it-swarm-es.com

¿Todavía vale la pena el filtrado de direcciones MAC y la ocultación de SSID?

En un examen de certificación reciente, me presentaron una pregunta sobre las formas de asegurar una red inalámbrica 802.11. Era una pregunta de respuestas múltiples, pero las dos únicas respuestas disponibles que se relacionaban en absoluto con la seguridad eran abordar el ocultamiento de SSID y el filtrado de direcciones MAC.

Afortunadamente, esta certificación en particular no estaba centrada en la seguridad inalámbrica ni en la inalámbrica.

Soy consciente de que estos dos definitivamente no deberían ser su medio solo de proteger su red inalámbrica, pero ¿realmente se considera que vale la pena implementarlos además de mecanismos de encriptación y autenticación más robustos?

33
Iszi

Son piedras de tropiezo, pero no insuperables. La ocultación de SSID puede proporcionar cierta protección a las personas que buscan cualquier SSID que puedan tener en sus manos, y el filtrado MAC puede mantener a raya casual. Como los únicos métodos para proteger una WLAN son bastante débiles.

Para alguien que se dirige específicamente a su red, el cifrado (especialmente el cifrado ininterrumpido) proporcionará una seguridad mucho mejor. La suplantación de MAC es trivial en la mayoría de los adaptadores en estos días, y después de haber descifrado la red hasta el punto de poder monitorear los paquetes en vuelo, puede obtener una lista de direcciones MAC válidas. SSID es trivial en ese punto también. Debido a la naturaleza automatizada de los conjuntos de herramientas disponibles, el filtrado MAC y la ocultación de SSID ya no valen la pena. En mi opinión.

29
sysadmin1138

No, ninguno de estos vale la pena medidas contra un atacante. A menos que tenga una contraseña fácil de adivinar, debe asumir que cualquier persona que realmente intente obtener acceso a su red tiene software para ayudarlo o un poco de conocimiento sobre cómo sortear tales técnicas.

La ocultación del SSID no mejora la seguridad, ya que es trivial identificar el SSID de una red que está en uso (descargar y ejecutar inSSIDer por ejemplo), y de hecho puede comprometer la seguridad de los clientes inalámbricos que están en uso. configurado para conectarse a redes SSID ocultas. De n artículo de Microsoft TechNet :

el uso de redes sin transmisión compromete la privacidad de la configuración de la red inalámbrica de un ... cliente inalámbrico porque divulga periódicamente su conjunto de redes inalámbricas preferidas sin transmisión ... se recomienda encarecidamente que no utilice redes inalámbricas sin transmisión.

el filtrado de direcciones MAC no mejora la seguridad ya que el tráfico de red incluye la dirección MAC sin cifrar de los dispositivos de red activos. Esto significa que cualquiera puede encontrar una dirección MAC que esté en la lista permitida y luego usar fácilmente el software disponible para falsificar su dirección MAC.

La autenticación y el cifrado son las únicas formas razonables de proteger su red inalámbrica. Para una red doméstica, eso significa usar la seguridad WPA2-PSK con una contraseña segura y un SSID que no está en la lista de los 1000 SSID más comunes .

El filtrado de direcciones MAC quizás brinde un beneficio: controlar el acceso para usuarios no maliciosos. Una vez que le has dado a alguien tu contraseña de WiFi, no tienes control sobre a quién le dan la contraseña: pueden decirle fácilmente a sus amigos, tal vez después de olvidar que no deberían hacerlo. El filtrado de direcciones MAC significa que tiene un control central sobre los dispositivos que pueden pertenecer a personas que no son piratas informáticos.

Entonces, si le preocupa que alguien piratee su red, olvide la ocultación de SSID y el filtrado de direcciones MAC. Si no desea que los amigos de sus amigos se conecten, el filtrado de direcciones MAC podría ayudar ... aunque sería menos complicado pedirles a sus amigos que no pasen la contraseña o simplemente ingresen la contraseña de WiFi en cualquier dispositivo.

23
Rory

Kismet y otros escáneres rfmon completamente pasivos han existido durante mucho, mucho tiempo. A menos que esté en una red wifi doméstica que nunca comparta con los invitados y rara vez agregue dispositivos, el aumento marginal en la seguridad que obtiene de esas dos acciones no vale el aumento marginal en las molestias.

5
user502

Como han respondido otros, el filtrado de MAC y la ocultación de SSID no ayudan contra un atacante activo.

