image

Microsoft: Verbergen SSID draadloos netwerk complete onzin

dinsdag 16 oktober 2007, 11:28 door Redactie, 32 reacties

Als het gaat om het beveiligen van draadloze netwerken wordt nog altijd het advies gegeven om het SSID te verbergen, en dat is volgens Microsoft's Steve Riley complete onzin. "Security by obscurity is helemaal geen beveiliging, en in het geval van SSID gaat het hier alleen om de netwerknaam. SSID is helemaal niet ontworpen om verborgen te worden, wat zelfs een overtreding van de 802.11i specificatie is", zo laat de senior program manager weten.

Computers kunnen stoppen met communiceren als een access point geen SSID uitzendt. Daarnaast is het niet eens mogelijk om het SSID echt te verstoppen, aldus Riley. Alle draadloze 802.11 netwerken, ongeacht besturingssysteem en encryptie, versturen namelijk van tijd tot tijd onversleutelde frames, waarin de naam van het SSID netwerk staat.

Het uitschakelen van SSID broadcasting kan bij Windows XP zelfs voor problemen zorgen. Verder waarschuwt Riley ook voor MAC address filtering, aangezien dit eenvoudig te spoofen is. De beste manier om een draadloos netwerk te beveiligen is dan ook het gebruik van de juiste protocollen, oftewel WPA2.

Reacties (32)
16-10-2007, 11:45 door Anoniem
Blij dat ze daar bij Microsoft ook wakker geworden zijn. Dit is common
knowledge sedert... 2004? 2005?
16-10-2007, 11:52 door Anoniem

wat zelfs een overtreding van de 802.11i specificatie is
Zozo.. Microsoft dat zich druk maakt over het handhaven van
specificaties. Da's nieuw :)


Het uitschakelen van SSID broadcasting kan bij Windows XP
zelfs voor problemen zorgen
Aha :)
16-10-2007, 12:08 door Anoniem
Door Anoniem
Blij dat ze daar bij Microsoft ook wakker geworden zijn. Dit is common
knowledge sedert... 2004? 2005?

Microsoft weet het. Jij weet het. Ik weet het zelfs.

Maar er ontbreekt nog steeds het door jou benoemde "common
knowledge" bij een aantal mensen die hebben gereageerd op de poll van
vorige week: http://www.security.nl/polls/203
16-10-2007, 12:25 door pikah
Ik lees daar eigenlijk nu pas al die reacties door. Leuk om
te zien dat mensen echt denken veilig te zijn met sommige
'methoden' (zoals MAC filtering DHCP uit SSID niet
broadcasten)

Security by obscurity is helemaal geen
beveiliging

Tegenwoordig ondersteund bijna elke router/client WPA2 of in
ieder geval WPA, maak hier dan gebruik van!

Er was iemand die vertelde dat deze (WPA) encryptie gekraakt was, ik wil wel eens weten of hij mijn WPA key wil achterhalen. Bruteforce mag hij ook proberen :-)

Als je echt nog veiliger wil zijn zorg dan voor 802.1x
authenticatie.
16-10-2007, 12:39 door Anoniem
16 oktober 2007 is een memorabele dag. Ik ben het met M$ eens.
16-10-2007, 12:44 door Anoniem
Door pikah
Ik lees daar eigenlijk nu pas al die reacties door. Leuk om
te zien dat mensen echt denken veilig te zijn met sommige
'methoden' (zoals MAC filtering DHCP uit SSID niet
broadcasten)

Security by obscurity is helemaal geen
beveiliging

Tegenwoordig ondersteund bijna elke router/client WPA2 of in
ieder geval WPA, maak hier dan gebruik van!

Er was iemand die vertelde dat deze (WPA) encryptie gekraakt
was, ik wil wel eens weten of hij mijn WPA key wil
achterhalen. Bruteforce mag hij ook proberen :-)

Als je echt nog veiliger wil zijn zorg dan voor 802.1x
authenticatie.

Als je dat thuis allemaal wilt gaan doen moet je je
misschien afvragen of een bedraad netwerk niet handiger is...
16-10-2007, 13:29 door Anoniem
MS over standaarden klagen, pfff.

Zelf houden ze zich nog geen eens aan DHCP standaard
waardoor requests bij sommige routers niet werkt:
http://support.microsoft.com/kb/928233

Hetgeen tot deze hilarische toestand oa. leidt:
http://www.engadget.com/2007/09/02/vista-users-in-swedish-community-cant-get-online/
16-10-2007, 14:04 door Anoniem
"Microsoft weet het. Jij weet het. Ik weet het zelfs."

