Сетевой клоакинг

Сетевой клоакинг — это попытка обеспечить сетевую безопасность путем сокрытия устройств за сетевым шлюзом.

Обзор

Теория заключается в том, что если хакеры не могут видеть или сканировать устройства, они не могут быть атакованы. Чтобы получить доступ к сети за шлюзом, авторизованный пользователь должен пройти аутентификацию на шлюзе, а затем шлюз позволяет ему видеть устройства, доступ к которым ему разрешен в соответствии с политикой безопасности.

Сетевой клоакинг защищает устройства, находящиеся за системой клоакинга. Система не реагирует на сканирование, а стоящие за ней устройства не могут быть обнаружены или проанализированы, что предотвращает использование известных уязвимостей или уязвимостей нулевого дня. Доступ к внутренним устройствам невозможен, если они не подключены через безопасный туннель. Это отличается от брандмауэра, который пропускает определенные типы трафика и часто используется для перехвата соединений или вызова внутреннего устройства через разрешенное правило брандмауэра.

Вторичное использование:

Этот термин также использовался для обозначения безопасности беспроводной сети путем сокрытия имени сети ( идентификатора набора услуг ) от публичной трансляции. Многие маршрутизаторы имеют эту опцию в качестве стандартной функции в меню настройки, доступ к которому осуществляется через веб-браузер.

Сетевая маскировка может помешать неопытным пользователям получить доступ к сети, но в противном случае ее следует рассматривать как минимальную меру безопасности. Сетевая маскировка менее эффективна, чем статический WEP (который сам по себе уязвим, см. Конфиденциальность, эквивалентная проводной сети ).

Более безопасные формы беспроводной безопасности включают WPA ( защищенный доступ Wi-Fi ) и предпочтительно WPA2 . ^[1] WEP, WPA, WPA2 и другие технологии шифрования можно использовать вместе с сокрытием SSID.

Преимущества

Минимальная выгода для безопасности

Сокрытие имени сети может помешать менее технически подкованным людям подключиться к сети, но не остановит решительного противника. Вместо этого рекомендуется использовать WPA или WPA2. Скрытие SSID удаляет его из кадров маяка, но это лишь один из нескольких способов обнаружения SSID. ^[1] Если кто-то решит скрыть имя сети на странице настройки маршрутизатора, для SSID в кадре маяка будет установлено только значение null , но существует четыре других способа передачи SSID. Фактически, сокрытие широковещательной передачи SSID на маршрутизаторе может привести к тому, что контроллер сетевого интерфейса (NIC) будет постоянно раскрывать SSID, даже если он находится вне диапазона. ^[2]

Улучшение удобства использования

Скрытие имени сети упрощает подключение пользователей к беспроводным сетям в густонаселенных районах. Если сеть не предназначена для публичного использования и не передает свой SSID , она не будет отображаться в списке доступных сетей на клиентах. Это упрощает выбор для пользователей.

Организации могут принять решение скрыть SSID Wi-Fi, предназначенный для использования сотрудниками и предварительно настроенный на корпоративных устройствах, сохраняя при этом сети, предназначенные для посетителей (т. е. «гостевые сети»), транслирующие SSID. Таким образом, авторизованные пользователи будут подключаться к корпоративной сети в соответствии с предварительно настроенными настройками, а посетители будут видеть только «Гостевую сеть» и будут меньше запутаться в том, какой SSID использовать.

Недостатки

Ложное чувство безопасности

Хотя маскировка сети может добавить некоторое ощущение безопасности, люди часто не осознают, насколько легко обнаружить скрытые сети. Из-за различных способов передачи SSID маскировка сети не считается мерой безопасности. Использование шифрования, предпочтительно WPA или WPA2, более безопасно. Даже WEP, хотя и слабый и уязвимый, обеспечивает большую безопасность, чем сокрытие SSID. Существует множество программ, которые способны сканировать беспроводные сети, в том числе скрытые, и отображать их информацию, такую как IP-адреса, SSID и типы шифрования. Эти программы способны «обнаруживать» любые беспроводные сети в радиусе действия, по сути, подслушивая и анализируя сетевой трафик и пакеты для сбора информации об этих конкретных сетях. ^[3]^[4] Причина, по которой эти программы могут обнаруживать скрытые сети, заключается в том, что когда SSID передается в различных кадрах, он отображается в открытом виде (незашифрованном формате) и, следовательно, может быть прочитан любым, кто его нашел. Злоумышленник может пассивно прослушивать беспроводной трафик в этой сети, оставаясь незамеченным (с помощью такого программного обеспечения, как Kismet ), и ждать, пока кто-нибудь подключится, раскрывая SSID. В качестве альтернативы существуют более быстрые (хотя и обнаруживаемые) методы, при которых взломщик подделывает «кадр отключения», как если бы он пришел с беспроводного моста, и отправляет его одному из подключенных клиентов; клиент немедленно повторно подключается, раскрывая SSID. ^[5]^[6] Некоторые примеры таких программ-прослушивателей включают следующее:

