Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Сокрытие SSID (надеюсь Комаров подскажет)
 
У меня вопрос по сокрытию SSID в Ви-Фи.
Стандарто точка доступа транслирует в эфир сигнальные фрэймы содержащие SSID сети. Клиент попадая в зону действия сети (даже впервые, ничего о ней не зная) обнаруживает ее по этим сигнальным фрэймам и дальше уже идет ААА если есть, если нет он просто подключается. Сеть фактически кричит: я здесь подключись ко мне.
Если у меня идет сокрытие SSID, то сигнальные фрэймы в эфир не идут, сеть молчит. Мой клиент просто так ее не увидит.Необходимо предварительно прописать SSID данной сети в клиенте, чтобы к ней подключиться.
Правильно рассуждаю?

По поводу обхода сокрытия SSID можете не говорить, знаю.
 
Я конечно не Андрей Комаров :-), но насчет вашего мнения я согласен с вами!
 
Рассуждаете правильно. SSID нужно прописать руками.
Кроме того рассмотрите атаку "ложная точка доступа", когда вы ищете по введенному SSID точку доступа, а подставная точка доступа "услышав" ваши позывы соглашается, что это она имеет этот SSID и пускает вас через себя в Интернет - вы отдаете ей пароли на почту и аську и др и чувствуете, что надо было защититься и от этого вида атаки. То есть надо проводить проверку, что точка доступа именно та, за кого она себя выдает.
 
Цитата
АЙС пишет:
Если у меня идет сокрытие SSID, то сигнальные фрэймы в эфир не идут, сеть молчит.
Не совсем так.

На большинстве точек доступа выключение широковещания SSID совсем не означает, что её в эфире не видно. Даже в том случае, если она работает "вхолостую", т.е. клиенты к ней не подключены. На самом деле, "маяки" (beacon - "беконы") она шлёт. Просто там поле SSID пустое или завалено нулевыми символоми. А вот BSSID (т.е. MAC точки доступа) в маяках есть.

У себя на работе перепотрошил кучу акцес поинтов разных марок и разных производителей: от D-Link до ASUS и Cisco. Как старые модели так и новые. Не нашёл ни одной, которая бы при выключенном broadcast SSID не вещала бы в эфир маяки со своим BSSID.

Ещё пара моментов:
1. Даже если клиент подключён к AP, которая свой SSID не вещает - можно этого клиента переподключить на фиктивную точку доступа: задать ей такой же SSID и вещать его в эфир. Клиент всё равно периодически ищет более качественный сигнал и может переподключиться. Хотя, этот случай относится не ко всем карточкам: была у меня d-link PCI карточка - ни в какую не хотела подключаться в этом случае к более качественному сигналу, пока совсем легальную точку не отрубил. Кстати, по появившемся маякам с SSID как у реальной точки доступа, но другим каналом можно с уверенностью судить о попытке создания фиктивной точки доступа: ведь легальная SSID не вещает.
2. Если есть возможность возможность клиенту задать жёстко канал, на котором работает точка доступа - не поленитесь использовать эту возможность. Конечно, проблему фиктивной точки доступа это не искоренит, но сильно свяжет руки злоумышленнику
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
На большинстве точек доступа выключение широковещания SSID совсем не означает, что её в эфире не видно. Даже в том случае, если она работает "вхолостую", т.е. клиенты к ней не подключены. На самом деле, "маяки" (beacon - "беконы") она шлёт. Просто там поле SSID пустое или завалено нулевыми символоми. А вот BSSID (т.е. MAC точки доступа) в маяках есть.

Если у меня идет сокрытие SSID, то клиент не оснащенный вардрайверским ПО биконы с пустыми SSID не услышет и сеть не увидет? А то, что в биконе есть BSSID простому клиенту тоже ничего не даст, он сеть тоже не увидет?

Есть еще такое понятие как ЕSSID - расширенная зона обслуживание, в данном случае это тоже самое, что SSID?

Вообще наверно в случае БЛВС с большим количеством клиентов сокрытие SSID вызывает большой гемор - каждому клиенту придется SSID прописать. Вопрос к тому, скрывать SSID или не скрывать?
У кого будет гемороя больше: у админа который будем каждому SSID происывать или у вардрайвера которому придется вытаскивать SSID из сеансы ассоциации клиента?