Maar weet je buurman het ook ? Security by obscurity is natuurlijk geen
beveiliging tegen iemand met ervaring op het gebied van wireless hacking
en security. Bij voorkeur natuurlijk wel in combinatie met andere
beveiliging.

Omdat iets niet 100% veilig is, moet je het niet gebruiken ? Raadt
Microsoft ook aan om in plaats van WEP de encryptie maar uit te zetten
omdat WEP geen garantie biedt dat je router niet wordt gekraakt als je
niet over beter alternatieven zoals WPA beschikt ?
16-10-2007, 14:05 door Anoniem
"Verder waarschuwt Riley ook voor MAC address filtering, aangezien dit
eenvoudig te spoofen is."

Tja, en zonder MAC address filtering heb je nog minder bescherming. Dus
wat is nou zijn punt ?
16-10-2007, 14:12 door Anoniem
"Tegenwoordig ondersteund bijna elke router/client WPA2 of in
ieder geval WPA, maak hier dan gebruik van!"

Wat is dan de reden om bij gebruik van WPA2 niet ook Mac Address
Filtering te gebruiken, en je SSID te verbergen ?
16-10-2007, 14:14 door Anoniem
Door Anoniem
"Microsoft weet het. Jij weet het. Ik weet het zelfs."

Maar weet je buurman het ook ? Security by obscurity is natuurlijk geen
beveiliging tegen iemand met ervaring op het gebied van wireless hacking
en security. Bij voorkeur natuurlijk wel in combinatie met andere
beveiliging.

Omdat iets niet 100% veilig is, moet je het niet gebruiken ? Raadt
Microsoft ook aan om in plaats van WEP de encryptie maar uit te zetten
omdat WEP geen garantie biedt dat je router niet wordt gekraakt als je
niet over beter alternatieven zoals WPA beschikt ?

Je zou moeten weten dat het slot die jij hebt aangeschaft niet werkt. Welke
verzekeraar vergoed de schade als jij zegt: "ik heb de deur maar dicht
gehouden want zo lijkt het net alsof het slot echt werkt"
16-10-2007, 14:16 door Anoniem
Door Anoniem
"Verder waarschuwt Riley ook voor MAC address filtering, aangezien
dit
eenvoudig te spoofen is."

Tja, en zonder MAC address filtering heb je nog minder bescherming. Dus
wat is nou zijn punt ?

Zijn punt is dat crepe-papier als voordeur niet helpt de inbrekers buiten te
houden. Vals gevoel van veiligheid?
16-10-2007, 14:16 door Anoniem
Zijn punt is te waken voor schijnveiligheid. Als je je veilig waant neem je
wellicht geen aanvullende maatrgelen zoals je bankgegevens encrypten.
Als je dan geconfronteerd wordt met een gehackte pc ben je te laat
16-10-2007, 14:31 door Anoniem
Door Anoniem
"Tegenwoordig ondersteund bijna elke router/client WPA2 of in
ieder geval WPA, maak hier dan gebruik van!"

Wat is dan de reden om bij gebruik van WPA2 niet ook Mac Address
Filtering te gebruiken, en je SSID te verbergen ?

Zonde van je tijd en beheerbaarheid. Nu moet je van iedereen die toegang
wilt het MAC-adres achterhalen en diegene het SSiD vertellen. Nu hoef je
alleen de sleutel te geven of voor ze in te kloppen (check voor de zekerheid
op keyloggers...)
16-10-2007, 14:34 door Anoniem
Iemand van Microsoft die zegt dat "security by obscurity"
geen beveiliging is, die vloekt in zijn eigen kerk. Of maakt
Microsoft per vandaag ook de beveiligingsmechanismen uit de
software openbaar of open source??
16-10-2007, 15:07 door spatieman
het is ook onzin de SSID te verbergen.
somige clients kunnen oa dan helemaal niet connecten.
en er is genoeg software die zich er niets van aantrekken
,en toch de SSID weergeven..

oja, ook ik ben het voor een keer eens met M$
16-10-2007, 15:08 door Arno Nimus
Het uitschakelen van SSID broadcasting kan bij
Windows XP zelfs voor problemen zorgen.
Oh, daar komt de ware aap uit de mouw...

Overigens heb ik mijn SSID wel gewoon verborgen. Het is
gewoon een (bescheiden) extra drempeltje die een nitwit
langer bezighoudt mijn netwerk binnen te wandelen. Ik zie
het absoluut niet als 'de' maatregel die anderen ervan
weerhoudt mijn netwerk binnen te wandelen.
16-10-2007, 15:08 door Anoniem
Door Anoniem
Iemand van Microsoft die zegt dat "security by obscurity"
geen beveiliging is, die vloekt in zijn eigen kerk. Of maakt
Microsoft per vandaag ook de beveiligingsmechanismen uit de
software openbaar of open source??

