Question:
Le filtrage d'adresses MAC et le masquage SSID en valent-ils toujours la peine?
Iszi
2011-01-13 23:02:25 UTC
view on stackexchange narkive permalink

Lors d'un récent examen de certification, on m'a posé une question sur les moyens de sécuriser un réseau sans fil 802.11. C'était une question à réponses multiples, mais les deux seules réponses disponibles liées à la sécurité concernaient le masquage SSID et le filtrage d'adresses MAC.

Heureusement, cette certification particulière n'était ni sans fil ni axée sur la sécurité.

Je suis conscient que ces deux éléments ne devraient certainement pas être votre seul moyen de sécuriser votre réseau sans fil, mais sont-ils toujours considérés comme valant la peine d'être mis en œuvre en plus d'une authentification et d'un chiffrement plus robustes? mécanismes?

Six réponses:
#1
+29
sysadmin1138
2011-01-13 23:57:41 UTC
view on stackexchange narkive permalink

Ce sont des pierres d'achoppement, mais pas insurmontables. Le masquage SSID peut fournir une certaine protection contre les personnes à la recherche de tout SSID sur lequel ils peuvent mettre la main, et le filtrage MAC peut empêcher les riffraff occasionnels. En tant que seules méthodes de protection d'un WLAN, elles sont assez faibles.

Pour quelqu'un qui cible spécifiquement votre réseau, le cryptage (en particulier le cryptage ininterrompu) fournira une sécurité bien meilleure. L'usurpation d'adresse MAC est triviale dans la plupart des adaptateurs de nos jours, et après avoir craqué le réseau au point de pouvoir surveiller les paquets en vol, vous pouvez obtenir une liste d'adresses MAC valides. Le SSID est également trivial à ce stade. En raison de la nature automatisée des ensembles d'outils disponibles, le filtrage MAC et le masquage SSID ne valent plus vraiment la peine. À mon avis.

Le masquage SSID n'est même pas une pierre d'achoppement car il est si simple à identifier. À moins que vous n'ayez un mot de passe facile à deviner, tout «riffraff occasionnel» ne peut pas se connecter et n'importe qui d'autre aura un logiciel pour identifier automatiquement le SSID et probablement usurper les adresses MAC. La seule chose que le masquage SSID fait est de rendre la connexion plus difficile pour les utilisateurs valides, ainsi que de compromettre sans doute la sécurité de ces appareils configurés pour se connecter. http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/ http://technet.microsoft.com/en-us/library/ bb726942.aspx # EDAA
J'ai vraiment l'impression que cela doit être annulé comme la bonne réponse et que celle ci-dessous de Rory doit être marquée.L'utilisation du filtrage d'adresses MAC est une pierre d'achoppement, mais ne fait vraiment rien contre une personne bien informée.Le masquage SSID est en fait plus un problème de sécurité qu'un avantage pour les raisons exposées par Rory dans son commentaire ci-dessus.
#2
+23
Rory
2012-05-20 23:54:23 UTC
view on stackexchange narkive permalink

Non, aucune de ces mesures n'est valable contre un attaquant. À moins que vous n'ayez un mot de passe facile à deviner, vous devez supposer que toute personne qui pourrait de manière réaliste essayer d'accéder à votre réseau dispose d'un logiciel pour vous aider ou d'un peu de connaissances sur la façon de contourner ces techniques.

Le masquage du SSID n'améliore pas la sécurité car il est simple d'identifier le SSID d'un réseau en cours d'utilisation (téléchargez et exécutez inSSIDer par exemple), et en fait cela peut compromettre la sécurité des clients sans fil configurés pour se connecter à des réseaux SSID masqués. Extrait de un article Microsoft TechNet:

l'utilisation de réseaux non diffusés compromet la confidentialité de la configuration du réseau sans fil d'un… client sans fil car il divulgue périodiquement son ensemble de réseaux sans fil non diffusés… il est fortement recommandé de ne pas utiliser de réseaux sans fil non diffusés.

Le filtrage d'adresses MAC n'améliore pas la sécurité car le trafic réseau inclut l'adresse MAC non chiffrée des périphériques réseau actifs. Cela signifie que n'importe qui peut trouver une adresse MAC figurant sur la liste autorisée, puis utiliser un logiciel disponible pour usurper son adresse MAC.

L'authentification et le cryptage sont les seuls moyens raisonnables de sécuriser votre réseau sans fil. Pour un réseau domestique, cela signifie utiliser la sécurité WPA2-PSK avec un mot de passe fort et un SSID qui ne figure pas dans la liste des 1000 SSID les plus courants.