Пассивный:

КисМАК
Кисмет
Прадс
ESSID-Джек

Активный:

NetStumbler
inSSID

Недостатком пассивного сканирования является то, что для сбора какой-либо информации клиент, уже подключенный к этой конкретной сети, должен генерировать и, следовательно, предоставлять сетевой трафик для анализа. ^[7] Эти программы затем смогут обнаруживать скрытые сети и их SSID, просматривая такие кадры информации, как: ^[8]

Кадры запроса зонда. Кадры запроса зонда отправляются клиентским компьютером в незашифрованном виде при попытке подключения к сети. Этот незащищенный фрейм информации, который любой желающий может легко перехватить и прочитать, будет содержать SSID.
Кадры ответа на зонд. В ответ на запрос зонда запрошенная станция отправит обратно кадр информации, также содержащий SSID, а также другие сведения о сети.
Кадры запроса ассоциации. Кадр запроса ассоциации — это то, с чего начинается процесс инициализации связи между компьютером и точкой доступа. После правильной ассоциации точка доступа сможет назначить некоторые из своих ресурсов контроллеру сетевого интерфейса (NIC). И снова в ходе этого процесса передается SSID.
Кадры запроса повторной ассоциации. Кадры запроса на повторную ассоциацию передаются, когда сетевой адаптер замечает более сильный сигнал от другой точки доступа и переключается с предыдущей. Эта новая точка доступа затем «возьмет на себя управление» и обработает данные, которые все еще могут быть получены в предыдущем сеансе. Запрос нового подключения к новому сигналу маяка, конечно, потребует передачи нового SSID. ^[9]

Из-за этих нескольких способов имя сети по-прежнему транслируется, хотя сеть «маскирована», и не полностью скрыто от настойчивых хакеров.

Хуже того, поскольку станция должна проверять скрытый SSID, поддельная точка доступа может предложить соединение. ^[10] Программы, выступающие в роли поддельных точек доступа, находятся в свободном доступе; например, авиабаза-нг ^[11] и Карма . ^[12]

Ссылки

^ Jump up to: ^а ^б Райли, Стив. «Миф против реальности: беспроводные SSID» . Проверено 27 января 2012 г.
^ Дэвис, Джо. «Нешироковещательные беспроводные сети с Microsoft Windows» . Microsoft Tech Net . Проверено 5 февраля 2012 г.
^ Ричи, Рональд; Брайан О'Берри; Стивен Ноэль (2002). «Представление возможности подключения TCP/IP для топологического анализа сетевой безопасности». 18-я ежегодная конференция по приложениям компьютерной безопасности, 2002 г. Материалы . стр. 25–31. дои : 10.1109/CSAC.2002.1176275 . ISBN 0-7695-1828-1 .
^ Роберт Московиц (1 декабря 2003 г.). «Разоблачение мифа о сокрытии SSID» (PDF) . Международная ассоциация компьютерной безопасности . Проверено 10 июля 2011 г. [...] SSID — это не что иное, как метка группы беспроводного пространства. Его невозможно успешно скрыть. Попытки скрыть его не только потерпят неудачу, но и негативно повлияют на производительность WLAN и могут привести к дополнительному раскрытию SSID [...]
^ Джошуа Бардвелл; Девин Акин (2005). Официальное учебное пособие CWNA (Третье изд.). МакГроу-Хилл . п. 334. ИСБН 978-0-07-225538-6 .
^ Вивек Рамачандран (21 апреля 2011 г.). «Мегапраймер по безопасности WLAN. Часть 6. Создание скрытых SSID» . SecurityTube . Проверено 10 июля 2011 г. Видео-демонстрация активного и пассивного раскрытия SSID.
^ Матети, Прабхакер. «Техники взлома беспроводных сетей» . Факультет компьютерных наук и инженерии: Государственный университет Райта . Проверено 13 февраля 2012 г.
^ Оу, Джордж. «Шесть самых глупых способов защитить беспроводную локальную сеть» . Проверено 28 января 2012 г.
^ Гейер, Джим. «Понимание типов кадров 802.11» . Проверено 2 февраля 2012 г.
^ «Поведение сети без широковещательной рассылки в Windows XP и Windows Server 2003» . Корпорация Майкрософт. 19 апреля 2007 г. Проверено 10 июля 2011 г. настоятельно рекомендуется не использовать нешироковещательные беспроводные сети. Примечание. Здесь термин «нешироковещательная» означает сеть, которая не передает свой SSID или передает нулевой SSID вместо фактического SSID.
^ Вивек Рамачандран (25 апреля 2011 г.). «Мегапраймер по безопасности WLAN 10: Взлом изолированных клиентов» . SecurityTube . Проверено 10 июля 2011 г. Демонстрирует использование «airbase-ng» для ответа на любые маяки запроса зонда.
^ Dookie2000ca (13 июня 2009 г.). «Карметасплоит (Карма и Метасплоит 3)» . Проверено 10 июля 2011 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка ) Демонстрирует использование «Кармы» для ответа на любые маяки запроса зонда.

