Il filtraggio degli indirizzi MAC e il nascondimento SSID sono ancora validi?

33

In un recente esame di certificazione, mi è stata presentata una domanda sui modi per proteggere una rete wireless 802.11. Era una domanda a risposta multipla, ma le uniche due risposte disponibili relative alla sicurezza riguardavano il nascondimento SSID e il filtro degli indirizzi MAC.

Fortunatamente, questa particolare certificazione non era né basata sulla sicurezza né sulla sicurezza.

Sono consapevole che questi due non dovrebbero essere i tuoi solo mezzi per proteggere la tua rete wireless, ma sono ancora considerati validi da implementare sulla base di meccanismi di autenticazione e crittografia più robusti?

    
posta Iszi 13.01.2011 - 18:02
fonte

6 risposte

29

Sono ostacoli, ma non insormontabili. Il nascondersi di SSID può fornire una certa protezione alle persone in cerca di qualsiasi SSID che possono mettere le mani su, e il filtraggio MAC può tenere fuori la marmaglia. Poiché gli unici metodi per proteggere una rete WLAN sono piuttosto deboli.

Per qualcuno che si rivolge specificamente alla tua rete, la crittografia (in particolare la crittografia non interrotta) fornirà una sicurezza notevolmente migliore. Lo spoofing MAC è banale nella maggior parte degli adattatori in questi giorni, e dopo aver incrinato la rete fino al punto in cui è possibile monitorare i pacchetti in volo, è possibile ottenere un elenco di indirizzi MAC validi. SSID è banale anche a quel punto. A causa della natura automatizzata degli strumenti disponibili, il filtro MAC e il nascondimento SSID non valgono più la pena. Secondo me.

    
risposta data 13.01.2011 - 18:57
fonte
23

No, nessuno di questi sono vale la pena misure contro un utente malintenzionato. A meno che non si disponga di una password facile da indovinare, è necessario assumere che chiunque possa realisticamente tentare di accedere alla rete disponga di un software per aiutare o di una piccola conoscenza di come aggirare tali tecniche.

Nascondere il SSID non migliora la sicurezza poiché è banale identificare il SSID di una rete in uso (scarica ed esegui inSSIDer per esempio), e in effetti può compromettere la sicurezza dei client wireless che sono configurati per connettersi a reti SSID nascoste. Da un articolo di Microsoft TechNet :

using non-broadcast networks compromises the privacy of the wireless network configuration of a…wireless client because it is periodically disclosing its set of preferred non-broadcast wireless networks…it is highly recommended that you do not use non-broadcast wireless networks.

Il filtro degli indirizzi MAC non migliora la sicurezza poiché il traffico di rete include non criptato indirizzo MAC dei dispositivi di rete attivi. Ciò significa che chiunque può trovare un indirizzo MAC nell'elenco dei permessi e quindi utilizzare facilmente disponibile per falsificare il loro indirizzo MAC.

L'autenticazione e la crittografia sono gli unici modi ragionevoli per proteggere la tua rete wireless. Per una rete domestica che significa utilizzare la sicurezza WPA2-PSK con una password complessa e un SSID non presente nell'elenco dei 1000 SSID più comuni .

Il filtraggio degli indirizzi MAC offre forse un vantaggio: controllo dell'accesso per gli utenti non malintenzionati. Una volta che hai dato a qualcuno la tua password WiFi, non hai il controllo su chi hanno dato la password: possono facilmente dirlo ai loro amici, forse dopo aver dimenticato che non dovrebbero farlo. Il filtraggio degli indirizzi MAC significa che hai il controllo centrale su quali dispositivi appartenenti a non hacker possono connettersi.

Quindi, se sei preoccupato per qualcuno che si intrufola nella tua rete, dimentica il nascondimento SSID e il filtro degli indirizzi MAC. Se non vuoi che gli amici dei tuoi amici si connettano, il filtro degli indirizzi MAC potrebbe aiutarti ... anche se sarebbe meno problematico chiedere ai tuoi amici di non trasmettere la password o semplicemente inserire la password WiFi per loro su qualsiasi dispositivo.

    
risposta data 20.05.2012 - 20:54
fonte
5

Kismet e altri scanner rfmon completamente passivi sono in circolazione da molto, molto tempo. A meno che non si trovi su una rete Wi-Fi domestica che non condividi mai con gli ospiti e raramente aggiungi dispositivi, l'aumento marginale della sicurezza ottenuto da queste due azioni non vale l'aumento marginale degli inconvenienti.

    
risposta data 13.01.2011 - 18:54
fonte
2

Come altri hanno risposto, il filtro MAC e il nascondimento SSID non aiutano contro un attaccante attivo.