Le filtrage d'adresses MAC en fournit peut-être un avantage: contrôler l'accès pour les utilisateurs non malveillants. Une fois que vous avez donné votre mot de passe WiFi à quelqu'un, vous n'avez aucun contrôle sur à qui il donne le mot de passe: il peut facilement le dire à ses amis, peut-être après avoir oublié qu'il ne devrait pas le faire. Le filtrage d'adresses MAC signifie que vous avez un contrôle central sur les appareils appartenant à des non-pirates peuvent se connecter.

Donc, si vous craignez que quelqu'un pirate votre réseau, oubliez le masquage SSID et le filtrage des adresses MAC. Si vous ne voulez pas que les amis de vos amis se connectent, le filtrage des adresses MAC peut vous aider ... bien qu'il soit moins compliqué de demander à vos amis de ne pas transmettre le mot de passe ou de simplement saisir le mot de passe WiFi pour eux sur n'importe quel appareil.

"un SSID qui ne figure pas dans la liste des 1000 SSID les plus courants". Pourquoi dis ça? De toute évidence, il serait déroutant et peu pratique d'utiliser l'un de ces SSID courants - mais pourquoi cela diminue-t-il la sécurité? Cela rend-il la couche de cryptage plus facile à attaquer d'une manière ou d'une autre?
Je ne me souviens pas exactement, mais je pense que c'est parce que vous pouvez générer quelque chose comme un tableau arc-en-ciel de mots de passe possibles pour les SSID les plus courants, puis le forcer. Si vous avez un SSID inhabituel, il est plus difficile de générer une telle liste de mots de passe possibles. Cela suppose que le mot de passe haché est lié au SSID, ce qui semble correct, mais je n'ai aucune référence à ce sujet.
@Rory, vous pensez probablement aux [Renderlab Church of Wifi WPA-PSK Lookup Tables] (http://www.renderlab.net/projects/WPA-tables/), utiles dans les deux [Pyrit] (https: // code .google.com / p / pyrit /) et [coWPAtty] (http://wirelessdefence.org/Contents/coWPAttyMain.htm#Precomputing_WPA_PMK_to_crack_WPA_PSK :), qui ont tous deux été rendus obscoles pour les attaquants disposant de quelques milliers de dollars ou plus (ou beaucoup moins d'argent, un accès au GPU cloud et une petite liste de cibles) par les GPU modernes et [oclHashcat] (http://hashcat.net/oclhashcat/), mais toujours TRÈS utile pour les attaquants aux ressources limitées.
#3
+5
user502
2011-01-13 23:54:58 UTC
view on stackexchange narkive permalink

Kismet et d'autres scanners rfmon complètement passifs existent depuis très longtemps. À moins que ce ne soit sur un réseau wifi domestique que vous ne partagez jamais avec les invités et auquel vous ajoutez rarement des appareils, l'augmentation marginale de la sécurité que vous obtenez grâce à ces deux actions ne vaut pas l'augmentation marginale des inconvénients.

@user502 - Je ne sais pas comment les scanners RFID ont quelque chose à faire, ou quand Kismet en est devenu un?
@user502 - si vous remplacez rfid par 802.11, je pense que vous aurez raison :-)
#4
+2
Ben
2016-04-21 00:33:55 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont répondu, le filtrage MAC et le masquage SSID n'aident pas contre un attaquant actif.

Mais, ils peuvent valoir la peine pour un certain degré de protection contre les appareils non fiables utilisés par des personnes de confiance. Je vais vous expliquer avec une situation hypothétique:

Supposons que vous ayez un routeur à la maison (ou dans une entreprise) configuré pour un "réseau invité" séparé. De nombreux routeurs domestiques rendent ce paramètre facilement disponible, utilisant souvent une clé WPA pour le réseau "domestique" principal, mais fournissant un portail captif pour le réseau invité.

Cela peut être beaucoup plus pratique (et c'est certainement plus secure) pour utiliser le réseau principal, votre famille l'utilise donc naturellement. Mais en tant que geek de la technologie que vous êtes, vous avez été certain de sécuriser tous les appareils de votre réseau domestique, en les maintenant entièrement patchés avec un antivirus, des pare-feu, etc. à jour.

Maintenant, pendant que vous êtes au travail, l'amie de votre adolescent vient passer du temps à la maison et elle apporte son ordinateur portable avec elle. Elle veut le mot de passe wifi. Vous voulez qu'elle utilise le réseau invité, car qui sait ce qu'il y a sur cet ordinateur portable?