[bare_url-1] Jump up to: ^а ^б Райли, Стив. «Миф против реальности: беспроводные SSID» . Проверено 27 января 2012 г.

[2] Дэвис, Джо. «Нешироковещательные беспроводные сети с Microsoft Windows» . Microsoft Tech Net . Проверено 5 февраля 2012 г.

[3] Ричи, Рональд; Брайан О'Берри; Стивен Ноэль (2002). «Представление возможности подключения TCP/IP для топологического анализа сетевой безопасности». 18-я ежегодная конференция по приложениям компьютерной безопасности, 2002 г. Материалы . стр. 25–31. дои : 10.1109/CSAC.2002.1176275 . ISBN 0-7695-1828-1 .

[4] Роберт Московиц (1 декабря 2003 г.). «Разоблачение мифа о сокрытии SSID» (PDF) . Международная ассоциация компьютерной безопасности . Проверено 10 июля 2011 г. [...] SSID — это не что иное, как метка группы беспроводного пространства. Его невозможно успешно скрыть. Попытки скрыть его не только потерпят неудачу, но и негативно повлияют на производительность WLAN и могут привести к дополнительному раскрытию SSID [...]

[5] Джошуа Бардвелл; Девин Акин (2005). Официальное учебное пособие CWNA (Третье изд.). МакГроу-Хилл . п. 334. ИСБН 978-0-07-225538-6 .

[6] Вивек Рамачандран (21 апреля 2011 г.). «Мегапраймер по безопасности WLAN. Часть 6. Создание скрытых SSID» . SecurityTube . Проверено 10 июля 2011 г. Видео-демонстрация активного и пассивного раскрытия SSID.

[7] Матети, Прабхакер. «Техники взлома беспроводных сетей» . Факультет компьютерных наук и инженерии: Государственный университет Райта . Проверено 13 февраля 2012 г.

[8] Оу, Джордж. «Шесть самых глупых способов защитить беспроводную локальную сеть» . Проверено 28 января 2012 г.

[9] Гейер, Джим. «Понимание типов кадров 802.11» . Проверено 2 февраля 2012 г.

[10] «Поведение сети без широковещательной рассылки в Windows XP и Windows Server 2003» . Корпорация Майкрософт. 19 апреля 2007 г. Проверено 10 июля 2011 г. настоятельно рекомендуется не использовать нешироковещательные беспроводные сети. Примечание. Здесь термин «нешироковещательная» означает сеть, которая не передает свой SSID или передает нулевой SSID вместо фактического SSID.

[11] Вивек Рамачандран (25 апреля 2011 г.). «Мегапраймер по безопасности WLAN 10: Взлом изолированных клиентов» . SecurityTube . Проверено 10 июля 2011 г. Демонстрирует использование «airbase-ng» для ответа на любые маяки запроса зонда.

[12] Dookie2000ca (13 июня 2009 г.). «Карметасплоит (Карма и Метасплоит 3)» . Проверено 10 июля 2011 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка ) Демонстрирует использование «Кармы» для ответа на любые маяки запроса зонда.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]