Sin embargo, pueden valer la pena para algún grado de protección contra dispositivos no confiables utilizados por personas en su mayoría de confianza. Explicaré con una situación hipotética:

Supongamos que tiene un enrutador en casa (o en una empresa) configurado para una "red de invitados" separada. Muchos enrutadores domésticos hacen que esta configuración esté fácilmente disponible, a menudo utilizando una tecla WPA) para la red primaria "doméstica", pero proporcionando un portal cautivo para la red de invitados.

Puede ser mucho más conveniente (y definitivamente es más seguro) usar la red primaria, por lo que su familia lo usa naturalmente. Pero como eres un experto en tecnología, te has asegurado de proteger todos los dispositivos en tu red doméstica, manteniéndolos completamente parcheados con antivirus, firewalls, etc.

Ahora, mientras estás en el trabajo, la amiga de tu adolescente viene a pasar el rato en la casa y ella trae su computadora portátil con ella. Ella quiere la contraseña wifi. Quieres que use la red de invitados, porque ¿quién sabe qué hay en esa computadora portátil?

Su hijo adolescente podría simplemente proporcione la contraseña wifi principal, pero ha configurado el filtrado de direcciones MAC. Entonces, en cambio, le da la contraseña a la red de invitados porque sería difícil tratar de obtener la computadora portátil de su amiga en la red doméstica, incluso si tuviera la contraseña de administrador del enrutador. Se quejan de la necesidad de volver a conectarse cada vez que ella viene, pero la computadora portátil no confiable permanece fuera de su red de confianza.

2
Ben

Como dispositivo de seguridad, la ocultación de SSID no hace mucho porque para conectarse a la red oculta, el cliente transmitirá el SSID en lugar del punto de acceso que lo transmite, por lo que al monitorear pasivamente por un momento puede recoger lo que el SSID es de todos modos El bloqueo de MAC tampoco es muy bueno para la seguridad. Si está monitoreando pasivamente, verá qué MAC se conectan con éxito y puede suplantar uno de ellos y conectarse usted mismo. Estas son características que pueden ser de ayuda moderada cuando se combinan con otros métodos, pero el esfuerzo de gestión no vale la pena, y sería mucho mejor gastar el esfuerzo en WPA2 empresarial. Los SSID ocultos pueden ser útiles para el uso no seguro de reducir la confusión cuando tiene redes comerciales y redes de acceso público en el mismo edificio/área. Si oculta las redes no públicas, los clientes/invitados que deseen conectarse a su red de acceso público no se confundirán tan fácilmente.

1
Rod MacPherson

Algunos podrían decir que esas medidas son marginales o inútiles, y hasta cierto punto son correctas. Sin embargo, la administración de la red es un paso hacia una mejor seguridad. Por ejemplo, el filtrado MAC requiere que encuentre y enumere todos los dispositivos de su red. En casa esto no es gran cosa, ya que la mayoría de las personas tienen menos de veinte a treinta dispositivos.

Entonces, imagine que tiene DHCP deshabilitado, direccionamiento estático en los cinco dispositivos que pueda tener. Por ejemplo, una computadora portátil, una PlayStation, dos teléfonos celulares y una tableta. (Típico para una familia pequeña).

Eso no es muchos dispositivos. Entonces, imaginemos que realmente ha molestado a un pirata informático, y él está apuntando a usted, tratando de encontrar algo jugoso. Ha sido diseñado socialmente para encontrar su contraseña WPA2. Ahora solo necesita falsificar su dirección MAC y elegir una IP disponible.

Entonces ... escenario 1: Decide falsificar su computadora portátil. Falsifica tu MAC y usa la misma IP. Esto funciona para el hacker durante unos treinta minutos. Entonces decides que quieres ver Netflix. Abre su computadora portátil y A: No se puede conectar, o B: Windows le dice que hay un conflicto de IP. (Que lo hará). ¿Adivina qué? Te acabas de dar cuenta de que algo está sucediendo que no debería. El Hacker (porque es WiFi), mejor use una antena Yagi a un cuarto de milla de distancia, porque lo han atrapado. Tú ganas. Debido a que administra su red, sabrá si alguien realiza un cambio de configuración o si uno de sus dispositivos comienza a tener problemas de conexión.

Larga historia corta, puede que no lo mantenga fuera. Pero hará que sea más difícil esconderse.

0
Aaron