Цитата
Shanker пишет:
Если есть возможность возможность клиенту задать жёстко канал, на котором работает точка доступа - не поленитесь использовать эту возможность. Конечно, проблему фиктивной точки доступа это не искоренит, но сильно свяжет руки злоумышленнику

Я про каналы не очень осведомлен. Вот мы сеть развернули, у точек доступа нашей сети каналы разные будут (чтоб не пересекались) или один? Для каждой точки доступа канал придется вручную происать, выбрав канал с наименьшим количеством помех?

Цитата
Shanker пишет:
Даже если клиент подключён к AP, которая свой SSID не вещает - можно этого клиента переподключить на фиктивную точку доступа: задать ей такой же SSID и вещать его в эфир. Клиент всё равно периодически ищет более качественный сигнал и может переподключиться.

Есть возможность привязки клиента к настоящей точке доступа так, чтобы он на фиктивную с лучшим сигналом хрен ложил?
 
Цитата
АЙС пишет:
Если у меня идет сокрытие SSID, то клиент не оснащенный вардрайверским ПО биконы с пустыми SSID не услышет и сеть не увидет? А то, что в биконе есть BSSID простому клиенту тоже ничего не даст, он сеть тоже не увидет?
Да. По крайней мере, в виндовой стандартной проге по поиску беспроводных сетей такие сети не показываются.

Цитата
АЙС пишет:
Вообще наверно в случае БЛВС с большим количеством клиентов сокрытие SSID вызывает большой гемор - каждому клиенту придется SSID прописать.
Да, верно. НО вполне возможно, это можно сделать скриптами... Я не скажу сейчас как точно, но наверняка такая возможность существует и тогда каждому клиенту достаточно будет запустить скрипт и усё.
Цитата
АЙС пишет:
Вопрос к тому, скрывать SSID или не скрывать?
Какая цель скрывания SSID стоит? Для чего такую меру применять собираетесь?

Цитата
АЙС пишет:
У кого будет гемороя больше: у админа который будем каждому SSID происывать или у вардрайвера которому придется вытаскивать SSID из сеансы ассоциации клиента?
Если клиентов много - проблем с отловом пакетов ассоциаций особых не будет. Тем более, в любом случае, обнаружив активность на каком-то канале можно будет на этом же канале создать помехи и следить за станциями, которые будут стучаться по разным каналам и запрашивать SSID, разглашая его такми образом.

Цитата
АЙС пишет:
Я про каналы не очень осведомлен. Вот мы сеть развернули, у точек доступа нашей сети каналы разные будут (чтоб не пересекались) или один?
Смотря на каком расстоянии друг от друга всё это будет находиться. Вообще лучше, конечно, разные

Цитата
АЙС пишет:
Для каждой точки доступа канал придется вручную происать, выбрав канал с наименьшим количеством помех?
Вроде как так должно быть. Хотя есть протокол WDS (распределённые беспроводные сети). Он как раз использвется в случае применения нескольких точек для создания одной сети. Посмотрите что там и как. Сам работал только с сетями на одной точке доступа и поэтому по поводу распределённых сетей ничего конкретного сказать не могу.

Цитата
АЙС пишет:
Есть возможность привязки клиента к настоящей точке доступа так, чтобы он на фиктивную с лучшим сигналом хрен ложил?
Есть. Аутентификация с использованием RADIUS сервера, на сколько я слышал. Вроде, реализуется в стандарте 802.11i На данный момент не знаю: выпущен ли окончательный вариант этогшо стандарта. Ровно как и оборудования, его поддерживающего.
А в сетях стандарта 802.11a/b/g такая задача может иметь только частный характер. Хотя, слышал, что и в этих сетях можно извратиться с аутентификацией по радиус-серверу. В общем случае пока задача не решена, на сколько мне известно
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
Есть. Аутентификация с использованием RADIUS сервера, на сколько я слышал. Вроде, реализуется в стандарте 802.11i На данный момент не знаю: выпущен ли окончательный вариант этогшо стандарта. Ровно как и оборудования, его поддерживающего.
]
Окончательный вариант 802.11i был ратифицирован совсем "недавно", а именно в 2004 году :) Скорее, сейчас сложно найти оборудование, его НЕ поддерживающее.
 
