it-swarm-vi.com

Bộ lọc địa chỉ MAC và ẩn SSID có còn giá trị không?

Trong một kỳ thi chứng chỉ gần đây, tôi đã được đưa ra một câu hỏi về các cách để bảo mật mạng không dây 802.11. Đó là một câu hỏi nhiều câu trả lời, nhưng hai câu trả lời duy nhất có liên quan đến bảo mật là giải quyết SSID Ẩn và Lọc địa chỉ MAC.

May mắn thay, chứng nhận đặc biệt này không phải là không dây - cũng không tập trung vào bảo mật.

Tôi biết rằng hai thứ này chắc chắn không phải là chỉ phương tiện bảo mật mạng không dây của bạn, nhưng chúng có thực sự được coi là đáng thực hiện trên cơ chế xác thực và mã hóa mạnh mẽ hơn không?

33
Iszi

Họ vấp ngã, nhưng không thể vượt qua. Việc ẩn SSID có thể cung cấp một số bảo vệ khỏi những người tìm kiếm bất kỳ SSID nào mà họ có thể có được và việc lọc MAC có thể giúp loại bỏ thông thường. Là phương pháp duy nhất để bảo vệ mạng WLAN, chúng khá yếu.

Đối với ai đó nhắm mục tiêu mạng của bạn một cách cụ thể, mã hóa (đặc biệt là mã hóa không bị gián đoạn) sẽ cung cấp bảo mật tốt hơn rất nhiều. Việc giả mạo MAC là không đáng kể trong hầu hết các bộ điều hợp hiện nay và sau khi bạn bẻ khóa mạng đến điểm bạn có thể theo dõi các gói trên máy bay, bạn có thể nhận được danh sách các địa chỉ MAC hợp lệ. SSID là tầm thường ở điểm đó là tốt. Do tính chất tự động của các bộ công cụ có sẵn, lọc MAC và ẩn SSID không thực sự đáng nỗ lực nữa. Theo ý kiến ​​của tôi.

29
sysadmin1138

Không, cả hai điều này đều không đáng biện pháp chống lại kẻ tấn công. Trừ khi bạn có một mật khẩu dễ đoán, bạn cần giả sử bất kỳ ai thực sự có thể cố gắng truy cập vào mạng của bạn đều có phần mềm để trợ giúp hoặc một chút kiến ​​thức về cách khắc phục các kỹ thuật đó.

Việc ẩn SSID không cải thiện bảo mật vì việc xác định SSID của mạng đang sử dụng là không đáng kể (ví dụ như tải xuống và chạy inSSIDer ) và trên thực tế, nó có thể làm tổn hại đến bảo mật của các máy khách không dây được cấu hình để kết nối với các mạng SSID ẩn. Từ một bài viết của Microsoft TechNet :

việc sử dụng các mạng không phát sóng làm ảnh hưởng đến quyền riêng tư của cấu hình mạng không dây của máy khách không dây bởi vì nó đang tiết lộ định kỳ bộ mạng không dây không phát sóng ưa thích của mình, khuyên bạn không nên sử dụng mạng không dây không phát sóng.

Lọc địa chỉ MAC không cải thiện bảo mật vì lưu lượng mạng bao gồm không được mã hóa địa chỉ MAC của các thiết bị mạng đang hoạt động. Điều này có nghĩa là bất kỳ ai cũng có thể tìm ra một địa chỉ MAC trong danh sách được phép và sau đó sử dụng dễ dàng có sẵn phần mềm để giả mạo địa chỉ MAC của họ.

Xác thực và mã hóa là những cách hợp lý duy nhất để bảo mật mạng không dây của bạn. Đối với mạng gia đình có nghĩa là sử dụng bảo mật WPA2-PSK với mật khẩu mạnh và SSID không có trong danh sách 1000 SSID phổ biến nhất .

Lọc địa chỉ MAC có thể cung cấp một lợi ích: kiểm soát quyền truy cập cho người dùng không độc hại. Khi bạn đã cung cấp cho ai đó mật khẩu WiFi của bạn, bạn không có quyền kiểm soát ai họ cung cấp mật khẩu cho họ: họ có thể dễ dàng nói với bạn bè của họ, có lẽ sau khi quên rằng họ không nên. Lọc địa chỉ MAC có nghĩa là bạn có quyền kiểm soát trung tâm đối với thiết bị nào không thuộc tin tặc có thể kết nối.

Vì vậy, nếu bạn lo lắng về việc ai đó xâm nhập vào mạng của mình, hãy quên ẩn SSID và lọc địa chỉ MAC. Nếu bạn không muốn kết nối bạn bè của bạn bè, việc lọc địa chỉ MAC có thể giúp ích cho mặc dù sẽ ít gặp rắc rối hơn khi yêu cầu bạn bè không truyền mật khẩu hoặc chỉ nhập mật khẩu WiFi cho họ trên bất kỳ thiết bị nào.

23
Rory

Kismet và các máy quét rfmon hoàn toàn thụ động khác đã xuất hiện từ rất lâu. Trừ khi trên mạng wifi gia đình mà bạn không bao giờ chia sẻ với khách và hiếm khi thêm thiết bị vào, sự gia tăng bảo mật mà bạn nhận được từ hai hành động đó không đáng để tăng sự bất tiện.

5
user502

Như những người khác đã trả lời, lọc MAC và ẩn SSID không giúp chống lại kẻ tấn công đang hoạt động.

