Ciò li porta al soggetto di permettere WEP, ESSIDs chiuso ed il MAC che filtra come misure di difesa. Tali difese sono "bypassable", voi conoscono come a facciala. Tuttavia, ci sono motivi sani ancora permettere queste misure di sicurezza. Un tale motivo è legale. Un attacker che esclude c'è ne di queste contromisure non può supplicare l'ignoranza e sostenere che la sua associazione con la rete era puramente accidentale. Quindi, WEP o ESSID chiuso può servire da forma del detto di avvertimento, "noi prevede un determinato livello della segretezza su questa rete; mantenga le vostre mani fuori." I dati importanti perdenti o beni di organizzazione dopo che un attacco senza fili-basato possa essere citato per diligence dovuto insufficiente se nessuna misura di sicurezza di sicurezza fosse schierata. Tuttavia, se le contromisure della linea di base fossero effettuate, la colpa può essere spostata in qualche luogo altrimenti (fornitori, progettisti di campioni, fonti di letteratura che sostengono che "WEP statico è abbastanza," ecc.).
|
|
Un altro motivo sta alzando la barra. Penetrare tutte le difese richiede il tempo e lo sforzo. Potenza della batteria dei uguali di tempo e l'più alta possibilità di macchia. Una proporzione grande dei cracker senza fili è "il tipo del leech di larghezza di banda". Utilizzano i laptops con preinstalled Windows e Netstumbler per trovare le reti senza fili aperte per un collegamento libero del Internet, che potrebbero usare per trasferire la pornografia ed il warez dal sistema centrale verso i satelliti o per trasmettere lo Spam. Con il sistema e gli attrezzi a loro disposizione, non possono spezzare WEP, generare le strutture su ordinazione per rilevare ESSIDs nascosto, o lanciare solitamente lo strato 2 uomo-in-$$$-CENTRALE o attacchi del DOS. Con la loro conoscenza non potrebbero neppure sapere cambiare il MAC address della loro interfaccia senza fili. Quindi, le misure di sicurezza della linea di base li proteggeranno da questo genere di attacker, ma mai non suppongono che tutti i cracker sono questo incompetente. Ad un certo punto cruciale non ha potuto essere il caso.
Al contrario, la spedizione port correttamente effettuata di SSH può alzare la barra di un margine significativo. Una buona idea è di compilare il vostro sshd con il supporto degli involucri di TCP e negare tutto il traffico del non-SSH sulla rete senza fili mentre filtra verso l'esterno il traffico di SSH dagli indirizzi sconosciuti del IP (non si dimentichi di spegnere DHCP). Ciò può essere unita con successo con la filtrazione di MAC address ed i nascondigli statici di ARP nel possibile. Un esempio tipico di uso port di spedizione di SSH sta esportando le applicazioni della finestra di X via SSH:
arhontus # ssh - X - xapplication_to_use di f Xserverhost
Oltre a fornire la crittografia di dati e l'autenticazione dell'utente, questo conserverebbe i cicli del CPU e la potenza della batteria sull'ospite mobile. Un altro esempio comune sta passando in rassegna il fotoricettore o sta acquistando in linea via una procura sul Gateway senza fili che protegge la vostra sessione di lettura rapida con SSH:
arhontus # ssh - L proxyhost di 5777:localhost:3128
Allora installi il vostro browser per usare localhost:5777 come la procura e voi del HTTP sono fatti (assicurando che la procura ascolta su orificio 3128 dall'altro lato). La scelta di orificio 5777 su un ospite locale è completamente casuale, mentre la procura del calamaro ascolta su orificio 3128 su uno dei nostri Gateway senza fili. Se il vostro ospite mobile è una scatola di Windows, potete usare le applicazioni di terzi per il traforo di SSH. Per esempio, in mastice, faccia quanto segue:
Il numero di esempi possibili di uso port di spedizione di SSH è infinito e non abiteremo su esso affatto per avanzare. Assicurisi appena che usate il protocollo SSHv2 se potete ed il vostro assistente e clienti di SSH sia aggiornato e non hanno conosciuto i fori di sicurezza (o affrontare la possibilità di essere r00ted da Trinity durante gli anni da venire). Sia paranoid come siamo. Abbiamo accennato che la selezione di cifre di difetto nel Linux/etc/ssh/ssh_config è
# fa calcoli aes128-cbc, 3des-cbc, il blowfish-cbc-cbc, cast128-cbc, il arcfour, aes192-cbc, aes256-cbc
Suggeriamo sostituirli con unhashed
Fa calcoli aes256-cbc, aes192-cbc, aes128-cbc, il blowfish-cbc-cbc, cast128-cbc, 3des-cbc, arcfour
ed aggiungendo le seguenti linee alla lima:
MACs hmac-ripemd160, hmac-sha1, hmac-md5, hmac-sha1-96, hmac-md5-96 HostKeyAlgorithms ssh-ssh-dss, ssh-rsa
Per ricapitolare, la spedizione port di SSH fornisce un'adjunta rapida e facile alle misure di sicurezza senza fili deboli tradizionali come filtrazione del MAC e di WEP. Anche se per alcuni ambienti specifici questo potrebbe essere sufficiente, se state cercando una soluzione senza fili più completa di sicurezza sopra lo strato di programmazione dei dati, suggeriamo vivamente considerare IPSec.
|
|