. Die Verbindung sollte theoretisch mit Protokollfehlanpassung oder fehlerhafter Schlüsselaushandlung fehlschlagen.

In Anbetracht des oben Gesagten scheint es mir, dass das Deaktivieren von SSID-Broadcasts (obwohl dies noch kein zuverlässiger Sicherheitsmechanismus ist) sich immer noch positiv auf die Sicherheit auswirkt - oder im schlimmsten Fall netzneutral. Fehlt mir etwas?

14
Iszi

Werfen Sie einen Blick auf die WiFi Pineapple , ein drahtloses MITM-Identitätswechselgerät, das für 100 USD zzgl. Versand erhältlich ist. Der Angreifer muss es so gut wie nur einschalten und konfigurieren, und es werden sofortige MITM-Angriffe angeboten. Wenn ein mobiles Gerät nach einer bereits bekannten offenen SSID sucht, stellt es ihm gerne eine funktionierende Internetverbindung zur Verfügung. Es erfordert fast keine Fähigkeiten zu bedienen.

Der Schlüssel ist, dass sich ein Client, der auch nur einer einzigen Verbindung zu einem offenen WiFi-Zugangspunkt vertraut, in eine gefährdete Position gebracht hat. Dies gilt unabhängig davon, ob Sie Ihre SSID senden oder nicht. Der sichere Ansatz besteht darin, Anmeldeinformationen für Ihre Zugriffspunkte anzufordern und zu vermeiden, Teil des Problems für Ihre Kunden zu sein. Ob Sie Ihre SSID senden oder nicht, ist für Ihre Benutzer eine Frage der Bequemlichkeit und keine Frage der Sicherheit.

11
John Deters

SSID Broadcasting On

  • Client-Geräte warten passiv auf bekannte Netzwerke.
  • Clients stellen eine Verbindung her, wenn ein bekanntes Netzwerk gehört wird.
  • Angreifer wissen nicht, nach welchen Netzwerken nicht zugeordnete Clientgeräte suchen.

Durch das Einschalten der Übertragung wird nicht verhindert, dass alle Clients aktiv nach bekannten Netzwerken suchen. Dies ist implementierungsspezifisch. Beispielsweise scannt Windows XP standardmäßig nur aktiv. Daher ist Ihre Annahme, dass Angreifer nicht unbedingt wissen, welche Netzwerke gesucht werden, falsch. Dies gilt nur, wenn Sie eine Verbindung herstellen moderne Geräte, die Netzwerke passiv nach sichtbaren SSIDs durchsuchen, wenn sie konfiguriert wurden.

SSID-Rundfunk aus

  • Clientgeräte müssen aktiv nach bekannten Netzwerken suchen.
  • Client-Geräte bewerben vertrauenswürdige SSIDs.
  • Angreifer können vertrauenswürdige SSID-Informationen erfassen und damit Clients dazu verleiten, eine Verbindung zu einem Rogue-AP herzustellen, wenn sie sich nicht in der Nähe des tatsächlich vertrauenswürdigen Netzwerks befinden.

Das gilt, solange das Netzwerk geöffnet ist. Ein Client kann keine Verbindung zu einem gesicherten Netzwerk mit einem anderen oder keinem Kennwort herstellen.

Dies scheint eine allgemein vernünftige Annahme zu sein. Ich glaube jedoch nicht, dass ich irgendwelche Behauptungen gesehen habe, die berücksichtigen, was passiert, wenn ein Angreifer versucht, sich als Netzwerk auszugeben, ohne andere Attribute der Sicherheitskonfiguration des Netzwerks zu kennen - insbesondere das Verschlüsselungsprotokoll oder die Schlüssel. Die Verbindung sollte theoretisch mit Protokollfehlanpassung oder fehlerhafter Schlüsselaushandlung fehlschlagen.

Das Beacon-Frame , auch wenn die SSID nicht gesendet wird (d. H. Die SSID wird in diesem Frame als NULL gesendet), enthält weiterhin Details zur Netzwerksicherheitskonfiguration einschließlich der Verschlüsselungsdetails.

In Anbetracht des oben Gesagten scheint es mir, dass das Deaktivieren von SSID-Broadcasts (obwohl dies noch kein zuverlässiger Sicherheitsmechanismus ist) sich immer noch positiv auf die Sicherheit auswirkt - oder im schlimmsten Fall netzneutral. Fehlt mir etwas?

Selbst wenn keine Übertragung erfolgt, kann das Senden einer Testanforderung mit NULL als SSID dazu führen, dass der AP mit einem Beacon antwortet, das die SSID enthält. Jede Straße, sobald ein gültiges Gerät die SSID verbinden muss, wird vom AP gesendet. Ich würde sagen, die einzige zusätzliche Sicherheit, die angeboten wird, ist Sicherheit durch Dunkelheit - Sie fühlen sich vielleicht besser, aber Ihr Netzwerk wird dadurch nicht wirklich sicherer. Der einzige vernachlässigbare Vorteil ist, dass Ihre SSID nicht so oft gesendet wird . Auf der anderen Seite ein Angreifer kann annehmen, dass dies ein besonders sensibles Netzwerk ist und mehr Zeit damit verbringen, darauf zu zielen.

5
SilverlightFox

Clientgeräte prüfen bekannte Netzwerke aktiv, unabhängig davon, ob die SSID-Übertragung für dieses bestimmte Netzwerk aktiviert ist oder nicht. Während ein passiver Scan theoretisch möglich ist, wird er sehr selten implementiert. Dies liegt daran, dass der Client alle Kanäle durchlaufen muss und Zeit auf jedem Kanal verbringen muss, um auf Beacons zu warten. Dies würde den Zeitaufwand für die Verbindung zum AP erhöhen.

Ich habe airmon-ng verwendet, um Prüfanforderungen zu überwachen, und bisher suchen alle meine drahtlosen Karten aktiv nach bekannten Netzwerken. Daher sollte das Deaktivieren der SSID-Übertragung das Risiko nicht erhöhen.

Weitere Details: https://superuser.com/questions/128166/is-looking-for-wi-fi-access-points-purely-passive

1
limbenjamin