Nhưng, chúng có thể đáng giá cho một số mức độ bảo vệ khỏi các thiết bị không đáng tin cậy được sử dụng bởi những người đáng tin cậy nhất. Tôi sẽ giải thích với một tình huống giả định:

Giả sử bạn có bộ định tuyến tại nhà (hoặc trong một doanh nghiệp) được định cấu hình cho một "mạng khách" riêng biệt. Nhiều bộ định tuyến gia đình giúp cài đặt này dễ dàng có sẵn, thường sử dụng khóa WPA cho mạng "nhà" chính, nhưng cung cấp cổng thông tin bị giam cầm cho mạng khách.

Có thể thuận tiện hơn nhiều (và chắc chắn là an toàn hơn) để sử dụng mạng chính, vì vậy gia đình bạn tự nhiên sử dụng điều đó. Nhưng bạn là người đam mê công nghệ, bạn chắc chắn sẽ bảo mật tất cả các thiết bị trên mạng gia đình của mình, giữ cho chúng được vá đầy đủ với chương trình chống vi-rút, tường lửa cập nhật, v.v.

Bây giờ, trong khi bạn đang ở nơi làm việc, người bạn tuổi teen của bạn đến chơi ở nhà và cô ấy mang theo máy tính xách tay của mình. Cô ấy muốn mật khẩu wifi. Bạn muốn cô ấy sử dụng mạng khách, vì ai biết những gì trên máy tính xách tay đó?

Thiếu niên của bạn có thể chỉ cần cung cấp mật khẩu wifi chính, nhưng bạn đã định cấu hình lọc địa chỉ MAC. Vì vậy, thay vào đó, cô ấy đưa mật khẩu cho mạng khách vì sẽ rất khó để thử lấy máy tính xách tay của bạn mình trên mạng gia đình, ngay cả khi cô ấy có mật khẩu quản trị viên bộ định tuyến. Họ càu nhàu về việc cần phải kết nối lại mỗi khi cô ấy đến, nhưng máy tính xách tay không tin cậy sẽ rời khỏi mạng đáng tin cậy của bạn.

2
Ben

Là một thiết bị bảo mật, ẩn SSID không làm được gì nhiều vì để kết nối với mạng ẩn, máy khách sẽ phát SSID thay vì điểm truy cập phát nó, do đó, bằng cách theo dõi thụ động một chút trong khi bạn có thể chọn SSID dù sao đi nữa. Khóa MAC cũng không tốt cho bảo mật. Nếu bạn đang theo dõi thụ động, bạn sẽ thấy MAC nào kết nối thành công và có thể giả mạo một trong số chúng và tự kết nối. Đây là những tính năng có thể giúp ích vừa phải khi kết hợp với các phương pháp khác, nhưng nỗ lực quản lý không có giá trị lợi ích và sẽ tốt hơn nhiều nếu dành nỗ lực cho doanh nghiệp WPA2. SSID ẩn có thể hữu ích cho việc sử dụng không bảo mật để giảm sự nhầm lẫn khi bạn có mạng doanh nghiệp và mạng truy cập công cộng trong cùng tòa nhà/khu vực. Nếu bạn ẩn các mạng không công khai, khách hàng/khách muốn kết nối với mạng truy cập công cộng của bạn sẽ không dễ bị nhầm lẫn.

1
Rod MacPherson

Một số người có thể nói rằng những biện pháp đó là cận biên hoặc vô dụng, và ở một mức độ nào đó, chúng là chính xác. Tuy nhiên, quản lý mạng là một bước để bảo mật tốt hơn. Ví dụ: lọc MAC yêu cầu bạn tìm và liệt kê mọi thiết bị trên mạng của mình. Ở nhà đây không phải là một vấn đề lớn, vì hầu hết mọi người có ít hơn hai mươi đến ba mươi thiết bị.

Vì vậy, hãy tưởng tượng rằng bạn đã tắt DHCP, địa chỉ tĩnh trên tất cả năm thiết bị bạn có thể có. Chẳng hạn, một máy tính xách tay, PlayStation, hai điện thoại di động và máy tính bảng. (Điển hình cho một gia đình nhỏ.)

Đó không phải là nhiều thiết bị. Vì vậy, bây giờ hãy tưởng tượng rằng bạn thực sự làm phiền một hacker và anh ta đang nhắm mục tiêu cho bạn, cố gắng tìm thứ gì đó ngon ngọt. Anh ấy đã thiết kế theo cách của mình để tìm mật khẩu WPA2 của bạn. Bây giờ anh ta chỉ cần giả mạo địa chỉ MAC của bạn và chọn một IP có sẵn.

Vì vậy, ... kịch bản 1: Anh ta quyết định giả mạo máy tính xách tay của bạn. Anh ta giả mạo MAC của bạn và sử dụng cùng một IP. Điều này làm việc cho các hacker trong khoảng ba mươi phút. Sau đó, bạn quyết định bạn muốn xem Netflix. Bạn mở máy tính xách tay của bạn và bạn A: Không thể kết nối hoặc B: Windows cho bạn biết có xung đột IP. (Mà nó sẽ). Đoán xem cái gì? Bạn chỉ nhận ra một cái gì đó đang xảy ra mà không nên. Hacker (vì là WiFi), tốt hơn là sử dụng ăng-ten Yagi từ một phần tư dặm, bởi vì anh ta đã bị bắt. Bạn thắng. Vì bạn quản lý mạng của mình, bạn sẽ biết nếu ai đó thực hiện thay đổi cấu hình hoặc nếu một trong các thiết bị của bạn bắt đầu gặp sự cố kết nối.

Câu chuyện dài, nó có thể không giữ anh ta ra. Nhưng nó sẽ làm cho nó khó khăn hơn để che giấu.

0
Aaron