Votre adolescent pourrait simplement donner le mot de passe Wi-Fi principal, mais vous avez configuré le filtrage des adresses MAC . Au lieu de cela, elle donne le mot de passe au réseau invité car ce serait pénible d'essayer d'obtenir l'ordinateur portable de son amie sur le réseau domestique, même si elle avait le mot de passe administrateur du routeur. Ils se plaignent d'avoir besoin de se reconnecter à chaque fois qu'elle vient, mais l'ordinateur portable non fiable reste hors de votre réseau de confiance.

#5
+1
Rod MacPherson
2013-06-17 02:35:11 UTC
view on stackexchange narkive permalink

En tant que dispositif de sécurité, le masquage du SSID ne fait pas grand-chose car pour se connecter au réseau caché, le client diffusera le SSID au lieu du point d'accès qui le diffusera, donc en surveillant passivement pendant un petit moment, vous pouvez récupérer quel est le SSID de toute façon. Le verrouillage MAC n'est pas non plus très bon pour la sécurité. Si vous surveillez passivement, vous verrez quels MAC se connectent avec succès et pouvez usurper l'un d'entre eux et vous connecter. Ce sont des fonctionnalités qui peuvent être d'une aide modérée lorsqu'elles sont combinées avec d'autres méthodes, mais l'effort de gestion n'en vaut pas l'avantage, et il serait bien préférable de consacrer l'effort au WPA2 d'entreprise. Les SSID masqués peuvent être utiles pour une utilisation non sécurisée afin de réduire la confusion lorsque vous avez des réseaux d'entreprise et des réseaux d'accès public dans le même bâtiment / zone. Si vous masquez les réseaux non publics, les clients / invités qui cherchent à se connecter à votre réseau d'accès public ne seront pas aussi facilement confondus.

#6
  0
Aaron
2018-11-26 14:34:56 UTC
view on stackexchange narkive permalink

Certains pourraient dire que ces mesures sont marginales ou inutiles et qu'elles sont, dans une certaine mesure, correctes. Cependant, la gestion du réseau est une étape vers une meilleure sécurité. Par exemple, le filtrage MAC vous oblige à rechercher et répertorier tous les appareils de votre réseau. À la maison, ce n'est pas un gros problème, car la plupart des gens ont moins de vingt à trente appareils.

Alors, imaginez que vous avez désactivé DHCP, l'adressage statique sur les cinq appareils que vous pourriez avoir. Par exemple, un ordinateur portable, une PlayStation, deux téléphones portables et une tablette. (Typique pour une petite famille.)

Ce n'est pas beaucoup d'appareils. Alors imaginons maintenant que vous avez vraiment contrarié un pirate informatique, et qu'il vous cible, essayant de trouver quelque chose de juteux. Il a conçu sa manière de trouver votre mot de passe WPA2. Maintenant, il a juste besoin d'usurper votre adresse MAC et de choisir une adresse IP disponible.

Alors ... scénario 1: Il décide d'usurper votre ordinateur portable. Il usurpe votre MAC et utilise la même adresse IP. Cela fonctionne pour le hacker pendant environ trente minutes. Ensuite, vous décidez que vous souhaitez regarder Netflix. Vous ouvrez votre ordinateur portable et vous avez soit A: Impossible de se connecter, soit B: Windows vous indique qu'il y a un conflit IP. (Ce qu'il fera). Devine quoi? Vous venez de réaliser qu'il se passe quelque chose qui ne devrait pas. Le Hacker (parce que c'est WiFi), mieux vaut utiliser une antenne Yagi à un quart de mile, car il a été pris. Vous gagnez. Comme vous gérez votre réseau, vous saurez si quelqu'un modifie la configuration ou si l'un de vos appareils commence à avoir des problèmes de connexion.

En bref, cela ne l'empêchera peut-être pas de sortir. Mais il sera plus difficile de se cacher.

Il existe donc un scénario dans lequel cela aide, mais recommander quelque chose de très complexe pour la plupart des gens, c'est mettre l'accent sur la mauvaise chose.Le choix d'un mot de passe sécurisé aide plus que cela à ajouter des couches supplémentaires qui pourraient donner un faux sentiment de sécurité.Je vois votre point de vue, mais il n'est vraiment applicable que pour ceux qui définissent probablement déjà des adresses IP statiques et autres.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...