image

Cisco adviseert om SSID bij wifi-netwerk te verbergen

woensdag 9 oktober 2013, 16:12 door Redactie, 21 reacties

Netwerkgigant Cisco geeft eigenaren van een wifi-netwerk het advies om de netwerknaam (SSID) te verbergen en MAC-adressen te filteren. Volgens Levi Gundert van Cisco zijn wifi-netwerken kwetsbaar voor aanvallen, zeker door een vastberaden aanvaller.

"Een vastberaden aanvaller met voldoende tijd zal waarschijnlijk elk thuis-wifi-netwerk kunnen kraken, gewoon vanwege de aard van wifi. Als je een ethernetkabel op je computer aansluit kan een aanvaller alleen je verkeer monitoren is als hij de fysieke laag kan aftappen, wat onwaarschijnlijk is, gegeven dat de meeste netwerken glasvezelkabels gebruiken."

Consumenten kunnen echter verschillende maatregelen nemen om het aanvalsoppervlak iets te verkleinen. Als eerste adviseert Gundert om het verzenden van de netwerknaam uit te schakelen. Hij erkent dat het voor een aanvaller nog steeds mogelijk is om de netwerknaam te achterhalen. "Maar dit is een eenvoudige manier om iets van SSID-privacy te krijgen."

Wachtwoord

De tweede tip is het gebruik van WPA2-encryptie in combinatie met een wachtwoord van minimaal 20 karakters dat niet in een woordenboek voorkomt. Als laatste moet de eigenaar van het wifi-netwerk een whitelist van toegestane MAC-adressen maken. Wederom erkent Gundert dat dit geen waterdichte oplossing is, aangezien een aanvaller nog steeds het MAC-adres kan sniffen en spoofen. "Maar het legt de lat iets hoger, ook al is het maar een paar millimeter."

Gundert adviseert niet om Wifi Protected Setup uit te schakelen, dat ook gebruikt kan worden om wifi-netwerken te compromitteren. Hij adviseert wel om geen wifi-apparatuur aan te schaffen die WPS gebruikt. Ondanks het advies om een sterk wachtwoord voor WPA2 te gebruiken mist het advies aan gebruikers om het standaard router- of modemwachtwoord te wijzigen.

Reacties (21)
09-10-2013, 16:25 door Sokolum
Zwak aanbod van de leveranciers, als ze nou eens het login proces compleet uitsluiten bij meer dan xx foute login pogingen!! En na een time-out dat weer laat activeren.
09-10-2013, 16:29 door Anoniem
Wat voor SSID-privacy krijg je met het uitzetten van het broadcasten? Alle apparaten die ooit zijn verbonden zullen daarna, waar ze ook zijn, dat SSID broadcasten om. Dus ook in hotels, vliegvelden, treinen, etc. Zie ook http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/

En mac-adressen filteren. Als iemand de moeite neemt om de key van het netwerk te kraken, dan heeft hij/zij ondertussen ook al de mac adressen gezien die wel zijn toegestaan. Komt dit advies werkelijk van Cisco?
09-10-2013, 16:34 door Anoniem
Dit is natuurlijk oud nieuws, misschien wel handig dat leveranciers zelf meer waarschuwingen in hun software moeten bouwen
09-10-2013, 16:35 door Anoniem
Huh?
Volgens mij is het niet slim om je SSID te verbergen; dit introduceert juist extra kwetsbaarheden.
volgens mij gaan veel clients, overal waar ze zijn, vragen of het verborgen netwerk beschikbaar is.
Je kunt dan een rogue access point op zetten die zegt 'ja, ik ben beschikbaar'

Of zit ik er nu naast?

WPS aan laten staan? een 8 cijferige pincode?

zeer twijfelachtig dit advies
09-10-2013, 16:43 door Preddie
Met alle respect.... maar voor wie is dit advies nu precies bedoeld? Ik mis voornamelijk de beargumentatie van zijn adviezen....

1. Het verbergen van je SSID.
Dit heeft volgens mij alleen zin bij netwerken die sporadisch gebruikt worden. Zodra er veel gebruik (of altijd clients aan verbonden zijn_ van gemaakt wordt kun je een disconnectpacket de lucht in sturen, waardoor de client hun verbinding heel even onderbroken wordt waarna 90% van clients zich opnieuw zal aanmelden en vervolgens wordt het SSID in de eerste pakketten mee verzonden.

2. MAC-adressen filteren
Dit heeft volgens mij ook alleen zin bij netwerken die sporadisch gebruikt worden. Zodra er veel gebruik van gemaakt wordt (of er altijd clients verbonden zijn) kun je gewoon een lijstje met verbonden MAC-adressen opvragen en deze vervolgens spoofen.

3. Passphrase >= 20 karakters
Goed advies, persoonlijk spreek ik liever over een passphrase i.p.v. een wachtwoord omdat mensen dan nog het idee kunnen hebben dat het om een "woord" moet gaan.

4. Whitelisting van MAC-adressen
Huh ? dit hebben we bij 2. toch al gedaan? Volgens mij is de doeltreffendheid van deze maatregelen niet in verhouding met de wijze waarop dit beheerd moet worden.

