EthicalHacking-3.rész
Üdvözlök mindenkit EthicalHacking cikksorozatom 3. részében!
Védekezz, védekezz, és védekezz..
Úgy is mondhatnám, hogy ez a rész közkÃvánatra született: a 2. részbÅ‘l ugyanis kimaradtak a támadások elleni védekezési megoldások. Ezért tehát, mindenki örömére, most ezek kerülnek kivesézésre.
Vágjunk bele:
MAC Filtering-MAC szűrés:
Ez az egyik legelterjedtebb megoldás. Lényege igen egyszerű: csak azok a gépek léphetnek be a hálózatba, amelyek fizikai cÃme-MAC-Adress-megegyezik az általunk engedélyezett cÃmekkel. Mivel elméletben a fizikai cÃm változtathatatlan, Ãgy biztonságos is lenne e védelem használata. Azonban sajnos ez nem Ãgy van: a MAC-cÃm változtatható. A régebben emlÃtett [Backtrack] Linuxban minden szükséges szoftver meg van eme egyszerű művelet végrehajtására. ElsÅ‘ként a KisM*T-tel megnézzük a hálón fenn lévÅ‘ klienseket-akik logikusan rajta vannak az “Engedélyezett” listán, hiszen tudtak kapcsolódni. Ezekután kiválasztjuk a nekünk szimpatikus MAC-cÃmet, és arra állÃtjuk sajátunkat. Másik hátránya, hogy eléggé bonyolult engedélyezni eszközöket. Hiszen, ha mondjuk a haver átugrik, és kéne neki net, akkor ugye ki kell derÃteni az Å‘ MAC-cÃmét, majd pontosan begépelni. Sok ember nem szereti ezt, mert bonyolult.
Viszont, a támadó elég könnyen észrevehetÅ‘, ha ugyanazzal a fizikai cÃmmel lép fel a hálóra, mint egy, már fellépett kliens, hiszen ilyenkor cÃmütközés lép fel. Persze ha leÃrja az összes cÃmet, amit lát a hálón, már sok esélye van, hogy megússza: délután fenn van a gyerek, az Å‘ cÃmét este használja, amikor az apa van fenn. Az apa cÃmét meg amikor a gyerek internetezik.De, ha nincs felcsatlakozva senki a hálóra, akkor szÃvás van: ilyenkor a MAC-filtering valóban hatékony eszköz.
Röviden:
+ Ha nincs fenn senki, tőkéletes védelem
+ Széleskörű támogatottság
+ Könnyen észrevehetÅ‘, ha megtámadnak (router-log, MAC-cÃmütközés)
– Könnyen kijátszható
– Ha ügyes a támadó, átlag user nem veszi észre a támadást
Stop SSID-Broadcasting-SSID elrejtése
Az SSID egy nagyon fontos eleme hálózatunknak: ez a név jelenik meg, ha valaki keresgél a környéken WiFi hálózat után. Ha kikapcsoljuk szórását, akkor az alkalmi usereket távol tarthatjuk, mert Å‘k észre se veszik, hogy ott van a hálónk. Ráadásul csak az tud csatlakozni, aki ismeri az SSID-nket. Támadásnál is nagyon fontos dolog, hogy meg legyen az áldozat neve. Van persze megoldás arra, ha valaki IgAzÃn meg akarja tudni az SSID-t:
Egyszerűen újrahitelesÃtésre szólÃt fel egy csatlakozott klienst, és sniffeli az átmenÅ‘ forgalmat (DeAuthentication-request). Ez, mint már Ãrtam, nem minden WLAN kártyával működik, pl. az elterjedt Intel2200B/G kártyával nekem nem működött. És persze ha nincs kliens csatlakozva, akkor a támadó megint meg van lÅ‘ve, mint a MAC-filteringnél.
Röviden:
+Egyszerű (csak egy pipa a router-admin felületén)
+Viszonylag hatékony
– Azért mégis kijátszható
– Nem észrevehetÅ‘, ha támadnak minket
IV-extension-IV-kiterjesztés
Egy kedves fórumtárs Ãrta ezt egy üzenetben: az újabb routereken lehetÅ‘ség van az IV (Initialization Vector) kiterjesztésére. Ãltalában 48 bitesre lehet növelni az alap 24-rÅ‘l. Sajnos nem találtam sok információt róla a neten, de ha tényleg kiterjeszti az IV-t, akkor megoldaná a WEP legnagyobb problémáját: az ismétlÅ‘dÅ‘ IV-ket. Viszont nincs ötletem, hogy milyen mértékben kompatibilis ez a régebbi eszközökkel, csak WEP-et támogató kártyákkal. Mindenesetre, ha tényleg úgy működik, ahogy a nevébÅ‘l sejteni lehet, akkor mindenképpen ajánlott.
Miután áttekintettük az alapvető védelmet, térjünk rá, milyen védelmet m i n d e n k é p p e n ajánlott használni.
Minimum védelem:
Terület: Otthon, nem fontos adatok esetében
WPA/WPA2-PSK titkosÃtás, lehetÅ‘leg erÅ‘s jelszóval. Az erÅ‘s jelszó tulajdonságai:
Elején vannak számok (statisztika: a jelszavak 85%-ban a számok nem elöl, hanem középen/végén találhatóak)
Van benne speciális karakter, pl. ,;?:.()*
Nem tartalmaz semmilyen személyes információt: nem egyenlő a hálózat SSID-jével, az estleges cég nevével, az olyan szavak, mint: admin, wifi, router, net, internet logikusan szintén kerülendők. Új terület az iwiw: semmiképpen ne olyan legyen a jelszavunk, amit ilyen közösségi szájtok információi alapján könnyen kikövetkeztethet a támadó. Háziállat, régi iskola, barátnő, születési év a tipikus kategóriák.
Ajánlott védelem:
Terület: Otthon, érzékenyebb adatokkal, kisebb irodák
WPA/WPA2-PSK titkosÃtás, erÅ‘s jelszóval, MAC-filtering és/vagy SSID-elrejtés
Maximális védelem:
Terület: Irodák, nagyon bizalmas adatokkal (ügyvédi irodák, önkormányzatok stb.)
WPA/WPA2 titkosÃtás hitelesÃtett RADIUS szerverrel, véletlenszerűen generált jelszavakkal, MAC-filtering és/vagy SSID-elrejtés
Ez utóbbi már a “feltörhetetlen” kategória: a RADIUS szerver már önmagában nagyon erÅ‘s biztonságot garantál, cserébe az ide megfelelÅ‘ eszközparknak már meg van az ára.
Köszönöm a figyelmet, remélem egyre kevesebb WEP-es hálózattal fogok találkozni egy wardriving-túra alatt.
DOMy