En dan ga jij de software eventjes goed doorspitten en ons vertellen of het
veilig is of niet.

Geloof je het zelf?
16-10-2007, 15:15 door Anoniem
vermoedelijk dat Microsoft dit even meldt omdat Windows
enorm vaak geen verbinding kan maken met WLAN's die hun SSID
niet uitzenden lijkt me :)
16-10-2007, 15:21 door SirDice
Zucht... Zelfs al beveilig je je wifi met WPA2, de MAC adressen en het SSID gaan niet gecodeerd door de ether. Zelfs al kraak je de encryptie niet. Het zou n00bs tegenhouden. Denk jullie niet dat WPA/WPA2 dat alleen al doet? Als iemand al de moeite neemt om je WPA/WPA2 te kraken denk je niet dat'ie dan ook voldoende kennis heeft om het MAC en SSID boven water te halen?

Zinloos dus en biedt nul komma nul "extra" beveiliging.
16-10-2007, 15:23 door SirDice
Door Anoniem
Iemand van Microsoft die zegt dat "security by obscurity"
geen beveiliging is, die vloekt in zijn eigen kerk. Of maakt
Microsoft per vandaag ook de beveiligingsmechanismen uit de
software openbaar of open source??
En welke beveiligingsmechanismen zou je willen weten?
Volgens mij is alles best goed gedocumenteerd...
16-10-2007, 15:26 door SirDice
Door Anoniem
MS over standaarden klagen, pfff.

Zelf houden ze zich nog geen eens aan DHCP standaard waardoor requests bij sommige routers niet werkt: http://support.microsoft.com/kb/928233
Ehhhmmmm....

De fout ligt hier:
The router or the other device does not support the DHCP BROADCAST flag.

[url=http://www.faqs.org/rfcs/rfc2131.html]RFC-2131[/url] ; 2. Protocol Summary:
To work around some clients that cannot accept IP unicast datagrams before the TCP/IP software is configured as discussed in the previous paragraph, DHCP uses the 'flags' field [21]. The leftmost bit is defined as the BROADCAST (B) flag.

Het is dus een probleem van de router en niet van MS.
16-10-2007, 15:53 door sjonniev
Er is eigenlijk maar 1 geldige reden om geen WPA2 te
gebruiken: je kind wil met zijn Nintendo DS het web op...
16-10-2007, 16:38 door Anoniem
Inderdaad.. het verbergen van SSID van een Accesspoint kan het vinden
van een netwerk bij een normale XP gebruiker problemen geven..
17-10-2007, 11:34 door Anoniem
@ SirDice:

"Zucht... Zelfs al beveilig je je wifi met WPA2, de MAC adressen en het
SSID gaan niet gecodeerd door de ether. Zelfs al kraak je de encryptie
niet. Het zou n00bs tegenhouden. Denk jullie niet dat WPA/WPA2 dat
alleen al doet?"

Nee SirDice, dat denk ik bepaald niet.

Misschien op dit moment, maar het kan best zijn dat over enige tijd er
weer meer technieken worden gevonden waarmee het weer makkelijker
wordt om WPA/WPA2 te cracken. Dat iets tot nog toe veilig is (vnl
WPA2, niet WPA/PSK bijvoorbeeld) wil niet zeggen dat dat garanties
biedt voor de toekomst.

Ik zou weinig behoefte hebben om op dat moment bijvoorbeeld allerlij
klanten opnieuw af te gaan om naast WPA/WPA2 additionele
maatregelen te nemen, dus doe ik dat liever per direct. Waarom niet je
klanten de maximale beveiliging bieden, enkel en alleen op basis van de
veronderstelling dat dit volgens jou zinloos zou zijn en geen extra
beveiliging zou bieden ?

Ik zie je ook geen enkele inhoudelijke motivatie geven wat dan het
nadeel zou zijn van deze additionele maatregelen, of waarom klanten
jouw argumenten bij een wireless implementatie zouden accepteren.
17-10-2007, 11:36 door Anoniem
"Je zou moeten weten dat het slot die jij hebt aangeschaft niet werkt.
Welke verzekeraar vergoed de schade als jij zegt: "ik heb de deur maar
dicht gehouden want zo lijkt het net alsof het slot echt werkt""

Ik zou het slot toch gebruiken totdat ik dat slot vervangen heb. Die
zelfde verzekeraar zou de schade ook niet vergoeden wanneer je stelt
dat je je deur hebt laten open staan, omdat het slot dat je had "toch
niet werkte".
17-10-2007, 15:30 door Anoniem
Je ssid hidden maken en mac filtering is voldoende bij mij in de straat.
Niemand in de straat lan het hacken. En als ze me pc'tje hacken. Er stat
toch geen boeiende info op en als ze de boel laten crashen dan is het mijn
ghost file terugzetten en alles werkt weer... Dus werkt prima voor dit.
17-10-2007, 15:55 door SirDice
Jij hebt zeker nog nooit van wardriven gehoord? Of weet wat
een zombie is.
18-10-2007, 21:48 door Anoniem
Het gebruiken van encryptie ook al is het WEP is altijd beter dan geen.

