WiFi `Hall Of Shame'

George Ou publikált egy cikket a blogján, ahol csokorba gyűjtötte a hat legostobább védekezési módot WiFi témakörben. George az elmúlt három évben megpróbálta eloszlatni a legendákat WiFi security témakörben, de minden alkalommal, amikor publikált, jött valaki, aki újra és újra felhozta ezeket a tippeket. A legszomorúbb szerinte azonban az, hogy ezt, magukat WiFi security guruknak hivó emberek is megteszik.

A másik hatalmas hibát a gyártók követik el, akik még mindíg úgy hírdetik az eszközeiket, hogy az alkalmazható biztonsági megoldások elegendőek egy hálózat megvédésére. Természetesen lehet azt mondani, hogy az otthoni felhasználók számára elegendo a MAC szűrés, a 128 bites WEP használata és az SSID broadcast letiltása. Ez szép és jo, mert ugye azt mondják az okosok, hogy az átlag wardriveoló `hekker' nem fog nekiállni WEP-et sniffelni és törni egy egy gépes hálózat miatt. Erre azonban nem lenne szabad alapozni.

Akik idáig eljutottak az olvasással elgondolkodhattak azon, hogy ezek a problémák nem újdonságok, miért kell ezt újra és újra ismételni. Ugye elcsépelt közhelynek számit már az `Ismétlés a tudás anyja' című szónoklat, amit bizonyára mindenki hallhatott otthon, vagy az iskolában, viszont igaz. Vagy legalább is szeretnénk ha igaz lenne, bár nem mindíg az.

Nézzük tehát a `Hall Of Shame'-et:

MAC filterezés
Ez egy olyan tipusú védekezés, mintha egy biztonsági embernek a kezébe nyomunk egy adag papírt, rajta nevekkel. Amikor be akar menni valaki az ajtón, a bacsi megnézi a névkártyát a belépni szándékozó ruháján, összehasonlítja a listával, ha rajta van mehet, ha nincs, kinntmarad. A probléma ezzel az, hogy elég egy névjegykártyát megnézni, azt kitűzni a mellkasunkra, és máris beléphetünk. A WiFi hálózatoknál ugye a MAC címek ( is ) titkosítatlanulé utaznak, tehát elég addig sniffelni, amig egy kliens nem kapcsolódik a hálózathoz, és máris megvan a spoofolható MAC cím.

SSID broadcast kikapcsolása
Na ilyen nincs. Vagyis van, de csak részleges, ugyanis az SSID broadcast kikapcsolás menüpont csak a beaconingra vonatkozik. Ezen kívül még négy fajta SSID broadcast van: probe requests, probe responses, association requests, és re-association request. Tehát ezzel a hasznos funkcióval egy dolgot érhetünk el: nehezítjük saját dolgunkat. Gondoljuk végig, egy nagyobb iroda esetén lehetetlenné tesszük a roamingot, a klienseknek pedig egyesével be kell írni az SSID-t.

LEAP
A Cisco LEAP azonosítás az egyik legnagyszerűbb hiba, amit egy cég elkövethet a WLAN-ja megvédésére. Az igaz, hogy a Cisco még mindíg állítja, hogy a LEAP remek megoldás, ha elég hosszú egy jelszó, de ha belegondolunk nincs olyan önsanyargató, paranoid rendszergazda sem, aki 25-30 karakter hosszű jelszavakat szeretne megjegyezni. Hát még a felhasználók. Ki próbálta már feltörni a felhasználói jelszavait? Legalább egyszer érdemes megpróbálni...

DHCP letiltása
Időpocsékolás. Egy komolyabb támadónak nagyjából 10 másodpercre van szüksége, hogy megnézze a hálózati topológiát. Cserébe viszont szintén megnehezítjük a dolgunkat, amikor anyukánknak akarjuk elmagyarázni, hogy miért ( és hova! ) is kell pontokból meg számjegyekből álló érthetetlen kódsort pötyögni a céges laptopba, amikor azt otthon akarja használni.

AP elhelyezés
Nos igen, az AP helyének meghatározása és az antennák adóerejének levétele sokak szerint egy jó védekezési mód, mert így a támadónak egész közel kell jönni ( `hekker' a parkolóban effektus ), hogy a hálózatunkkal valamit csináljon. Namost ezzel az a helyzet, hogy a támadónak mindíg nagyobb. Mármint az antennája. Emiatt megfelelő rálátással akár 1 - 1,5 kilóméterről is nézelődhet az intranetünkön anélkül, hogy egy darab autó is állna az épület előtti parkolóban.

802.11a
Van egy rossz hírem. Ez is rádiós. Hja, ezt ugyan úgy lehet sniffelni, lehet támadni, és lehet rá csatlakozni, mint a b/g-s testvérére.

A listába nem került be a WEP. Ennek az az oka, hogy bár egy nagyon könnyen feltörhető titkosítás, mégis tudja magát tartani pár percig, és esetlegesen a kevésbé ügyes támadó ( köznapi néven script kiddie :) ) el is vérezhet a próbálkozások során. A másik ok, hogy a WEP-ről már elterjedt, hogy nem biztonságos ( ettől függetlenül még nagyon sokan használják ), így nincsenek róla mendemondák, és nem sokan próbálják bebizonyítani, hogy ez a legjobb megoldás a WiFi megvédésére.

Mi a megoldás? Természetesen nem várható el mindenkitől, hogy WLAN tudor legyen, sem az, hogy mindenféle WPA Enterprise és Radius szervert üzemeltessen otthon. Ha azonban valaki rászán egy kis időt és energiát, akkor egész biztonságos hálózatot tud kialakítani magának otthon, vagy az irodája számára. Szintén George Ou irása megtalálható itt

Linkek:

Ou blog
Security rating