Sotto Windows / Linux, lato client. Come posso assicurarmi che non mi stia connettendo a un AP non autorizzato?
Sotto Windows / Linux, lato client. Come posso assicurarmi che non mi stia connettendo a un AP non autorizzato?
Parlando in generale
I MAC sono facilmente falsificati.
WEP è incrinato in pochi minuti.
Le implementazioni WPA / WPA2 non sono sicure su tutti i router.
Gli attacchi IMO man-in-the-middle sono quasi inevitabili
Il problema principale è che i dati di controllo in 802.11x non vengono mai crittografati.
Poiché ogni autenticazione wireless deve iniziare a utilizzare la sequenza di controllo non crittografata, sarà vulnerabile a un attacco man-in-the-middle.
Per peggiorare le cose, le sessioni 802.11x possono facilmente essere costrette a disconnettersi e autenticarsi nuovamente, quindi il man-in-the-middle può apparire in qualsiasi momento nella sessione.
Usando un raggio radio diretto solo al cliente, è molto difficile per i sistemi di rilevamento delle intrusioni intercettare questo traffico.
Non preoccuparti
La soluzione a questo è smettere di preoccuparsi del man-in-the-middle in questo o quel punto di accesso.
Basta stabilire una connessione con qualsiasi punto di accesso, protetto o meno.
Nessuno di loro può essere considerato affidabile, quindi non preoccuparti.
La soluzione
Usa invece una soluzione VPN sicura da attacchi man-in-the-middle *) . per esempio. SSHv2 in una configurazione MITM-safe e si connette al tuo endpoint usando quello.
Che cosa può fare l'attaccante?
Il tuo attaccante può ascoltare il flusso di dati sul suo contenuto di cuori, tutto quello che può dedurre è quanti dati stai inviando e ricevendo sul tuo laptop (analisi del traffico) , questo è ancora utile, ma potrebbe farlo comunque annusando silenziosamente il traffico wireless.
Ma mantieni il tuo laptop al sicuro
Dovrai comunque tenere un attaccante fuori dal tuo laptop, utilizzare un firewall che accetta solo il traffico dalla tua connessione VPN e nient'altro. Utilizza un sistema operativo sicuro.
Vantaggi di questo approccio
Il tuo laptop sarà utilizzabile al di fuori dell'infrastruttura aziendale. Realisticamente non rimarrà quasi mai all'interno di quel guscio sicuro e proteggere tutti i punti di accesso con cui vuoi connetterti è un sogno irrealizzabile.
Se configuri un server proxy per il web e il server di posta raggiungibile attraverso la connessione VPN, avrai un uso sicuro e completo del tuo laptop da qualsiasi luogo.
Per ricapitolare
Con WEP e WPA esterni gli attaccanti possono falsificare il tuo punto di accesso wireless.
Con WPA2, indipendentemente dalla crittografia utilizzata, gli attaccanti autenticati possono avviare un attacco mitm indipendentemente dallo schema di crittografia utilizzato. Questo può essere fatto da insider inaffidabili o malware su un laptop fidato.
Mentre non c'è bisogno di ottenere tutto il paraniod di questo come D.W. correttamente indicato.
La linea di fondo è che no way è sicuro al 100% che non ti stai connettendo a un AP non autorizzato.
Ora devi solo preoccuparti di quel iphone .....
WPA2 ha un vettore di attacco mitm chiamato Hole 196, vedi: link
*) non tutte le soluzioni VPN sono e molte hanno configurazioni in cui una soluzione altrimenti sicura è ancora a rischio, ma ci sono opzioni sicure e se hai un buon amministratore di sistema è non è una cosa difficile da configurare correttamente.
L'unico modo per essere 'sicuri' di connetterti dove vuoi connetterti, è avere una radice di fiducia in anticipo, qualcosa di condiviso con AP come le chiavi simmetriche o una chiave pubblica dell'AP (e fidarti del pubblico la chiave appartiene ad esso) o fidarsi di qualche certificato. Se si dispone di questa radice di attendibilità, è possibile creare una base per fidarsi dell'AP se è in grado di fornire garanzie che conosce la chiave privata o può utilizzare la chiave condivisa.
Inoltre, se l'AP utilizza WPA / WPA2, viene utilizzata l'autenticazione reciproca, quindi puoi dedurre che è l'AP corretto dal fatto che l'autenticazione ha esito positivo o negativo.
La soluzione è menzionata in un'altra risposta ma non esplicitamente dichiarata. Questo è attualmente possibile solo utilizzando WPA / WPA2 Enterprise. Utilizzando EAP-TLS sia il client che il server di autenticazione (es. RADIUS) vengono autenticati tramite certificati. Se si vuole essere sicuri di connettersi con l'AP corretta, è richiesta l'autenticazione reciproca. Detto questo, questo tipo di implementazione è raro al di fuori dell'azienda.
Ecco cosa suggerisco:
Configura il punto di accesso per utilizzare WPA2-PSK, con una passphrase lunga e potente, che sarebbe molto difficile da indovinare o interrompere con la forza bruta. (Non utilizzare WEP o WPA, non sono abbastanza sicuri.) Non dire a nessun altro la passphrase.
Configura il tuo computer per connettersi a quella rete wireless con quella passphrase e solo quella rete wireless. Disabilita la connessione automatica o elimina tutte le altre reti wireless memorizzate. (Su Windows, puoi farlo andando al controllo Network and Sharing.) Se la connessione ha esito positivo, penso che tu abbia una buona sicurezza che stai parlando con il vero punto di accesso.