Mocht er dan worden ingebroken dan is er altijd sprake van een strafbaar
feit.
19-10-2007, 09:04 door Nomen Nescio
En hoe zit het dan met al die lekke modems? WPA2 is al net zo gekraakt
als de rest. Dus heb ik mijn computers zelf maar weer eens een tandje
hoger beveiligd, dat is de enige methode om nog iets van veiligheid te
waarborgen.
22-10-2008, 11:09 door Anoniem
Grappig dat microsoft zichzelf tegenspreekt met de stelling dat het verbergen van het SSID niet veilig zou zijn. In een ander document eveneens door microsoft uitgegeven wordt namelijk het tegenovergestelde beweerd (zie onderdeel SSID op: http://www.microsoft.com/netherlands/ondernemers/techniek_techniek/beveiligingwifi.aspx ).

Echter is het correct dat er door middel van bijvoorbeeld netstumbler en aircrack in luttele seconde een verborgen SSID en een geldig MAC adres verkregen kan worden door derden terwijl de draadloze router of toegangspunt hiermee beveiligd is, ook WEP64Bits en WEP128Bits zijn niet langer meer van deze tijd en kunnen met eerder genoemde software door derde in ongeveer 6 minuten gekraakt worden. Het advies in mijn visie is indien er gebruik gemaakt word van Windows XP service Pack 2 (standaard geintergreerd heeft deze WPA) te upgraden naar Service Pack 3 of de hotfix voor Service Pack 2 te installeren waarmee WPA2 geintergreerd wordt in XP, verkrijgbaar op http://www.microsoft.com.nsatc.net/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&displaylang=nl

Indien men gebruik maakt van Windows 2000 adviseer ik op zijn minst service pack 4 te installeren, hiermee wordt de mogelijkheid geboden WPA te gebruiken.

Indien Windows Vista gebruikt wordt kan men direct WPA en WPA2 instellen op het draadloze netwerk.

Het verbergen van het SSID is hiermee onzinnig geworden.
22-10-2008, 11:50 door Anoniem
Door AnoniemHet gebruiken van encryptie ook al is het WEP is altijd beter dan geen.

Mocht er dan worden ingebroken dan is er altijd sprake van een strafbaar
feit.


In principe is het niet nodig om een beveiliging in te stellen, als het gaat om het wel of niet strafbaar zijn door gebruik van andermans draadloos netwerk te maken, zie onderstaande:

Per ongeluk binnendringen

Op het eerste gezicht zou dus ook het per ongeluk binnendringen in iemands computersysteem of netwerk een misdrijf zijn. Een voorbeeld is het gebruik maken van andermans draadloze netwerk, wat vaak automatisch gaat als het netwerk in de buurt is. Dit is opzettelijk (je had het uit kunnen zetten, tenslotte) en wederrechtelijk (want de eigenaar heeft geen toestemming gegeven).

De minister heeft in de Memorie van Toelichting echter aangegeven dat het voor de potentiële dader wel kenbaar moet zijn dat hij zich op verboden terrein gaat begeven. Dat hoeft dus niet per se een beveiliging te zijn, een voor mensen zichtbare mededeling "Verboden voor onbevoegden" kan al genoeg zijn. Door een draadloos netwerk als naam "Privé-netwerk, verboden toegang" te geven, weten derden die het netwerk toevallig zien dat het niet de bedoeling is dat ze daar gebruik van maken.

Strafbaar als wederrechtelijk
Het gebruik maken van andermans draadloos netwerk is strafbaar wanneer daar geen toestemming voor is. Wie bijvoorbeeld het wachtwoord raadt van het netwerk van de buren, of via een kraakprogramma hier achter komt, begaat een strafbaar feit. Ook wanneer dit het standaardwachtwoord was dat de fabrikant in het access point had ingesteld.

Volgens de oude Wet Computercriminaliteit was het niet strafbaar om gebruik te maken van onbeveiligde netwerken. Door de wetswijziging per 1 september 2006 is dit veranderd. Nu is elke vorm van "wederrechtelijk binnendringen" op andermans netwerk strafbaar, ook als er geen beveiliging op dat netwerk zit.

De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138a lid 1).

Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was.

Bron: http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.