802.11i действительно принят давно, обычно люди путают этот факт с недавним появлением драфтового документа по безопасности SP 800-48 Rev. 1 от NIST.

По поводу Rogue AP / Ewil Twin, важно понимать то, что наилучшим уходом от этой атаки будет занятие настройки не только клиентского адаптера, а конкретной беспроводной сети.

Внедрение 802.1x в качестве безопасности на уровне порта позволит избавиться от таких атак, в силу того, что данные клиента непосредственно связаны с back-end сервером, которые их проверяет. Если его нет, а ложная точка доступа есть, то соответственно пользователю не удасться достичь ресурсов беспроводной сети. Другой вопрос, что на его внедрение понадобится время. Есть ещё другое понятие, как взаимная аутентификация (это EAP-TTLS, PEAP, Cisco LEAP). Абстрактно в их рамках состоит авторизация не только клиента точке доступа, но и точки доступа клиенту. Другой вопрос, что например последний имеет проблемы с безопасностью (asleap). Ещё как вариант - двухфазовая авторизация.

Если уж такая тема, то по пунктам:

Цитата
Есть еще такое понятие как ЕSSID - расширенная зона обслуживание, в данном случае это тоже самое, что SSID?

BSSID (Basic Service Set ID)- идентификатор базового набора служб (тривильно это 1 точка доступа и её же клиенты).
ESSID (Extended Service Set ID) - идентификатор сети, архитектура которой состоит из двух и более точек доступа, подключённых к одному логическому сегменту сети

Цитата
Вообще наверно в случае БЛВС с большим количеством клиентов сокрытие SSID вызывает большой гемор - каждому клиенту придется SSID прописать. Вопрос к тому, скрывать SSID или не скрывать?

Вы можете сконфигурировать эти вещи на уровне группы Active Directory для беспроводного доступа. Group Policy Object Editor имеет добавочный Snap-in: Computer Configuration | Windows Settings | Security Settings | Wireless Network (IEEE 802.11) Policies. Кстати, по моему мнению, VISTA в этом плане представляет куда большие возможности, чем все остальные операционные системы.

Цитата
Я про каналы не очень осведомлен. Вот мы сеть развернули, у точек доступа нашей сети каналы разные будут (чтоб не пересекались) или один? Для каждой точки доступа канал придется вручную происать, выбрав канал с наименьшим количеством помех?

Смотря как настроите, это опциональный фактор. Безусловно, желательно избегать интерференции каналов. Промелькнули фразы по WDS-сетям, отвечаю: такие сети обязаны использовать 1 общий канал по определению, из-за чего у них и возникают проблемы со скоростями и наводками.
 
Цитата
Андрей Комаров пишет:
По поводу Rogue AP / Ewil Twin, важно понимать то, что наилучшим уходом от этой атаки будет занятие настройки не только клиентского адаптера, а конкретной беспроводной сети.

Позволю не согласиться. В большинстве случаев именно ошибки в настройке беспроводных клиентов являются основной причиной копрометации сети.


Цитата

Вообще наверно в случае БЛВС с большим количеством клиентов сокрытие SSID вызывает большой гемор - каждому клиенту придется SSID прописать. Вопрос к тому, скрывать SSID или не скрывать?

Смысл скрытия  SSID есть только в редких случаях - например домашней точки доступа. На настоящем этапе это не является мерой защиты.

Цитата
Андрей Комаров пишет:
Внедрение 802.1x в качестве безопасности на уровне порта позволит избавиться от таких атак...

<plug>В моей книге :) </plug> да и не только, описан сценарий атаки на 802.1x с некоторыми схемами аутентификации, позволяющий внедрить ложную точку доступа. Правда он требует TLS-сертификата, доверенного Windows. Цена вопроса - $600. Пару раз реализовывал.

Цитата
Shanker пишет:
А в сетях стандарта 802.11a/b/g такая задача может иметь только частный характер.

Стандарт 802.11i (он же WPA2), также как и WPA может использоваться в сетях 802.11a/b/g/n. Это стандарты безопасности, которые работают поверх канального уровня 802.11a/b/g/n.

Цитата
АЙС пишет:
У кого будет гемороя больше: у админа который будем каждому SSID происывать или у вардрайвера которому придется вытаскивать SSID из сеансы ассоциации клиента?

Однозначно - у админа. Если "вардрайвер" - мальчик с нетстамблером, то его попытки "взломать" сеть - детский лепет. Если это квалифицированный злоумышленник, на выяснение SSID у него уйдет несколько секунд. Например, клиенты Windows постоянно рассылают Probe Request с SSID сети с целью обеспечить "бесшовный" роуминг. Что прекрасно видно в любом сетевом анализаторе. Правда в Windows Vista это можно ограничить, но использовать как основной механизм - нет смысла. Так что 802.1x-PEAP-AES(TKIP) спасет отца русской демократии.
 
Цитата
offtopic пишет:
<plug>В моей книге  </plug> да и не только, описан сценарий атаки на 802.1x с некоторыми схемами аутентификации, позволяющий внедрить ложную точку доступа. Правда он требует TLS-сертификата, доверенного Windows. Цена вопроса - $600. Пару раз реализовывал.

В моей книге - Это Вай-Фу? Цена какого вопроса - $600? Столько стоит найти доверенный сертификат? Как его искать: забашлять Билу Гейтсу 600 баксов?
 
Цитата
АЙС пишет:
В моей книге - Это Вай-Фу

Неа.

http://www.securitylab.ru/news/306357.php

Цитата
АЙС пишет:
Цена какого вопроса - $600? Столько стоит найти доверенный сертификат? Как его искать: забашлять Билу Гейтсу 600 баксов?

Ага. Цена сертификата. На самом деле, можно и меньше. Например у http://www.thawte.com/ купить.
 
Цитата
Андрей Комаров пишет:
SP 800-48 Rev. 1 от NIST

Этот проект касается Ви-Фи или ИБ в целом или сетевой безопасности? Киньте ссылочку где его почитать?

Цитата
Андрей Комаров пишет:
Rogue AP / Ewil Twin

Rogue AP -ложная АР, а Ewil Twin - что такое?

Цитата
Андрей Комаров пишет:
Есть ещё другое понятие, как взаимная аутентификация (это EAP-TTLS, PEAP, Cisco LEAP). Абстрактно в их рамках состоит авторизация не только клиента точке доступа, но и точки доступа клиенту

Я перелопатил кучу статей по EAP-аутентификации, но нигде не освещен момент проверки подлинности АР клиентом. Везде пишут, что да, аутентифицируется не только клиент точкой, но и наоборот, а как? Есть ссылка где это описано?

И вообще, откуда клиент знает, что ему нужно проходить EAP-аутентификацию. Я ставлю злую АР с открытой (нулевой) аутентификацией и уровнем сигнала выше, чем у реальной АР. Клиент выберет злую точку т.к. у нее сигнал лучше, и делай с ним, что хош. Или я не прав, тогда как в реале?
 
Цитата
Позволю не согласиться. В большинстве случаев именно ошибки в настройке беспроводных клиентов являются основной причиной копрометации сети.

Конечно, поэтому настраивать будем ещё и сеть :)
Имелось ввиду централизованная настройка всех адаптеров политиками вместе с проверкой подлинности. Конкретно эти настройки относятся не только сетевому адаптеру, а к конкретной беспроводной сети.  

Цитата
<plug>В моей книге С улыбкой </plug> да и не только, описан сценарий атаки на 802.1x с некоторыми схемами аутентификации, позволяющий внедрить ложную точку доступа. Правда он требует TLS-сертификата, доверенного Windows. Цена вопроса - $600. Пару раз реализовывал.

С уважением читал Вашу книгу с ЗАРАЗой, в курсе об атаках по словарю и MITM на EAP-TLS в ряде частных случаев. Тем не менее 802.1x масштабируема для растущей сети и обеспечивает более высокую безопасность. Во избежание таких проблем рекомендуется использовать взаимную проверку подлинности, а не "one-way authentication".

