Üdvözlök mindenkit EthicalHacking cikksorozatom 3. részében!
Előzményekért még mindig le kell tekerned alulra.
Védekezz, védekezz, és védekezz..
Úgy is mondhatnám, hogy ez a rész közkívánatra született: a 2. részből ugyanis kimaradtak a támadások elleni védekezési megoldások. Ezért tehát, mindenki örömére, most ezek kerülnek kivesézésre.
Vágjunk bele:
MAC Filtering-MAC szűrés:
Ez az egyik legelterjedtebb megoldás. Lényege igen egyszerű: csak azok a gépek léphetnek be a hálózatba, amelyek fizikai címe-MAC-Adress-megegyezik az általunk engedélyezett címekkel. Mivel elméletben a fizikai cím változtathatatlan, így biztonságos is lenne e védelem használata. Azonban sajnos ez nem így van: a MAC-cím változtatható. A régebben említett [Backtrack] Linuxban minden szükséges szoftver meg van eme egyszerű művelet végrehajtására. Elsőként a KisM*T-tel megnézzük a hálón fenn lévő klienseket-akik logikusan rajta vannak az "Engedélyezett" listán, hiszen tudtak kapcsolódni. Ezekután kiválasztjuk a nekünk szimpatikus MAC-címet, és arra állítjuk sajátunkat. Másik hátránya, hogy eléggé bonyolult engedélyezni eszközöket. Hiszen, ha mondjuk a haver átugrik, és kéne neki net, akkor ugye ki kell deríteni az ő MAC-címét, majd pontosan begépelni. Sok ember nem szereti ezt, mert bonyolult.
Viszont, a támadó elég könnyen észrevehető, ha ugyanazzal a fizikai címmel lép fel a hálóra, mint egy, már fellépett kliens, hiszen ilyenkor címütközés lép fel. Persze ha leírja az összes címet, amit lát a hálón, már sok esélye van, hogy megússza: délután fenn van a gyerek, az ő címét este használja, amikor az apa van fenn. Az apa címét meg amikor a gyerek internetezik.De, ha nincs felcsatlakozva senki a hálóra, akkor szívás van: ilyenkor a MAC-filtering valóban hatékony eszköz.
Röviden:
+ Ha nincs fenn senki, tőkéletes védelem
+ Széleskörű támogatottság
+ Könnyen észrevehető, ha megtámadnak (router-log, MAC-címütközés)
- Könnyen kijátszható
- Ha ügyes a támadó, átlag user nem veszi észre a támadást
Stop SSID-Broadcasting-SSID elrejtése
Az SSID egy nagyon fontos eleme hálózatunknak: ez a név jelenik meg, ha valaki keresgél a környéken WiFi hálózat után. Ha kikapcsoljuk szórását, akkor az alkalmi usereket távol tarthatjuk, mert ők észre se veszik, hogy ott van a hálónk. Ráadásul csak az tud csatlakozni, aki ismeri az SSID-nket. Támadásnál is nagyon fontos dolog, hogy meg legyen az áldozat neve. Van persze megoldás arra, ha valaki IgAzÁn meg akarja tudni az SSID-t:
Egyszerűen újrahitelesítésre szólít fel egy csatlakozott klienst, és sniffeli az átmenő forgalmat (DeAuthentication-request). Ez, mint már írtam, nem minden WLAN kártyával működik, pl. az elterjedt Intel2200B/G kártyával nekem nem működött. És persze ha nincs kliens csatlakozva, akkor a támadó megint meg van lőve, mint a MAC-filteringnél.
Röviden:
+Egyszerű (csak egy pipa a router-admin felületén)
+Viszonylag hatékony
- Azért mégis kijátszható
- Nem észrevehető, ha támadnak minket
IV-extension-IV-kiterjesztés
Egy kedves fórumtárs írta ezt egy üzenetben: az újabb routereken lehetőség van az IV (Initialization Vector) kiterjesztésére. Általában 48 bitesre lehet növelni az alap 24-ről. Sajnos nem találtam sok információt róla a neten, de ha tényleg kiterjeszti az IV-t, akkor megoldaná a WEP legnagyobb problémáját: az ismétlődő IV-ket. Viszont nincs ötletem, hogy milyen mértékben kompatibilis ez a régebbi eszközökkel, csak WEP-et támogató kártyákkal. Mindenesetre, ha tényleg úgy működik, ahogy a nevéből sejteni lehet, akkor mindenképpen ajánlott.
Miután áttekintettük az alapvető védelmet, térjünk rá, milyen védelmet m i n d e n k é p p e n ajánlott használni.
Minimum védelem:
Terület: Otthon, nem fontos adatok esetében
WPA/WPA2-PSK titkosítás, lehetőleg erős jelszóval. Az erős jelszó tulajdonságai:
Elején vannak számok (statisztika: a jelszavak 85%-ban a számok nem elöl, hanem középen/végén találhatóak)
Van benne speciális karakter, pl. ,;?:.()*
Nem tartalmaz semmilyen személyes információt: nem egyenlő a hálózat SSID-jével, az estleges cég nevével, az olyan szavak, mint: admin, wifi, router, net, internet logikusan szintén kerülendők. Új terület az iwiw: semmiképpen ne olyan legyen a jelszavunk, amit ilyen közösségi szájtok információi alapján könnyen kikövetkeztethet a támadó. Háziállat, régi iskola, barátnő, születési év a tipikus kategóriák.
Ajánlott védelem:
Terület: Otthon, érzékenyebb adatokkal, kisebb irodák
WPA/WPA2-PSK titkosítás, erős jelszóval, MAC-filtering és/vagy SSID-elrejtés
Maximális védelem:
Terület: Irodák, nagyon bizalmas adatokkal (ügyvédi irodák, önkormányzatok stb.)
WPA/WPA2 titkosítás hitelesített RADIUS szerverrel, véletlenszerűen generált jelszavakkal, MAC-filtering és/vagy SSID-elrejtés
Ez utóbbi már a "feltörhetetlen" kategória: a RADIUS szerver már önmagában nagyon erős biztonságot garantál, cserébe az ide megfelelő eszközparknak már meg van az ára.
Köszönöm a figyelmet, remélem egyre kevesebb WEP-es hálózattal fogok találkozni egy wardriving-túra alatt. Javaslatokat, szokásunkhoz híven a fórumba várom!
DOMy
u.i.: A következő cikk témája jelenleg (ha mást nem javasoltok a fórumban): Mit tehet egy támadó, ha már be tud lépni a hálózatba? Milyen konkrét, és egyszerű technikák, programok léteznek a hálózat lehallgatására/analizálására?
