Het nut van WEP Gesloten ESSIDs MAC-filtering en SSH Port Forwarding

Dit brengt ons bij het onderwerp van de staat WEP, gesloten ESSIDs, en MAC-filtering als beschermende maatregelen. Dergelijke verdedigingen zijn "bypassable", je weet hoe het te doen. Maar er zijn nog steeds goede redenen om deze garanties te schakelen. Een van die reden is legaal. Een aanvaller die rondwegen een van deze tegenmaatregelen kunnen zich niet beroepen op onwetendheid en beweren dat zijn of haar vereniging met het netwerk was puur toevallig. Zo, WEP of gesloten ESSID kan dienen als een vorm van waarschuwing te zeggen: "We verwachten een bepaalde mate van privacy op dit netwerk; houd je handen af." Een organisatie verlies van waardevolle gegevens of activa na een draadloos-gebaseerde aanval kan worden opgeroepen voor onvoldoende "due diligence" indien geen zekerheid waarborgen werden ingezet. Echter, indien de uitgangswaarde tegenmaatregelen werden uitgevoerd, kan de schuld ergens anders worden verschoven (fabrikanten, ontwerpers normen, literatuur bronnen beweren dat "statische WEP is genoeg," enz.).

Een andere reden is het verhogen van de bar. Penetrating elk verdedigingen vergt tijd en inspanning. Tijd is gelijk aan de batterij en de hogere mogelijkheid te worden gespot. Een groot deel van draadloze crackers zijn de "bandbreedte bloedzuiger" type. Zij maken gebruik van laptops met voorgeïnstalleerde Windows en Netstumbler open draadloze netwerken te vinden voor een gratis internetverbinding, die zij kunnen gebruiken voor het downloaden van porno en warez of verzenden van spam. Met het systeem en instrumenten tot hun beschikking, zijn ze meestal niet kunnen kraken WEP, het genereren van aangepaste kaders om verborgen ESSIDs, of start Layer 2 man bekend-in-the-middle-of DoS-aanvallen. Met hun kennis die ze niet eens zouden weten hoe het MAC-adres van hun draadloze interface veranderen. Zo zal de baseline waarborgen beschermen tegen dit soort aanvaller, maar nooit aannemen dat alle crackers zijn deze goedkeurende verklaring. Op een cruciaal punt is het wellicht niet het geval.

Integendeel, goed uitgevoerd SSH port forwarding de lat met een aanzienlijke marge. Een goed idee is om uw sshd met het TCP Wrappers ondersteuning compileren en alle niet-SSH-verkeer op het draadloze netwerk te ontzeggen, terwijl SSH-verkeer te filteren op IP-adressen van onbekende (vergeet niet uit te schakelen DHCP). Dit kan met succes worden gecombineerd met MAC adres filtering en statische ARP caches waar mogelijk. Een typisch voorbeeld van SSH port forwarding gebruik exporterende X Window applicaties via SSH:

 arhontus # ssh-X-f Xserverhost xapplication_to_use

Naast het bieden van data-encryptie en authenticatie van gebruikers, zou dit het behoud van de CPU cycli en de batterij op de mobiele host. Een ander bekend voorbeeld is het surfen op het web of online winkelen via een proxy op de draadloze gateway het beschermen van uw sessie met SSH:

 arhontus # ssh-L 5777: localhost: 3128 proxyhost

Stel uw browser localhost: 5777 gebruiken als de HTTP-proxy en je bent klaar (mits de proxy niet luisteren op poort 3128 aan de andere kant). De keuze van de poort 5777 op een lokale host is volledig willekeurig, terwijl de Squid proxy luistert op poort 3128 op een van onze draadloze gateways. Als uw mobiele host is een Windows-box, kunt u gebruik maken van de toepassingen van derden voor SSH tunneling. Bijvoorbeeld in PuTTY, het volgende doen:

Vanuit het menu aan de linkerkant van het Configuratie-venster, selecteer Connection -> SSH -> Tunnels.
Onder Add new doorgestuurde poort, voert u het poortnummer dat je computer gaat luisteren naar de Bron haven.
Voor de bestemming, voer localhost: 5777.
Zorg ervoor dat de plaatselijke knop is geselecteerd en klik op de knop Toevoegen.
De nieuw toegevoegde port forwarding regel moet worden weergegeven in de havens Doorgezonden vak. Als u de doorgestuurde poort te verwijderen, selecteer het en klik op de knop Verwijderen.
Sla uw wijzigingen door terug te gaan naar de zitting pagina en klik op Opslaan.
Nu hebben we gedefinieerd de port forwarding tunnel. Om het actief, gewoon inloggen op de SSH-server.

Het aantal mogelijke voorbeelden van SSH port forwarding gebruiken is eindeloos en we zullen niet stilstaan bij het verder. Zorg er wel voor dat u SSHv2 protocol als je kunt en je SSH-clients en server up to date zijn en geen geweten hebben gaten in de beveiliging (of het gezicht van de mogelijkheid dat r00ted door Trinity in de komende jaren). Wees zo paranoïde als wij. We hebben gezegd dat de standaard cijfers selectie in de Linux / etc / ssh / ssh_config is

 # Ciphers aes128-cbc, 3des-cbc, blowfish-cbc, cast128-CBC, arcfour, aes192-CBC, AES256-cbc

Wij raden te vervangen door de unhashed

 Ciphers AES256-CBC, aes192-CBC, aes128-cbc, blowfish-cbc, cast128-CBC, 3DES-CBC, arcfour

en toevoeging van de volgende regels toe aan het bestand:

 MK hmac-RIPEMD160, hmac-sha1, hmac-md5, hmac-sha1-96, hmac-md5-96 HostKeyAlgorithms ssh-dss, ssh-rsa

Om samen te vatten, SSH port forwarding biedt een snelle en eenvoudige toevoeging aan de traditionele zwakke draadloze waarborgen, zoals WEP en MAC-filtering. Hoewel voor sommige specifieke omgevingen kan dit voldoende zijn, als u op zoek bent naar een meer complete oplossing voor draadloze beveiliging boven de datalinklaag, raden wij overwegen IPSec.

een artikel afkomstig van Hazrul Aaron

Disclaimer: Onze website is niet verantwoordelijk voor de informatie in dit artikel. In dit artikel wordt op geen enkele manier de standpunten, meningen, gedachten of overtuigingen van de artikelen directory personeel.
Vertaling aankondiging: Het artikel "Het nut van WEP Gesloten ESSIDs MAC-filtering en SSH Port Forwarding" werd vertaald met behulp van een geautomatiseerde vertaling dienst. Onze excuses voor eventuele vertaalfouten die heeft plaatsgevonden. Dank u voor uw begrip.