Цитата
Rogue AP -ложная АР, а Ewil Twin - что такое?
Ложная близнец :)

Цитата
Я перелопатил кучу статей по EAP-аутентификации, но нигде не освещен момент проверки подлинности АР клиентом. Везде пишут, что да, аутентифицируется не только клиент точкой, но и наоборот, а как? Есть ссылка где это описано?

Вкладка Authentication (проверка подлинности) WZC. EAP - это не механизм аутентификации, это framework для проверки подлинности с определённым набором методов для этого. В IETF RFC есть полное описание более 30 этих методов, хотя для беспроводных сетей используются около 4. Взаимность этих методов может быть основана на организации TLS-туннеля, сертификатах, токенах, просто логинах и паролях. Как правило архитектура этого процесса на клиент (тот кто проверяется), проводник и сервер подлинности. В случае применения каких-то крипто-алгоритмов между клиентом и сервером подлинности ведутся какие-то вычисления, всё зависит от метода применяемого EAP.

Проводник: "802.1x/EAP REQUEST"
Клиент: "802.1x/EAP RESPONSE"
Проводник: передача EAP RESPONSE серверу проверки подлинности
Сервер: уведомление о получении. применяющийся метод для проверки, генерация пары PMK
Клиент: получение и проверка
 
Цитата
Андрей Комаров пишет:
Имелось ввиду централизованная настройка всех адаптеров политиками вместе с проверкой подлинности. Конкретно эти настройки относятся не только сетевому адаптеру, а к конкретной беспроводной сети.

Да я не против. Я только за. Это я к чему вообще :). Надо не только настраивать, но и контролировать. Например с помощью WIDS (онсайт) или технологий карантина/compliance management (offsite). Потому как в жизни клиенты с ноутбуками, аутсорсеры и другие... хулиганят.

Цитата
Андрей Комаров пишет:
Во избежание таких проблем рекомендуется использовать взаимную проверку подлинности, а не "one-way authentication".

Дело в том, что описанные атаки относятся к ошибкам настройки аутентификации сети клиентом. И двусторонняя аутентификация тут не поможет, ибо "плохая" сеть может выдать себя за хорошую и успешно "пропустить" клиента к себе. А дальше хулиганить. Конечно это гораздо сложнее сделать в случае PEAP-TLS, но возможно. Ибо серверу аутентификации (в терминологии 802.1x) не нужно знать закрытый ключ клиента.
При корректной настройке аутентификации сети клиентом это не работает.


Цитата
АЙС пишет:
момент проверки подлинности АР клиентом

Как корректно заметил г-н Комаров, EAP сам по себе ничего не аутентифицирует. "Взаимность" реализуется протоколами аутентификации. Примеры:
EAP-TLS  - сеть проверятеся по сертификату, клиент - по сертификату
PEAP-PAP - сеть проверятеся по сертификату, клиент - по паролю (открытый текст в TLS-туннеле)
PEAP-TLS - сеть проверятеся по сертификату, клиент - по сертификату
PEAP-MSCHAPv2 - сеть проверятеся по сертификату и знанию хеша пароля, клиент - по знанию хеша пароля

и т.д.

Цитата
И вообще, откуда клиент знает, что ему нужно проходить EAP-аутентификацию.

У него в профиле подключения написано - к этому SSID только WPA2-AES-PEAP-MSCHAPv2. Если, конечно, клиент может грохнуть настройку и добавить свое подключение, тогда см. выше.
 
Г-н Гордейчик, можно взглянуть на содержание вашей книги? Я ее только по почте могу заказать, а платить 300 + 150 (доставка) за кота в мешке я не хочу.
 
Цитата
offtopic пишет:
Вкладка Authentication (проверка подлинности) WZC

Какая вкладка? Что такое WZC?
 
