L'utilité du filtrage fermé d'IMPER de WEP ESSIDs et du expédition gauche de SSH

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Ceci nous apporte à la matière de permettre WEP, ESSIDs fermé, et IMPER filtrant en tant que mesures de sauvegarde. De telles défenses sont "bypassable", vous savent à faites-le. Cependant, il y a des raisons saines encore de permettre ces sauvegardes. Une telle raison est légale. Un attaquant qui dévie n'importe lequel de ces contre-mesures ne peut pas parler en faveur l'ignorance et réclamer que son association avec le réseau était purement accidentelle. Ainsi, WEP ou ESSID fermé peut servir de forme d'énonciation d'avertissement, "nous s'attend à un certain niveau d'intimité sur ce réseau ; gardez vos mains au loin." Des données valables perdantes ou capitaux d'organisation après qu'une attaque sans fil-basée puisse être poursuivie pour la diligence insuffisante si aucune sauvegarde de sécurité n'était déployée. Cependant, si des contre-mesures de ligne de base étaient mis en application, le blâme peut être décalé quelque part autrement (des fabricants, des concepteurs de normes, des sources documentaires réclamant que "WEP statique est assez," etc.).

Une autre raison soulève la barre. La pénétration de toutes les défenses exige le temps et l'effort. Puissance de batterie d'égales de temps et la possibilité plus élevée d'être repèré. Une grande proportion de biscuits sans fil sont le type "de sangsue de largeur de bande". Ils utilisent des ordinateurs portatifs avec preinstalled Windows et Netstumbler pour trouver les réseaux sans fil ouverts pour un raccordement libre d'Internet, qu'ils pourraient employer pour télécharger la pornographie et le warez ou pour envoyer le Spam. Avec le système et les outils à leur disposition, ils habituellement ne peuvent pas fendre WEP, produire des armatures faites sur commande pour révéler ESSIDs caché, ou lancer la couche 2 homme-dans-le-moyenne ou des attaques de DOS. Avec leur connaissance ils ne pourraient pas même savoir changer le MAC address de leur interface sans fil. Ainsi, les sauvegardes de ligne de base vous protégeront contre ce genre d'attaquant, mais ne supposent jamais que tous les biscuits sont ceci incompétent. À un certain point crucial ce ne pourrait pas être le cas.

Au contraire, le expédition gauche correctement mis en application de SSH peut soulever la barre par une marge significative. Une bonne idée est compiler votre sshd avec l'appui d'emballages de TCP et de nier tout le trafic de non-SSH sur le réseau sans fil tout en filtrant hors du trafic de SSH des adresses inconnues d'IP (n'oubliez pas d'arrêter DHCP). Ceci peut être avec succès combiné avec le filtrage de MAC address et les cachettes statiques d'arp si possible. Un exemple typique de l'utilisation gauche de expédition de SSH exporte des applications de fenêtre de X par l'intermédiaire de SSH : 


  arhontus # ssh - X - xapplication_to_use de f Xserverhost

Indépendamment de fournir le chiffrage de données et l'authentification d'utilisateur, ceci préserverait les cycles d'unité centrale de traitement et la puissance de batterie sur le centre serveur mobile. Un autre exemple commun passe en revue le Web ou fait des emplettes en ligne par l'intermédiaire d'une procuration sur le passage sans fil protégeant votre session de lecture rapide avec SSH :

  arhontus # ssh - L proxyhost de 5777:localhost:3128

Installez alors votre navigateur pour employer localhost:5777 comme la procuration et vous de HTTP sont faits (fournissant que la procuration écoute sur le port 3128 de l'autre côté). Le choix du port 5777 sur un centre serveur local est complètement aléatoire, tandis que la procuration de calmar écoute sur le port 3128 sur un de nos passages sans fil. Si votre centre serveur mobile est une boîte de Windows, vous pouvez employer les tiers applications pour le perçage d'un tunnel de SSH. Par exemple, en mastic, faites ce qui suit :

  1. À partir du menu du côté gauche de la fenêtre de configuration, choisissez le raccordement - > SSH - > des tunnels.

  2. Sous ajoutez le nouveau port expédié, écrivent le nombre gauche que votre ordinateur va écouter comme port de source.

  3. Pour la destination, écrivez localhost:5777.

  4. Assurez-vous que le bouton local est choisi et cliquez le bouton d'ajouter.

  5. La règle gauche nouvellement supplémentaire de expédition devrait apparaître dans la boîte expédiée de ports. Si vous devez enlever le port expédié, le choisir et cliquer le bouton d'enlèvement.

  6. Économiser vos changements en allant de nouveau à la page de session et en cliquant économiser.

  7. Maintenant nous avons défini le tunnel gauche de expédition. Pour le rendre actif, ouvrez une session simplement au serveur de SSH.

Le nombre d'exemples possibles de l'utilisation gauche de expédition de SSH est sans fin et nous ne demeurerons pas là-dessus pour promouvoir. Assurez-vous juste que vous employez le protocole SSHv2 si vous pouvez et votre serveur et clients de SSH soyez à jour et n'avez pas connu des trous de sécurité (ou faire face à la possibilité d'être r00ted par Trinity en années à venir). Soyez aussi paranoïde que nous sommes. Nous avons mentionné que le choix de chiffres de défaut dans le Linux/etc/ssh/ssh_config est 


  # chiffre aes128-cbc, 3des-cbc, le 
blowfish-cbc-cbc, cast128-cbc, l'arcfour, aes192-cbc, aes256-cbc

Nous recommandons de le remplacer avec unhashed

  Chiffre aes256-cbc, aes192-cbc, aes128-cbc, le 
blowfish-cbc-cbc, cast128-cbc, 3des-cbc, arcfour

et ajoutant les lignes suivantes au dossier :

  Impers hmac-ripemd160, hmac-sha1, hmac-md5, hmac-sha1-96, 
hmac-md5-96 HostKeyAlgorithms ssh-SAD, ssh-rsa

Pour récapituler, le expédition gauche de SSH fournit une adjonction rapide et facile aux sauvegardes sans fil faibles traditionnelles telles que le filtrage de WEP et d'IMPER. Bien que pour quelques environnements spécifiques ceci pourrait être suffisant, si vous recherchez une solution sans fil plus complète de sécurité au-dessus de la couche liaison de données, nous recommandons vivement de considérer IPSec.

c'est un article supplémentaire par Hazrul Aaron


Déni : Notre site Web n'est pas responsable de l'information contenue par cet article. Cet article reflète nullement les vues, les avis, les pensées ou la croyance du personnel d'annuaire d'articles.

Notification de traduction : L'article "l'utilité de WEP a fermé l'IMPER d'ESSIDs filtrant et le expédition gauche de SSH" a été traduit en utilisant un service de traduction automatisé. Nous faisons des excuses sincèrement pour toutes les erreurs de traduction qui se sont produites. Merci de l'arrangement.


Online: 1227 users browsing the articles directory