A utilidade de filtrar fechado WEP do MAC de ESSIDs e do forwarding portuário de SSH

Isto traz-nos ao tópico de permitir WEP, ESSIDs closed, e MAC que filtra como medidas protetoras. Tais defesas são "bypassable", você sabem a o faça. Entretanto, há umas razões sadias imóveis permitir estas proteções. Uma tal razão é legal. Um atacante que contorneie algumas destas contramedidas não pode plead o ignorance e reivindicar que sua ou sua associação com a rede era puramente acidental. Assim, WEP ou ESSID closed podem servir como um formulário do provérbio do aviso, "nós esperam um determinado nível da privacidade nesta rede; mantenha suas mãos fora." Uns dados valiosos perdedores ou recursos da organização depois que um ataque wireless-baseado pode sued para o diligence devido insuficiente se nenhuma proteção da segurança estiver desdobrada. Entretanto, se as contramedidas da linha de base forem executadas, a culpa pode ser deslocada em algum lugar mais (fabricantes, desenhadores dos padrões, fontes de literatura que reivindicam que "WEP de estática é bastante," etc.).

Uma outra razão está levantando a barra. Penetrar todas as defesas requer o tempo e o esforço. Poder de bateria dos iguais do tempo e a possibilidade mais elevada de ser manchado. Uma proporção grande de biscoitos wireless é da "o tipo do leech largura de faixa". Usam laptops com preinstalled Windows e Netstumbler para encontrar redes wireless abertas para uma conexão livre do Internet, que possam usar download o pornography e o warez ou emitir o Spam. Com o sistema e as ferramentas em sua eliminação, geralmente não podem rachar WEP, gerar frames feitos sob encomenda para divulgar ESSIDs escondido, ou lançar a camada 2 homem-em-$$$-MÉDIA ou ataques do DoS. Com seu conhecimento não puderam mesmo saber mudar o MAC address de sua relação wireless. Assim, as proteções da linha de base protegê-lo-ão deste tipo do atacante, mas nunca supõem que todos os biscoitos são este unqualified. Em algum ponto crucial não pôde ser o caso.

No contrário, o forwarding portuário corretamente executado de SSH pode levantar a barra por uma margem significativa. Uma idéia boa é compilar seu sshd com a sustentação dos envoltórios do TCP e negar todo o tráfego do non-SSH na rede wireless ao filtrar para fora do tráfego de SSH dos endereços desconhecidos do IP (não se esqueça de desligar DHCP). Isto pode com sucesso ser combinado com filtrar do MAC address e os esconderijos de estática do ARP onde possível. Um exemplo típico do uso portuário do forwarding de SSH está exportando aplicações da janela de X através de SSH:

  arhontus # ssh - X - xapplication_to_use de f Xserverhost

Aparte de fornecer o encryption de dados e o authentication do usuário, isto preservaria os ciclos do processador central e o poder de bateria no anfitrião móvel. Um outro exemplo comum browsing a correia fotorreceptora ou está comprando em linha através de um proxy na passagem wireless que protege sua sessão browsing com SSH:

  arhontus # ssh - L proxyhost de 5777:localhost:3128

Ajuste então acima seu browser para usar localhost:5777 como o proxy e você do HTTP são feitos (fornecendo que o proxy escuta no porto 3128 no outro lado). A escolha do porto 5777 em um anfitrião local é completamente aleatória, visto que o proxy do calamar escuta no porto 3128 em uma de nossas passagens wireless. Se seu anfitrião móvel for uma caixa de Windows, você pode usar as aplicações third-party para tunneling de SSH. Por exemplo, no puTTY, faça o seguinte:

Do menu no lado esquerdo da janela da configuração, selecione a conexão - > SSH - > túneis.
Sob adicione o porto enviado novo, incorporam o número portuário que seu computador está indo escutar como o porto da fonte.
Para o destino, incorpore localhost:5777.
Certifique-se que a tecla local está selecionada e se estale a tecla da adição.
A régua portuária recentemente adicionada do forwarding deve mostrar acima na caixa enviada dos portos. Se você necessitar remover o porto enviado, selecione-o e estale-o a tecla remover.
Excepto suas mudanças indo para trás à página da sessão e estalando excepto.
Nós temos definido agora o túnel portuário do forwarding. Para fazê-lo ativo, logon simplesmente ao usuário de SSH.

O número de exemplos possíveis do uso portuário do forwarding de SSH é infinito e nós não residiremos nele para promover. Certifique-se apenas de que você usa o protocolo SSHv2 se você puder e seu usuário e clientes de SSH seja moderno e não souberem furos da segurança (ou para enfrentar a possibilidade de ser r00ted por Trinity nos anos a vir). Seja tão paranoid como nós somos. Nós mencionamos que a seleção das cifras do defeito no Linux/etc/ssh/ssh_config é

  # calcula aes128-cbc, 3des-cbc, blowfish-cbc-cbc, 
cast128-cbc, arcfour, aes192-cbc, aes256-cbc

Nós recomendamos substitui-lo com unhashed

  Calcula aes256-cbc, aes192-cbc, aes128-cbc, 
blowfish-cbc-cbc, cast128-cbc, 3des-cbc, arcfour

e adicionando as seguintes linhas à lima:

  MACs hmac-ripemd160, hmac-sha1, hmac-md5, hmac-sha1-96, 
hmac-md5-96 HostKeyAlgorithms ssh-ssh-dss, ssh-rsa

Para sumariar, o forwarding portuário de SSH fornece um add-on rápido e fácil às proteções wireless fracas tradicionais tais como filtrar de WEP e de MAC. Embora para alguns ambientes específicos isto possa ser suficiente, se você estiver procurando uma solução wireless mais completa da segurança acima da camada de ligação de dados, nós recomendamos fortemente considerar IPSec.

este é um artigo adicionado por Hazrul Aaron

Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "a utilidade de filtrar fechado WEP do MAC de ESSIDs e do forwarding portuário de SSH" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.