3

С точки зрения безопасности это может быть большой проблемой. Что в итоге? Допустим, есть сеть с уже существующей SSID HomeNetwork . Теперь, что если я настрою специальную сеть, также называемую HomeNetwork .

Может ли это обманом заставить пользователей подключиться к моей сети и пропустить весь трафик через меня? Есть ли способы избежать этого?

3 ответа3

1

На самом деле не существует никакого хорошего способа избежать этого - если есть сеть с таким же SSID, ваша машина просто подключится к тому, который будет найден первым или получит самый сильный сигнал.

Я знаю это, потому что есть некоторые среды, в которых я создал перекрывающиеся SSID по уважительным причинам - чтобы охватить огромную область.

Что касается не соединения с фиктивными точками, я думаю, вам просто нужно убедиться, что ключ не выходит, или, если в корпоративной среде, использовать инфраструктуру сертификатов - однако, это одна из самых больших слабостей беспроводных сетей.

1

Вы правы, это большая проблема безопасности. Хотя люди, пойманные на этом, могут столкнуться с большими неприятностями, поскольку в некоторых местах это незаконно. Большинство людей попробуют это с помощью программы AirSnarf. Вы можете экспериментировать самостоятельно, чтобы увидеть, как это работает. Как сказал Уил, этого не легко избежать для среднего неопытного пользователя, но есть меры предосторожности, которые вы можете предпринять, чтобы избежать этого.

0

Вы правы, определяя это как возможную проблему (и, возможно, практический вектор атаки).

Если вы особенно параноик, то вы можете настроить VPN, через который будут работать все ваши беспроводные соединения. Это может быть запущено либо на маршрутизаторе / точке доступа напрямую (некоторые маршрутизаторы на базе Linux запускают OpenVON как чудо), либо на другой машине в вашей сети. Таким образом, если ваши беспроводные машины в конечном итоге подключатся к другой сети, они либо будут безопасно подключаться к вашей сети (возможно, немного медленнее), так как VPN будет защищать трафик, или (если VPN не будет подключена публично), они выиграют ». но вы, по крайней мере, будете знать, что есть проблема, и все равно никакая информация (кроме "этот парень пытается подключиться к VPN") не будет раскрыта. Для обеспечения дополнительной безопасности настройте сетевую маршрутизацию таким образом, чтобы машина могла видеть сеть только через беспроводную сеть через VPN (поэтому, если кто-либо случайно подключится к вашей сети или иным образом, он не выйдет за пределы возможного отказа без действительного набора учетных данных аутентификации VPN), любые сервисы на беспроводных машинах доступны только по VPN (поэтому они не могут быть проверены, если вы случайно подключитесь к чужой сети).

Имея все вышеперечисленное, вы можете фактически отключить беспроводную безопасность и просто полагаться на VPN, брандмауэр и правила маршрутизации, чтобы защитить вас. Хотя и второй уровень защиты приносит мало вреда.

Единственная серьезная дыра, оставленная здесь, заключается в том, что злоумышленник может настроить конечную точку VPN в своей сети, которая имитирует вашу, но это потребует инсайдерских знаний или другого доступа к вашей сети (т. Е. Ему потребуется доступ к закрытым ключам вашего сервера или вашему ключи для подписи сертификатов / ключей), когда им все равно не нужно имитировать VPN.

Предостережение: я еще не был достаточно параноидален в отношении трафика, который отправляется через мою домашнюю беспроводную сеть или других, к которым у меня есть какая-либо ответственность (несколько вещей, которые мы параноидальны, такие как данные клиента или аутентификация для доступа к тому же, просто не подходите близко к беспроводному соединению, не обернувшись в VPN-туннель или другое шифрование), так что я сам пока не смог его настроить. Это в моем списке "когда у меня есть время, чтобы играть", хотя!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .