Маскировка сети - Network cloaking - Wikipedia

Смотрите также: SSID § Безопасность скрытия SSID

Маскировка сети это попытка предоставить беспроводная безопасность скрывая имя сети (идентификатор набора услуг ) от публичной трансляции. Многие маршрутизаторы поставляются с этой опцией как стандартной функцией в меню настройки, доступном через веб-браузер.

Хотя маскировка сети может остановить некоторые неопытные пользователи от получения доступа к вашей AP, для этого класса пользователей маскировка сети менее эффективна, чем использование статического WEP (который сам по себе уязвим, см. Конфиденциальность, эквивалентная проводной сети ).

Если целью является защита беспроводной сети, рекомендуется использовать WPA или, предпочтительно, WPA2.[1]. WEP, WPA, WPA2 и другие технологии шифрования могут использоваться вместе с сокрытием SSID, если это необходимо.

Преимущества

Чувство безопасности

Скрытие имени сети может помешать менее технически подкованным людям подключиться к сети, но не удержит решительного противника. Вместо этого рекомендуется использовать WPA или WPA2. Скрытие SSID удаляет его из кадров маяка, но это только один из нескольких способов обнаружения SSID.[1] Когда кто-то решает скрыть сетевое имя на странице настройки маршрутизатора, он устанавливает только SSID в кадре маяка на ноль, но остаются четыре других способа передачи SSID. Фактически, скрытие широковещательной передачи SSID на маршрутизаторе может вызвать Контроллер сетевого интерфейса (NIC), чтобы постоянно раскрывать SSID, даже если он находится вне диапазона.[2]

Улучшение юзабилити

Скрытие имени сети улучшает взаимодействие пользователей с беспроводными сетями в плотных областях. Если сеть не предназначена для публичного использования и не транслирует свой SSID, она не будет отображаться в списке доступных сетей на клиентах. Это упрощает выбор для пользователей.

Организации могут скрыть SSID Wi-Fi, предназначенный для использования сотрудниками и предварительно настроенный на корпоративных устройствах, в то время как сети, предназначенные для посетителей (т. Е. «Гостевые сети»), будут транслировать SSID. Таким образом, авторизованные пользователи будут подключаться к корпоративной сети в соответствии с предварительно заданными настройками, в то время как посетители будут видеть только «гостевую сеть» и будут меньше сомневаться, какой SSID использовать.

Недостатки

Ложное чувство безопасности

Хотя маскировка сети может добавить немного чувства безопасности, люди часто не осознают, насколько легко обнаружить скрытые сети. Из-за различных способов широковещательной передачи SSID маскировка сети не считается мерой безопасности. Используя шифрование, желательно WPA (Защищенный доступ Wi-Fi ) или же WPA2, более безопасен. Даже WEP (Конфиденциальность, эквивалентная проводной сети ), будучи слабым и уязвимым, обеспечивает большую безопасность, чем скрытие SSID. Существует множество программ, которые могут сканировать беспроводные сети, в том числе скрытые, и отображать их информацию, такую ​​как IP-адреса, SSID и типы шифрования. Эти программы способны «вынюхивать» любые беспроводные сети в пределах досягаемости, по существу перехватывая и анализируя сетевой трафик и пакеты для сбора информации об этих конкретных сетях.[3][4] Причина, по которой эти программы могут обнаруживать скрытые сети, заключается в том, что когда SSID передается в различных кадрах, он отображается в открытый текст (незашифрованный формат), и поэтому может быть прочитан любым, кто его нашел. Злоумышленник может пассивно нюхать беспроводной трафик в этой сети необнаружен (с помощью программного обеспечения, такого как Кисмет ) и дождитесь, пока кто-нибудь подключится, чтобы узнать SSID. В качестве альтернативы, существуют более быстрые (хотя и обнаруживаемые) методы, при которых взломщик подделывает «диссоциированный кадр», как если бы он пришел с беспроводного моста, и отправляет его одному из подключенных клиентов; клиент немедленно повторно подключается, показывая SSID.[5][6] Некоторые примеры этих программы сниффинга включая следующее:

Пассивный:

  • KisMAC
  • Кисмет
  • Prads
  • ESSID-Джек

Активный:

Обратной стороной пассивного сканирования является то, что для сбора любой информации клиент, уже подключенный к этой конкретной сети, должен генерировать и, следовательно, предоставлять сетевой трафик для анализа.[7] Затем эти программы могут обнаруживать замаскированные сети и их SSID, выбирая такие информационные блоки, как:[8]

