it-swarm-tr.com

MAC Adres Filtreleme ve SSID Gizleme hala değerli mi?

Yakın zamanda yapılan bir sertifika sınavında 802.11 kablosuz ağını güvenli hale getirmenin yolları hakkında bir soru sordum. Bu çok cevaplı bir soruydu, ancak güvenlikle ilgili sadece mevcut iki cevap SSID Gizleme ve MAC Adres Filtrelemesi'ni ele alıyordu.

Neyse ki, bu özel sertifika ne kablosuz ne de güvenlik odaklıydı.

Bu ikisinin kesinlikle kablosuz ağınızı güvence altına almanız için yalnızca olmamanız gerektiğinin farkındayım, ancak yine de gerçekten daha sağlam kimlik doğrulama ve şifreleme mekanizmalarının üzerinde uygulamaya değer mi?

33
Iszi

Tökezleyen bloklar, ama aşılamazlar. SSID gizleme, ellerini alabilecekleri herhangi bir SSID arayan insanlardan biraz koruma sağlayabilir ve MAC filtreleme, rahat riffraff'i dışarıda tutabilir. Bir WLAN'ı korumanın tek yöntemi olarak oldukça zayıftırlar.

Ağınızı özel olarak hedefleyen biri için şifreleme (özellikle kesintisiz şifreleme) çok daha iyi güvenlik sağlayacaktır. MAC sahteciliği bu günlerde çoğu bağdaştırıcıda önemsizdir ve ağı uçuş sırasında paketleri izleyebileceğiniz noktaya getirdikten sonra geçerli MAC adreslerinin bir listesini alabilirsiniz. SSID de bu noktada önemsizdir. Mevcut araç setlerinin otomatik yapısı nedeniyle, MAC filtreleme ve SSID gizleme artık çabaya değmez. Bence.

29
sysadmin1138

Hayır, bunların hiçbiri işe yaramaz bir saldırgana karşı önlemler. Kolayca tahmin edilebilir bir parolanız yoksa, ağınıza gerçekçi bir şekilde erişmeye çalışan herkesin yardımcı olacak yazılımlara veya bu tür tekniklerin nasıl ele alınacağına dair biraz bilgiye sahip olduğunu varsaymanız gerekir.

SSID gizleme, kullanımda olan bir ağın SSID'sini (örneğin indir ve çalıştır inSSIDer ) tanımlamak önemsiz olduğundan ve aslında kablosuz istemcilerin güvenliğini tehlikeye atabileceğinden güvenliği geliştirmez gizli SSID ağlarına bağlanmak için yapılandırıldı. bir Microsoft TechNet makalesi :

yayın yapılmayan ağların kullanılması, kablosuz bir istemcinin kablosuz ağ yapılandırmasının gizliliğini tehlikeye atar çünkü tercih edilen yayın dışı kablosuz ağlar kümesini düzenli olarak açıklar… yayın dışı kablosuz ağlar kullanmamanız önemle önerilir.

MAC adresi filtreleme güvenliği iyileştirmez , ağ trafiği etkin ağ cihazlarının şifrelenmemiş MAC adresini içerdiğinden. Bu, herkesin izin verilenler listesinde bulunan bir MAC adresini bulabileceği ve daha sonra MAC adreslerini taklit etmek için kolayca mevcut yazılım kullanabileceği anlamına gelir.

Kimlik doğrulama ve şifreleme, kablosuz ağınızı korumanın tek makul yoludur. WPA2-PSK güvenliğini güçlü bir parola ve en yaygın 1000 SSID listesinde olmayan bir SSID ile kullanmak anlamına gelen bir ev ağı için.

MAC adresi filtrelemesi belki bir avantaj sağlar: kötü niyetli olmayan kullanıcılar için erişimi kontrol etme. Birisine WiFi şifrenizi verdikten sonra, şifreyi kime verdikleri üzerinde hiçbir kontrole sahip değilsiniz: belki de yapmamaları gerektiğini unuttuktan sonra arkadaşlarına kolayca söyleyebilirler. MAC adres filtreleme, bilgisayar korsanlarına ait olan cihazların bağlanabileceği merkezi kontrolünüz olduğu anlamına gelir.

Dolayısıyla, birisinin ağınıza hacklenmesinden endişe ediyorsanız, SSID gizlemeyi ve MAC adresi filtrelemeyi unutmayın. Arkadaşlarınızın arkadaşlarının bağlanmasını istemiyorsanız, MAC adres filtrelemesi yardımcı olabilir ... ancak arkadaşlarınızdan şifreyi geçmemelerini veya herhangi bir cihazda WiFi şifresini girmelerini istemek daha az zor olacaktır.

23
Rory

Kismet ve diğer tamamen pasif rfmon tarayıcılar uzun süredir var. Misafirlerle asla paylaşmadığınız ve nadiren cihaz eklemediğiniz bir ev wifi ağında olmadığı sürece, bu iki eylemden elde ettiğiniz güvenlikteki marjinal artış, rahatsızlıktaki marjinal artışa değmez.

5
user502

Diğerlerinin yanıtladığı gibi, MAC filtreleme ve SSID gizleme etkin bir saldırgana karşı yardımcı olmaz.

