Jump to content
Sign in to follow this  
  • entries
    194
  • comments
    292
  • views
    72228

Εσείς πόσα SSID κρύψατε σήμερα?

Sign in to follow this  
spanougakis

200 views

Πριν από κάποιες ώρες και περίπου στο τέλος ενός τεχνικού σεμιναρίου Microsoft,  πέφτει το σχόλιο από έναν συμμετέχοντα:

"Η καλύτερη προστασία για το ασύρματο δίκτυο είναι να έχεις κρυμμένο το SSID και να κάνεις φιλτράρισμα με  MAC διευθύνσεις. Εγώ έτσι το έχω και δεν φοβάμαι τίποτα."

Ησυχία στο ακροατήριο. Μάλλον θα πρέπει να έφταιγε το βαρύγδουπο της δήλωσης αυτής, αφού για κάποια δευτερόλεπτα ακουγόταν μόνο το θρόισμα των φύλλων που τα έπαιρνε ο αέρας. Σε λίγο αποδείχθηκε ότι συμφωνούσαν και οι υπόλοιποι συμμετέχοντες, οπότε και εγώ βρήκα την ευκαιρία να ξεκαθαρίσω μερικά πράγματα.

Συνήθως στα δίκτυα υπολογιστών έχουμε ονόματα και passwords. Τα ονόματα συνήθως χρησιμοποιούνται για να ξεχωρίζουν κάτι από κάτι άλλο κοντινό, πχ. δύο υπολογιστές στο ίδιο δίκτυο. Τα passwords χρησιμοποιούνται για την ταυτοποίηση ενός ατόμου ή μιας συσκευής. Στην περίπτωσή μας, έχει δυστυχώς επικρατήσει ότι το SSID ενός ασύρματου δικτύου είναι κάτι σαν password, που φυσικά δεν είναι. Το SSID είναι απλά ένα όνομα ασύρματου δικτύου για να ξεχωρίζει από τα κοντινά του δίκτυα. Δεν σχεδιάστηκε για να είναι κρυφό και δεν προσφέρει καμμία προστασία αν το κρύψετε. Μια ματιά στο specification του 802.11 θα σας πείσει ότι πρέπει να είναι ορατό, αλλά ακόμα και αν το κρύψετε, δεν κρύβεται. Θα σας εξηγήσω αμέσως το γιατί.

Σε όλα τα ασύρματα δίκτυα τύπου 802.11, όταν κάποιος υπολογιστής επιχειρεί να συνδεθεί σε κάποιο SSID, ακόμα και κρυμμένο, στέλνει unencrypted frames, και ένα από αυτά περιέχει και το SSID στο οποίο επιθυμεί να συνδεθεί. Πρόκειται για μια ολόκληρη "συνομιλία" από clear text δεδομένα, οπότε καταλαβαίνετε ότι με έναν wireless network sniffer μπορεί κάποιος να δει καθαρά και ξάστερα το SSID που εσείς νομίζετε ότι κρύβετε.

Είναι αξιοθάυμαστο λοιπόν πόσο συχνά ακούμε αυτή τη συμβουλή: "το SSID να μην γίνεται broadcast." Καταλάβατε ήδη ότι είτε το κρύψεις, είτε δεν το κρύψεις, πάλι broadcast γίνεται.

Η άλλη συμβουλή που ακούμε συχνά είναι να επιτρέπουμε μόνο συγκεκριμένες MAC διευθύνσεις να συνδεθούν στο ασύρματο δίκτυό μας. Μπορείτε να την αγνοήσετε και αυτή. Πρόκειται ούτως ή άλλως για έναν διαχειριστικό εφιάλτη (administrative nightmare) κάθε φορά που θέλεις να βάλεις έναν νέο ασύρματο client, να πρέπει να βρεις την MAC Address του και να την ορίσεις σωστά στο access point ή στον ασύρματο router. Όπως παραπάνω, αρκεί ένας sniffer για να "πιάσει" τα unencrypted πακέτα που λέγαμε, ώστε να δεί την MAC Address κάποιου client που εκείνη τη στιγμή είχε την ατυχία να συνδεθεί στο ασύρματο δίκτυο. Από αυτό το σημείο και μετά, αρκεί να χρησιμοποιήσουμε ένα μικρό και θαυματουργό software, όπως το SMAC 2.0 MAC Address Changer, για να "προσποιηθούμε" ότι ο υπολογιστής μας έχει την καλοδεχούμενη από το access point MAC Address. Τόσο απλά.

 Τί προτείνεται λοιπόν για καλύτερη ασφάλεια? Βάλτε WPA2 στο ασύρματο δίκτυό σας (αν οι συσκευές σας είναι παλιές, συμβιβαζόμαστε και με το WPA). Η ασφάλεια που προσφέρει είναι απείρως καλύτερη από τις παραπάνω δήθεν τεχνικές και σε γενικές γραμμές έχει δοκιμαστεί με καλά αποτελέσματα σε πολλές περιπτώσεις. 

  

Sign in to follow this  


4 Comments


Recommended Comments

Τώρα που στο SP3 για τα Windows XP υποστηρίζεται πλήρως το WPA2 δεν υπάρχει καμία δικαιολογία...

Share this comment


Link to comment

Εντυπωσιασμένος από αυτά που μάθαμε στο SecurityForum που μόλις τελείωσε (δυστυχώς), παρατηρούσα εμείς

Share this comment


Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...