Questo sembra abbastanza buono per la maggior parte degli scopi. Se hai bisogno di una sicurezza elevata, configura una VPN e assicurati che tutto il traffico di rete fuori dalla tua macchina sia canalizzato attraverso la VPN: non ti interessa quale sia il punto di accesso che sta attraversando.
Il mio consiglio generale sarebbe quello di connettersi solo ai punti di accesso WiFi "sicuri". Ciò richiede che tu e l'AP abbiate conoscenza di un PSK o di un altro processo di autenticazione, in base al quale il vostro sistema non si collegherà altrimenti all'AP.
Inoltre (e ovviamente) questo ha il maggiore vantaggio di assicurarsi che il tuo traffico wireless non sia facilmente intercettabile da parte di Eve.
Non puoi e non ti dovresti preoccupare di molto.
Se l'AP ti offre la connettività internet, dovrebbe essere considerato con lo stesso sospetto di qualsiasi connessione Internet. Pertanto, qualsiasi informazione sensibile inviata su Internet e il punto di accesso dovrebbero essere autenticati e crittografati separatamente.
Ecco alcune attenuazioni
Non connettersi in base al SSID
È possibile configurare le reti WiFi memorizzate di molti client per includere il BSSID dell'AP. Il vantaggio di farlo è che se il dispositivo rileva l'SSID di una rete memorizzata, non avvierà nemmeno una connessione a meno che non abbia il BSSID che è memorizzato nella configurazione di rete memorizzata del dispositivo. Lo svantaggio è che questo ucciderà più forme di roaming WiFi e il BSSID può essere falsificato. Questo è davvero utile solo per proteggere da attacchi molto semplici o impedire al tuo dispositivo di connettersi quando si verifica una collisione di nomi (come quando "linksys", "holiday-inn", "starbucks-wifi" o qualsiasi altra cosa è nelle tue reti memorizzate ).
Utilizza autenticazione server
In WPA2 Enterprise, è possibile configurare 802.1X per utilizzare un server RADIUS per l'autenticazione e la prima cosa da fare in questo caso è assicurarsi che il dispositivo client stia autenticando il server controllando se ha un certificato firmato da un CA di cui ti fidi. Il lato positivo di questo è che è una tecnica di validazione robusta che è estremamente difficile da minare. Gli svantaggi sono che devi prima tentare una connessione (il che significa che l'AP è almeno a conoscenza del tuo dispositivo), questo richiede molto set-up e questo potrebbe non essere in vigore se stai provando a convalidare qualcuno l'altro AP e non vogliono impostare WPA2 Enterprise.
Non fidarti dell'infrastruttura
Anche se non l'hai chiesto, ti darò questo gratuitamente. Anche se ti connetti a un AP rogue, personalizza il tuo comportamento per proteggere gli attacchi MitM. Utilizza un provider VPN come PIA, usa tor, usa https-everywhere, hard-code il tuo client DNS a un provider noto come 1.1.1.1, tutti i cookie di autenticazione cancellati alla chiusura del browser. Tuttavia, questa è ancora una prospettiva rischiosa. Molte applicazioni non riescono a eseguire una valida convalida della CA sugli endpoint, ci sono attacchi ai client Windows che possono esporre i cookie di autenticazione attraverso un AP non autorizzato, sslstrip può reindirizzarti a siti non-ssl a meno che non usi https-everywhere in modalità aggressiva o il tuo sito connettersi a usa HSTS (la maggior parte non lo fa), o tor o proxy VPN può essere spesso aggirato (di solito innocentemente) dalle applicazioni.
Una delle migliori opzioni per proteggersi dal MitM a livello LAN, quando si utilizza un laptop, è virtualizzare Whonix (o qualcosa per servire come gateway / router VPN) e utilizzare IOMMU per passare la scheda WiFi a quella VM. Quindi indirizzare il traffico verso il router Whonix e tutto verrà inviato su TOR. Ciò elimina notevolmente l'evasione del proxy sul client e riduce la superficie di attacco della scheda di rete / hardware. Il lato negativo, naturalmente, è che dall'altra parte del proxy tor / endpoint VPN il traffico è altrettanto vulnerabile agli attacchi MitM (tuttavia, tali attacchi richiedono molta più sofisticazione tra un ISP e un fornitore di servizi). Questo tipo di configurazione è ciò che fa Qubes-OS, ma può essere gestito con un po 'di complicazioni sulla maggior parte delle distro di Linux. Questo quasi certamente non sarà fattibile su Android o iOS. #NotForTheFaintOfHeart.
Questo è un problema comune alle conferenze sulla sicurezza a cui ho partecipato in passato. Uno in particolare ha fornito a tutti i delegati l'indirizzo MAC dell'AP. Agli utenti è stato richiesto di immettere voci statiche nella tabella ARP del dispositivo per garantire che gli AP rouge non funzionassero.
Come per determinare prima della connessione potresti usare qualcosa come Kismet / Kismac per identificare l'AP.
Non puoi? Puoi essere sicuro con un certo livello di confidenza. Il livello di sicurezza "sicuro" dipende dalla tua situazione.
Ma per essere più utile, Johan ha risposto in modo abbastanza completo. Penso che la domanda più importante potrebbe essere "Quali sono i punti di forza relativi dei vari modi per proteggere i tuoi AP?"
E quanto impegno ci vuole per sovvertire i vari livelli di protezione dell'AP?
Se si ha accesso root al router wireless, se si sta eseguendo un SSHD su di esso, allora si può controllare la chiave ssh memorizzata nei "known_hosts" sul client che corrisponde a quella che si ottiene quando ci si connette all'SSHD sul wireless router.
Leggi altre domande sui tag authentication wifi