Введение 3
Введение в беспроводные сети 7
Особенности радиосетей 8
Беспроводная арифметика 11
Технология широкополосного сигнала 11
Стандарты беспроводных сетей 15
Персональные беспроводные сети 15
Локальные беспроводные сети 17
Региональные и городские сети 21
Организация канального уровня в 802.11 23
Структура сети 23
Метод доступа к несущей 25
Формат фрейма 802.11 28
Сервисы канального уровня 30
Боевые выезды и основные инструменты 33
На тропе войны 33
Основные инструменты 34
Москва. Кольцо. Боевой выезд. 38
Глава 2. Фундамент безопасной сети 42
Угрозы эфирного мира 42
Политика безопасности 44
Базовые механизмы защиты 48
Контроль границы сети 48
Списки контроля доступа 49
Рассылка SSID 52
Изменение стандартных настроек 53
Защита точек доступа 55
Чему эквивалентна приватность WEP? 58
Протокол WEP 58
Первые звонки 60
Эти разные векторы инициализации 61
Новое – хорошо забытое старое 62
WEP - мертв 63
Безопасность Bluetooth 68
Стек протоколов Bluetooth 68
Механизмы защиты Bluetooth 76
Зоопарк Blue* взломов 82
Bluebug 91
Защита Bluetooth 93
Глава 3. Безопасность Wi-Fi сегодня 98
Защита на уровне порта 98
Протоколы аутентификации 100
Развертывание 802.1X 104
Безопасный доступ к беспроводной сети 112
Защита небольших сетей 116
Гостевой доступ 122
WEB-порталы 122
Виртуальные частные сети 124
Технология WPS 125
Глава 4. Сетевые вопросы 133
Межсетевое экранирование WLAN 133
Топология сети 134
Выбор типа межсетевого экрана 136
Политика фильтрации трафика 137
Настройка МСЭ 143
Виртуальные частные сети 145
Варианты использования VPN 145
VPN сетевого уровня 147
Ближайшее будущее – IPv6 161
Отличия IPv6 и IPv4 161
Адресация в IPv6 163
Туннелирование IPv6 165
Протокол ICMPv6 165
Основы безопасности IPv6 166
Глава 5. Безопасность клиентов 172
Атаки на пользователей WLAN 172
Ложная точка доступа 174
Атаки на 802.1X 178
Неконтролируемое использование Wi-Fi 180
Уязвимости драйверов 180
Защита мобильных пользователей 183
Контроль беспроводных клиентов 183
Централизованная настройка Wi-Fi 189
Персональные межсетевые экраны 194
Персональные WIDS 200
Безопасность для самых маленьких 204
Модель безопасности Windows Mobile 205
Управление сертификатами 212
Защита коммуникаций 219
Централизация управления 225
Gnivirdraw или Wardriving наоборот 230
Методика работ 230
Анализ данных 232
Глава 5. Обнаружение атак и контроль защищенности 235
Нерешенные проблемы 802.11i 235
Отказ в обслуживании 235
Уязвимости EAP 238
Контроль политики безопасности 238
Обнаружение беспроводных атак 239
Возможности WIDS 239
Развертывание WIDS 248
Примеры решений 250
Оценка защищенности беспроводных сетей 268
Анализ конфигураций 268
Тестирование на проникновение 269
Отчет о работах 276
Вместо заключения 277
Об авторах 278
 
Цитата
Shanker пишет:
Какая цель скрывания SSID стоит? Для чего такую меру применять собираетесь
лишняя безопастность не помешает. хотя она не поможет при взломе опытными кул-хацкерами... :(
Цитата
ksiva пишет:
Кроме того рассмотрите атаку "ложная точка доступа", когда вы ищете по введенному SSID точку доступа,
а можно настроить клиента ви-фи по МАС ?
т.е. подключатся только к шлюзу ви-фи, у которого определённый МАС ?
 
Цитата
Алекс М пишет:
ЗЫ. Устроил бы кто-нибуть "утечку в инторнет"

Если куплю, устрою
 
Цитата
offtopic пишет:
Стандарт 802.11i (он же WPA2), также как и WPA может использоваться в сетях 802.11a/b/g/n. Это стандарты безопасности, которые работают поверх канального уровня 802.11a/b/g/n.
Спасибо, что поправил! А то я всерьёз думал, что это отдельный стандарт и всё никак не мог понять: почему в новых точках, что у меня на работе, его нету... :)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Страницы: 1 2 След.
Читают тему (гостей: 1)