Маскировка сети

Маскировка сети — это метод обеспечения безопасности сети путем сокрытия устройств за сетевым шлюзом .

Обзор

Маскировка сети может обеспечить большую безопасность работы, скрывая устройства от хакеров. Чтобы получить доступ к сети за шлюзом, авторизованный пользователь должен пройти аутентификацию на шлюзе, прежде чем он позволит ему видеть устройства, к которым ему разрешен доступ политикой безопасности.

Маскировка сети скрывает устройства через систему маскировки. Она отличается от брандмауэра, который пропускает определенные типы трафика. Система не реагирует на сканирование, а устройства за ней не могут быть обнаружены или проанализированы, что предотвращает использование известных или уязвимых мест нулевого дня . Доступ к внутренним устройствам возможен только при подключении через защищенный туннель.

Вторичное использование:

Термин также использовался для обозначения безопасности беспроводной сети путем сокрытия имени сети ( идентификатора набора услуг ) от публичного вещания. Многие маршрутизаторы поставляются с этой опцией как стандартной функцией в меню настройки, доступ к которому осуществляется через веб-браузер.

Маскировка сети может помешать неопытным пользователям получить доступ к сети, но в остальном ее следует считать минимальной мерой безопасности.

Более безопасные формы беспроводной безопасности включают WPA и WPA2 . ^[1] WEP , WPA, WPA2 и другие технологии шифрования могут использоваться в сочетании со скрытием SSID .

Преимущества

Небольшое преимущество в плане безопасности

Скрытие имени сети может не удержать злоумышленников от подключения к сети. Скрытие SSID удаляет его из кадров маяка , но это только один из нескольких способов, которыми SSID может быть обнаружен. ^[1] Когда пользователи решают скрыть имя сети на странице настройки маршрутизатора, это только установит SSID в кадре маяка на null , но есть четыре других способа, которыми передается SSID. Фактически, скрытие трансляции SSID на маршрутизаторе может привести к тому, что сетевой контроллер интерфейса (NIC) будет постоянно раскрывать SSID, даже если он находится вне зоны действия. ^[2]

Улучшение удобства использования

Скрытие имени сети улучшает опыт пользователей, подключающихся к беспроводным сетям в густонаселенных районах. Если сеть не предназначена для публичного использования и не транслирует свой SSID, она не будет отображаться в списке доступных сетей на клиентах. Это упрощает выбор для пользователей.

Организации могут решить скрыть SSID Wi-Fi, предназначенный для использования сотрудниками и предварительно настроенный на корпоративных устройствах, в то время как сети, предназначенные для посетителей (т. е. «гостевые сети»), будут транслировать SSID. Таким образом, авторизованные пользователи будут подключаться к корпоративной сети как предварительно настроенной, в то время как посетители будут видеть только «гостевую сеть» и будут меньше путаться в том, какой SSID использовать.

Недостатки

Ложное чувство безопасности

Хотя маскировка сети может добавить небольшое чувство безопасности, люди часто не осознают, насколько легко обнаружить скрытые сети. Из-за различных способов трансляции SSID маскировка сети не считается мерой безопасности. Использование шифрования, предпочтительно WPA или WPA2, более безопасно. Даже WEP, хотя и слабый и уязвимый, обеспечивает большую безопасность, чем скрытие SSID. Существует множество программ, которые могут сканировать беспроводные сети, включая скрытые, и отображать их информацию, такую ​​как IP-адреса, SSID и типы шифрования. Эти программы способны «вынюхивать» любые беспроводные сети в радиусе действия, по сути, прослушивая и анализируя сетевой трафик и пакеты для сбора информации об этих конкретных сетях. ^{[3] [4]} Причина, по которой эти программы могут вынюхивать скрытые сети, заключается в том, что когда SSID передается в различных кадрах, он отображается в открытом тексте (незашифрованном формате), и поэтому может быть прочитан любым, кто его нашел. Подслушиватель может пассивно прослушивать беспроводной трафик в этой сети, оставаясь незамеченным (с помощью программного обеспечения вроде Kismet ), и ждать, пока кто-то подключится, раскрывая SSID. В качестве альтернативы существуют более быстрые (хотя и обнаруживаемые) методы, когда взломщик подделывает «кадр разъединения», как будто он пришел с беспроводного моста, и отправляет его одному из подключенных клиентов; клиент немедленно повторно подключается, раскрывая SSID. ^{[5] [6]} Вот некоторые примеры таких программ для прослушивания :

Пассивный:

• KisMAC
• Кисмет
• Прадс
• ESSID-Джек

Активный:

• NetStumbler
• inSSIDer

Недостатком пассивного сканирования является то, что для сбора какой-либо информации клиент, уже подключенный к этой конкретной сети, должен генерировать и, следовательно, предоставлять сетевой трафик для анализа. ^[7] Затем эти программы могут обнаружить замаскированные сети и их SSID, просматривая кадры информации, такие как: ^[8]

• Кадры зондирующего запроса. Кадры зондирующего запроса отправляются клиентским компьютером в незашифрованном виде при попытке подключения к сети. Этот незащищенный кадр информации, который может быть легко перехвачен и прочитан кем-то желающим, будет содержать SSID.
• Кадры ответов зонда. В ответ на запрос зонда запрашиваемая станция отправит обратно кадр информации, также содержащий SSID и другие сведения о сети.
• Кадры запроса ассоциации. Кадр запроса ассоциации — это то, с чего начинается процесс инициализации связи между компьютером и точкой доступа. После правильной ассоциации точка доступа сможет назначить некоторые из своих ресурсов контроллеру сетевого интерфейса (NIC). Опять же, в ходе этого процесса передается SSID.
• Кадры запроса на повторную ассоциацию. Кадры запроса на повторную ассоциацию передаются, когда NIC замечает более сильный сигнал от другой точки доступа и переключается с предыдущей. Эта новая точка доступа затем «возьмет на себя» и обработает данные, которые все еще могут быть захвачены в предыдущем сеансе. Запрос нового соединения с новым сигналом маяка, конечно, потребует передачи нового SSID. ^[9]

Из-за этих многочисленных способов, которыми имя сети продолжает транслироваться, пока сеть «замаскирована», она не полностью скрыта от настойчивых хакеров.

Хуже того, поскольку станция должна проверять наличие скрытого SSID, поддельная точка доступа может предложить подключение. ^[10] Программы, которые действуют как поддельные точки доступа, находятся в свободном доступе; например, airbase-ng ^[11] и Karma . ^[12]

Ссылки

1. Райли, Стив. "Миф против реальности: беспроводные SSID" . Получено 27 января 2012 г.
2. Дэвис, Джо. «Нешироковещательные беспроводные сети с Microsoft Windows». Microsoft Tech Net . Получено 5 февраля 2012 г.
3. Ричи, Рональд; Брайан О'Берри; Стивен Ноэль (2002). «Представление TCP/IP-подключений для топологического анализа сетевой безопасности». 18-я ежегодная конференция по приложениям компьютерной безопасности, 2002. Труды . С. 25–31. doi :10.1109/CSAC.2002.1176275. ISBN 0-7695-1828-1.
4. Роберт Московиц (2003-12-01). "Развенчание мифа о сокрытии SSID" (PDF) . Международная ассоциация компьютерной безопасности . Получено 2011-07-10 . [...] SSID — это не более чем метка группы беспроводного пространства. Его невозможно успешно скрыть. Попытки скрыть его не только потерпят неудачу, но и негативно скажутся на производительности WLAN и могут привести к дополнительному раскрытию SSID [...]
5. Джошуа Бардуэлл; Девин Акин (2005). CWNA Official Study Guide (Третье изд.). McGraw-Hill . стр. 334. ISBN  978-0-07-225538-6.
6. Вивек Рамачандран (21.04.2011). "Безопасность WLAN Megaprimer, часть 6: Взлом скрытых SSID". SecurityTube . Получено 10.07.2011 . Видеодемонстрация активного и пассивного раскрытия SSID.
7. Матети, Прабхакер. «Хакерские методы в беспроводных сетях». Кафедра компьютерных наук и инженерии: Университет штата Райт . Получено 13 февраля 2012 г.
8. Оу, Джордж. "Шесть самых глупых способов защитить беспроводную локальную сеть" . Получено 28 января 2012 г.
9. Гейер, Джим. "Понимание типов кадров 802.11" . Получено 2 февраля 2012 г.
10. "Поведение нешироковещательной сети с Windows XP и Windows Server 2003". Корпорация Microsoft. 2007-04-19 . Получено 2011-07-10 . Настоятельно рекомендуется не использовать нешироковещательные беспроводные сети. Примечание: здесь термин «нешироковещательная» означает сеть, которая не транслирует свой SSID или транслирует нулевой SSID вместо фактического SSID.
11. Вивек Рамачандран (2011-04-25). "Безопасность WLAN Megaprimer 10: Взлом изолированных клиентов". SecurityTube . Получено 2011-07-10 . Демонстрирует использование «airbase-ng» для ответа на любые запросы зондирования.
12. Dookie2000ca (2009-06-13). "Karmetasploit (Karma And Metasploit 3)" . Получено 2011-07-10 . {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка ) Демонстрирует использование «Кармы» для ответа на любые маяки-запросы зондирования.