  • Кадры запроса на зонд. Кадры запроса зондирования отправляются клиентским компьютером в незашифрованном виде при попытке подключения к сети. Этот незащищенный информационный блок, который может быть легко перехвачен и прочитан кем-то желающим, будет содержать SSID.
  • Кадры ответа зонда. В ответ на пробный запрос запрошенная станция отправит обратно информационный кадр, также содержащий SSID, а также другие сведения о сети.
  • Кадры запроса ассоциации. Фрейм запроса ассоциации - это то, что начинает процесс инициализации связи между компьютером и точкой доступа. После правильного подключения AP сможет назначить некоторые из своих ресурсов контроллеру сетевого интерфейса (NIC). Еще раз, через этот процесс передается SSID.
  • Кадры запроса повторной ассоциации. Кадры запроса повторной ассоциации передаются, когда сетевая карта замечает более сильный сигнал от другой точки доступа и переключается с предыдущей. Затем эта новая точка доступа «возьмет на себя» и обработает данные, которые могут быть получены в предыдущем сеансе. Запрос нового подключения к новому сигналу маяка, конечно, потребует передачи нового SSID.[9]

Из-за этих множественных способов сетевое имя все еще транслируется, пока сеть «замаскирована», она не полностью скрыта от настойчивых хакеров.

Что еще хуже, поскольку станция должна исследовать скрытый SSID, поддельная точка доступа может предложить соединение.[10]Программы, действующие как поддельные точки доступа, находятся в свободном доступе; например авиабаза-нг[11] и Карма.[12]

Рекомендации

  1. ^ а б Райли, Стив. «Миф против реальности: беспроводные SSID». Получено 27 января 2012.
  2. ^ Дэвис, Джо. «Нерадиовещательные беспроводные сети с Microsoft Windows». Microsoft Tech Net. Получено 5 февраля 2012.
  3. ^ Ричи, Рональд; Брайан О’Берри; Стивен Ноэль (2002). «Представление возможности подключения TCP / IP для топологического анализа сетевой безопасности». 18-я Ежегодная конференция по приложениям компьютерной безопасности, 2002 г. Труды. С. 25–31. Дои:10.1109 / CSAC.2002.1176275. ISBN  0-7695-1828-1.
  4. ^ Роберт Московиц (2003-12-01). «Разоблачение мифа о сокрытии SSID» (PDF). Международная ассоциация компьютерной безопасности. Получено 2011-07-10. [...] SSID - это не что иное, как метка группы беспроводного пространства. Его нельзя успешно скрыть. Попытки скрыть это не только потерпят неудачу, но и негативно повлияют на производительность WLAN и могут привести к дополнительному раскрытию SSID [...]
  5. ^ Джошуа Бардуэлл; Девин Акин (2005). Официальное руководство CWNA (Третье изд.). Макгроу-Хилл. п. 334. ISBN  978-0-07-225538-6.
  6. ^ Вивек Рамачандран (21 апреля 2011 г.). «Мегапример безопасности WLAN, часть 6: извлечение скрытых SSID». SecurityTube. Получено 2011-07-10. Видео-демонстрация активной и пассивной разблокировки SSID.
  7. ^ Матети, Прабхакер. «Методы взлома беспроводных сетей». Департамент компьютерных наук и инженерии: Государственный университет Райта. Получено 13 февраля 2012.
  8. ^ Ой, Джордж. «Шесть самых глупых способов защитить беспроводную локальную сеть». Получено 28 января 2012.
  9. ^ Гейер, Джим. «Понимание типов кадров 802.11». Получено 2 февраля 2012.
  10. ^ "Поведение сети без вещания в Windows XP и Windows Server 2003". Корпорация Майкрософт. 2007-04-19. Получено 2011-07-10. Настоятельно рекомендуется не использовать нешироковещательные беспроводные сети. Примечание. Здесь термин «без широковещательной передачи» означает сеть, которая не передает свой SSID или транслирует нулевой SSID вместо фактического SSID.
  11. ^ Вивек Рамачандран (25 апреля 2011 г.). «Мегапример 10 безопасности WLAN: взлом изолированных клиентов». SecurityTube. Получено 2011-07-10. Демонстрирует использование «airbase-ng» для ответа на любые радиомаяки запроса зонда.
  12. ^ Dookie2000ca (13 июня 2009 г.). «Карметасплойт (Карма и Метасплойт 3)». Получено 2011-07-10. Демонстрирует использование «Кармы» для ответа на любые радиомаяки запроса зондирования.