Dieses holt uns zum Thema des Ermöglichens von von WEP, von von geschlossenem ESSIDs und von von MAC, der als Schutzmaßnahmen filtert. Solche Verteidigung ist, Sie kann "bypassable", zu es tun Sie. Jedoch gibt es ruhige stichhaltige Gründe, diesem Schutz zu ermöglichen. Ein solcher Grund ist zugelassen. Ein Angreifer, der irgendwelche dieser Gegenmaßnahmen überbrückt, kann nicht Unwissenheit plädieren und behaupten, daß seine oder Verbindung mit dem Netz lediglich versehentlich war. So können WEP oder geschlossenes ESSID als Form von Warnung Saying dienen, "wir erwarten ein bestimmtes Niveau des Privatlebens in diesem Netz; halten Sie Ihre Hände weg." Organisation Schlussen wertvollen Daten oder Werte, nachdem ein drahtlos-gegründeter Angriff für unzulängliche gebührende Sorgfalt geklagt werden kann, wenn kein Sicherheit Schutz entfaltet wurde. Jedoch wenn Grundlinie Gegenmaßnahmen eingeführt wurden, kann die Schuld irgendwo sonst verschoben werden (Hersteller, Standardentwerfer, die Literaturquellen, die behaupten, daß "statisches WEP genug ist," etc.).
|
|
Ein anderer Grund hebt den Stab an. Das Eindringen jeder möglicher Verteidigung erfordert Zeit und Bemühung. Zeitgleichgestellt-Batterieleistung und die höhere Möglichkeit von beschmutzt werden. Ein großer Anteil drahtlosen Crackern sind die "Bandbreite Blutegel" Art. Sie benutzen Laptope mit preinstalled Windows und Netstumbler, um geöffnete drahtlose Netze für einen freien Internet-Anschluß zu finden, den sie benutzen konnten, um Pornographie und warez zu downloaden oder Spam zu senden. Mit dem System und den Werkzeugen an ihrer Beseitigung, können sie nicht WEP normalerweise knacken, kundenspezifische Rahmen erzeugen, um verstecktes ESSIDs freizugeben, oder die Mann-in-d-mittlere oder DOS Angriffe Schicht 2 ausstoßen. Mit ihrem Wissen konnten sie nicht sogar können das MAC address ihrer drahtlosen Schnittstelle ändern. So schützt der Grundlinie Schutz Sie vor dieser Art des Angreifers, aber nimmt nie an, daß alle Cracker unqualifizierter dieser sind. An etwas entscheidendem Punkt konnte es nicht der Fall sein.
Auf dem Gegenteil kann richtig eingeführtes SSH Portversenden den Stab durch einen bedeutenden Seitenrand anheben. Eine gute Idee ist, Ihr sshd mit der TCP Verpackungen Unterstützung zu kompilieren und allen non-SSH Verkehr auf dem drahtlosen Netz bei der Entstörung zu verweigern aus SSH Verkehr von unbekannten IP Adressen (vergessen Sie nicht, DHCP abzustellen). Dieses kann mit MAC addresswo möglich filtern und statischen ARP Pufferspeichern erfolgreich kombiniert werden. Ein typisches Beispiel SSH des Portversendengebrauches exportiert X Fensteranwendungen über SSH:
arhontus # ssh - X - f Xserverhost xapplication_to_use
Abgesehen von dem Zur Verfügung stellen von von Datenverschlüsselung und von von Benutzerauthentisierung, würde dieses die CPU Zyklen und die Batterieleistung auf dem beweglichen Wirt konservieren. Ein anderes allgemeines Beispiel grast das Netz oder kauft online über eine Vollmacht auf der drahtlosen Einfahrt, die Ihren Grasenlernabschnitt mit SSH schützt:
arhontus # ssh - L 5777:localhost:3128 proxyhost
Stellen Sie dann Ihre Datenbanksuchroutine auf, um localhost:5777 zu verwenden, wie die HTTP Vollmacht und Sie getan werden (voraussetzend, daß die Vollmacht auf Tor 3128 auf der anderen Seite hört). Die Wahl von Tor 5777 auf einem lokalen Wirt ist vollständig gelegentlich, während die Kalmarvollmacht auf Tor 3128 auf einer unserer drahtlosen Einfahrten hört. Wenn Ihr beweglicher Wirt ein Windows Kasten ist, können Sie die third-Partei Anwendungen für SSH das Einen Tunnel anlegen verwenden. Zum Beispiel im Kitt, tun Sie das folgende:
Die Zahl möglichen Beispielen SSH des Portversendengebrauches ist endlos und wir bleiben nicht auf ihr irgendwie zu fördern. Überprüfen Sie einfach, ob Sie Protokoll SSHv2 verwenden, wenn Sie und Ihr SSH Bediener und Klienten aktuell seien Sie und haben nicht Sicherheit Bohrungen gekannt, können (oder die Möglichkeit des Seins r00ted durch Trinity in den Jahren zum zu kommen gegenüberstellen). Seien Sie so paranoid, wie wir sind. Wir haben erwähnt, daß die Rückstellung Ziffervorwähler im Linux/etc/ssh/ssh_config ist
# rechnet aes128-cbc, 3des-cbc, Blowfish-cbc-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc aus
Wir empfehlen uns, es mit zu ersetzen unhashed
Rechnet aes256-cbc, aes192-cbc, aes128-cbc, Blowfish-cbc-cbc, cast128-cbc, 3des-cbc, arcfour aus
und die folgenden Linien der Akte hinzufügend:
MACs hmac-ripemd160, hmac-sha1, hmac-md5, hmac-sha1-96, hmac-md5-96 HostKeyAlgorithms ssh-ssh-dss, ssh-rsa
Um zusammenzufassen, SSH stellt Portversenden einen schnellen und einfachen Zusatz zum traditionellen schwachen drahtlosen Schutz wie WEP und MAC-Entstörung zur Verfügung. Obgleich für einige spezifische Klimas dieses genügend sein konnte, wenn Sie nach einer kompletteren drahtlosen Sicherheit Lösung über der Sicherungsschicht suchen, empfehlen uns wir stark, IPSec zu betrachten.
|
|