Ancak, çoğunlukla güvenilir kişiler tarafından kullanılan güvenilmeyen cihazlardan bir ölçüde korunmaya değer olabilirler. Varsayımsal bir durumla açıklayacağım:

Evde ayrı bir "misafir ağı" için yapılandırılmış bir yönlendiriciniz olduğunu (veya bir şirkette) varsayalım. Çoğu ev yönlendiricisi, genellikle birincil = ev "ağı için WPA anahtarını kullanarak ancak konuk ağı için sabit bir portal sağlayarak bu ayarı kolayca kullanılabilir hale getirir.

Birincil ağı kullanmak çok daha uygun olabilir (ve kesinlikle daha güvenlidir), bu nedenle aileniz bunu doğal olarak kullanır. Ancak, teknoloji uzmanı olduğunuzdan, ev ağınızdaki tüm cihazları güvence altına aldınız ve güncel antivirüs, güvenlik duvarları vb.

Şimdi, işteyken, gençinizin arkadaşı evde takılmak için geliyor ve dizüstü bilgisayarını yanına getiriyor. Wifi şifresini istiyor. Konuk ağını kullanmasını istiyorsun, çünkü o dizüstü bilgisayarda ne olduğunu kim bilebilir?

Ergenlik çağınız olabilir sadece birincil wifi şifresini verin, ancak MAC adresi filtrelemeyi yapılandırdınız. Bunun yerine, konuk ağına şifreyi verir, çünkü yönlendirici yönetici şifresine sahip olsa bile arkadaşının dizüstü bilgisayarını ev ağına almayı denemek acı verici olacaktır. Her geldiğinde yeniden bağlanmaya ihtiyaç duyuyorlar, ancak güvenilmeyen dizüstü bilgisayar güvenilir ağınızdan uzak duruyor.

2
Ben

Bir güvenlik cihazı olarak SSID gizleme pek bir şey yapmaz, çünkü gizli ağa bağlanmak için istemci, erişim noktası yayınlamak yerine SSID'yi yayınlayacaktır, bu nedenle SSID'nin ne olduğunu pasif bir şekilde izleyerek her neyse. MAC kilitleme de güvenlik için pek iyi değildir. Pasif olarak izliyorsanız, hangi MAC'lerin başarılı bir şekilde bağlandığını göreceksiniz ve bunlardan birini taklit edebilir ve kendinizi bağlayabilirsiniz. Bunlar, diğer yöntemlerle birleştirildiğinde orta derecede yardımcı olabilecek özelliklerdir, ancak yönetim çabası faydaya değmez ve çabayı kurumsal WPA2'ye harcamak çok daha iyi olacaktır. Gizli SSID'ler, aynı binada/bölgede iş ağlarınız ve genel erişim ağlarınız olduğunda karışıklığı azaltmanın güvenlikle kullanılmaması için yararlı olabilir. Herkese açık olmayan ağları gizlerseniz, genel erişim ağınıza bağlanmak isteyen müşteriler/konuklar bu kadar kolay karıştırılmaz.

1
Rod MacPherson

Bazıları bu önlemlerin marjinal veya işe yaramaz olduğunu ve bir dereceye kadar doğru olduğunu söyleyebilir. Ancak, ağ yönetimi daha iyi güvenliğe doğru bir adımdır. Örneğin, MAC filtreleme, ağınızdaki her cihazı bulmanızı ve listelemenizi gerektirir. Çoğu insan yirmi ila otuzdan az cihaza sahip olduğundan, evde bu büyük bir anlaşma değildir.

Bu nedenle, DHCP'yi devre dışı bıraktığınızı ve sahip olabileceğiniz beş cihazın hepsinde statik adresleme olduğunu düşünün. Örneğin, bir Dizüstü Bilgisayar, bir PlayStation, İki Cep Telefonu ve bir Tablet. (Küçük bir aile için tipiktir.)

Bu çok fazla cihaz değil. Şimdi bir hacker'ı gerçekten üzdüğünüzü hayal edelim ve o sizi hedefliyor, sulu bir şey bulmaya çalışıyor. Sosyal olarak WPA2 şifrenizi bulma yolunu tasarladı. Şimdi sadece MAC adresinizi alması ve kullanılabilir bir IP seçmesi gerekiyor.

Yani ... Senaryo 1: Dizüstü bilgisayarınızı taklit etmeye karar verdi. MAC'inizi taklit eder ve aynı IP'yi kullanır. Bu, hacker için yaklaşık otuz dakika çalışır. Sonra Netflix'i izlemek istediğinize karar verin. Dizüstü bilgisayarınızı açıyorsunuz ve A: Bağlanamıyorsunuz veya B: Windows size bir IP çakışması olduğunu söylüyor. (Hangisi olacak). Bil bakalım ne oldu? Sadece olması gereken bir şey olduğunu fark ettin. Hacker (WiFi olduğu için), çeyrek mil uzakta bir Yagi anteni kullanıyor olsa iyi olur, çünkü yakalandı. Sen kazandın. Ağınızı yönettiğiniz için, birinin yapılandırma değişikliği yapıp yapmadığını veya cihazlarınızdan birinin bağlantı sorunları yaşamaya başlayıp başlamadığını anlarsınız.

Uzun lafın kısası, onu dışarıda tutamayabilir. Ama saklanmayı zorlaştıracaktır.

0
Aaron