Ma potrebbero essere utili per un certo grado di protezione da dispositivi non fidati usati da persone per lo più fidate. Ti spiegherò con una situazione ipotetica:

Supponiamo che tu abbia un router a casa (o in un'azienda) configurato per una "rete ospite" separata. Molti router domestici rendono questa impostazione facilmente disponibile, spesso utilizzando una chiave WPA per la rete principale "domestica", ma fornendo un portale captive per la rete ospite.

Può essere molto più conveniente (ed è sicuramente più sicuro) utilizzare la rete primaria, quindi la tua famiglia lo utilizza naturalmente. Ma essendo il fanatico della tecnologia che sei, sei stato certo di proteggere tutti i dispositivi sulla tua rete domestica, mantenendoli completamente aggiornati con antivirus, firewall e così via.

Ora, mentre sei al lavoro, l'amica della tua adolescente arriva a casa e porta il suo laptop con sé. Lei vuole la password wifi. Vuoi che lei usi la rete ospite, perché chissà cosa c'è su quel laptop?

Il tuo ragazzo potrebbe semplicemente fornire la password wifi primaria, ma hai configurato il filtro degli indirizzi MAC. Così, invece, distribuisce la password alla rete ospite perché sarebbe un problema provare a procurarsi il laptop della sua amica sulla rete domestica, anche se aveva la password dell'amministratore del router. Brontolano sul bisogno di riconnettersi ogni volta che arriva, ma il laptop non attendibile rimane fuori dalla rete di fiducia.

    
risposta data 20.04.2016 - 21:33
fonte
1

Come dispositivo di sicurezza, il nascondersi del SSID non fa molto perché per connettersi alla rete nascosta il client trasmetterà l'SSID al posto del punto di accesso che lo trasmette, quindi monitorando passivamente per un po 'è possibile che cos'è il SSID comunque. Anche il blocco MAC non è molto utile per la sicurezza. Se stai monitorando passivamente, vedrai quali MAC si connetteranno con successo e potrai spoofingare uno di questi e connetterti. Queste sono funzionalità che possono essere di aiuto moderato se combinate con altri metodi, ma lo sforzo di gestione non ne vale la pena, e sarebbe molto meglio spendere gli sforzi per il WPA2 aziendale. SSID nascosti possono essere utili per l'uso non di sicurezza di ridurre la confusione quando si dispone di reti aziendali e reti di accesso pubblico nello stesso edificio / area. Se si nascondono le reti non pubbliche, i clienti / ospiti che desiderano connettersi alla rete di accesso pubblico non saranno altrettanto facilmente confusi.

    
risposta data 16.06.2013 - 23:35
fonte
0

Alcuni potrebbero dire che quelle misure sono marginali o inutili, e in una certa misura sono corrette. Tuttavia, la gestione della rete è un passo avanti verso una migliore sicurezza. Ad esempio, il filtraggio MAC richiede di trovare ed elencare ogni dispositivo sulla rete. A casa questo non è un grosso problema, dal momento che la maggior parte delle persone ha meno di venti o trenta dispositivi.

Quindi immagina di avere il DHCP disabilitato, l'indirizzamento statico su tutti e cinque i dispositivi che potresti avere. Ad esempio, un computer portatile, una PlayStation, due telefoni cellulari e un tablet. (Tipico per una piccola famiglia.)

Non ci sono molti dispositivi. Quindi immaginiamo che tu abbia davvero sconvolto un hacker e che ti stia prendendo di mira, cercando di trovare qualcosa di succoso. Ha socializzato il suo modo di trovare la tua password WPA2. Ora ha solo bisogno di spoofare il tuo indirizzo MAC e scegliere un IP disponibile.

Quindi ... scenario 1: Decide di falsificare il tuo laptop. Spacca il tuo MAC e usa lo stesso IP. Funziona per l'hacker per circa trenta minuti. Quindi decidi di voler guardare Netflix. Si apre il portatile e A: non è possibile connettersi o B: Windows indica che esiste un conflitto IP. (Quale sarà). Indovina un po? Hai appena realizzato che sta succedendo qualcosa che non dovrebbe. The Hacker (perché è WiFi), meglio usare un'antenna Yagi a un quarto di miglio di distanza, perché è stato catturato. Hai vinto. Poiché gestisci la tua rete, saprai se qualcuno apporta una modifica alla configurazione o se uno dei tuoi dispositivi inizia ad avere problemi di connessione.

Per farla breve, potrebbe non tenerlo fuori. Ma renderà più difficile nasconderlo.

    
risposta data 26.11.2018 - 09:34
fonte

Leggi altre domande sui tag