5. WPS uitschakelen c.q. niet gebruiken
Goed advies, alleen ontbreekt de motivatie voor de minder onderlegde gebruiker terwijl dit advies er schijn van heeft dat dit bericht aan hen gericht is.

Ik mis nog even de volgende adviezen:

- Passphrase >= 20 karakters voor toegang tot modem/routers of andere netwerk apparatuur
- Als er geen communicatie tussen clients noodzakelijk is, schakel de optie "client isolation" in (indien aanwezig)
- Schakel remote management altijd uit.
- Schakel de optie om je router/modem te beheren via WIFI uit (doe dit via een kabel)
- Schakel UPNP uit op de modem/router.
09-10-2013, 17:21 door Whacko
Ja... voor het gemiddelde huishouden waar niemand verstand van netwerken heeft, zijn dit goede tips. Maar dan alleen om je te berschermen van de buurman die toevallig je wachtwoord zou kunnen raden.
Maar deze mensen zullen Cisco niet kennen en dit advies dus ook nooit krijgen.
En zoals al veel aangegeven, zal iemand met een enige kennis als nog zo op je netwerk zitten.
09-10-2013, 17:52 door Anoniem
Dit "advies" is gewoon cisco onwaardig. Maar wellicht hadden we collectief ook wel chronisch een te hoge pet op van dit bedrijf.
09-10-2013, 17:59 door Briolet
Het enige nut van een SSID verbergen is dat je de buren niet steeds lastig valt met je eigen SSID in hun scherm. Voor veiligheid heeft het i.d.d. geen enkel nut.

Verbergen kan echter wel veel ongemak bezorgen. Ik heb het ook heel lang verbogen gehad, maar mijn Android tablet had hier moeite mee en inloggen duurde soms erg lang. Ik kreeg altijd het gevoel dat hij eerst alle zichtbare SSID's af ging en dan pas met de opgeslagen SSID's aan de gang ging.
Sinds ik de SSID weer uitzend, begint mijn tablet direct met de goede Wifi zender te verbinden.
09-10-2013, 18:24 door [Account Verwijderd]
Niets aan de oorzaak doen, en iedereen het bos insturen met deze aanbevelingen.

Misschien is dat laatste nog wel het ergste van alles, mensen met deze non informatie
de indruk geven dat ze veilig zijn als ze de aanbevelingen opvolgen. Een gevalletje marketing .....
09-10-2013, 19:11 door [Account Verwijderd]
[Verwijderd]
09-10-2013, 20:49 door yobi
Het niet uitzenden van SSID levert niets op. Sommige clients (afhankelijk van implementatie) gaan buiten bereik van het netwerk continu zoeken of het netwerk in de buurt is. Deze zenden dan ook continu de SSID uit. De batterij gaat dan sneller leeg.

Een hacker zal wachten totdat er een client aanmeldt en heeft dan ook de SSID.

Beter is het om "_nomap" aan de SSID toe te voegen. Men komt dan niet op de kaart bij www.wiggle.net. Denk ook aan de privacy. Sommigen zenden gewoon "iPad van Jan Jansen" uit.
09-10-2013, 20:57 door [Account Verwijderd] - Bijgewerkt: 09-10-2013, 20:58
[Verwijderd]
10-10-2013, 08:57 door [Account Verwijderd]
Gundert adviseert niet om Wifi Protected Setup uit te schakelen, dat ook gebruikt kan worden om wifi-netwerken te compromitteren. Hij adviseert wel om geen wifi-apparatuur aan te schaffen die WPS gebruikt.
Dit is maar een raar advies.
Is natuurlijk goed als je een router koopt die WPS niet ondersteund, maar als dat niet mogelijk is dan is WPS uitschakelen toch nog steeds het beste om te doen.
10-10-2013, 08:58 door Anoniem
Wat mij nog opviel was deze opmerking: "Als je een ethernetkabel op je computer aansluit kan een aanvaller alleen je verkeer monitoren is als hij de fysieke laag kan aftappen, wat onwaarschijnlijk is, gegeven dat de meeste netwerken glasvezelkabels gebruiken."

Ik geloof niet dat je met een glasvezel kabel veilig bent voor fysiek aftapping. En ik ken nog niemand die hun thuis netwerk met glasvezel heeft uitgerust. Wat een gelul allemaal weer.
10-10-2013, 09:11 door Anoniem
Door bbecko:
Gundert adviseert niet om Wifi Protected Setup uit te schakelen, dat ook gebruikt kan worden om wifi-netwerken te compromitteren. Hij adviseert wel om geen wifi-apparatuur aan te schaffen die WPS gebruikt.
Dit is maar een raar advies.
Is natuurlijk goed als je een router koopt die WPS niet ondersteund, maar als dat niet mogelijk is dan is WPS uitschakelen toch nog steeds het beste om te doen.

Dat is helaas niet helemaal waar. Sommige apparatuur blijft ook na het uitzetten van WPS gevoellig voor aanvallen op WPS. Met andere woorden, WPS ging niet écht uit. Enkele Linksysjes hadden hier bijvoorbeeld last van.
10-10-2013, 09:13 door SynC
Airodump... Dit wordt gebruikt door (bijna) iedereen om netwerken te kraken. SSID uit of aan, je netwerk staat daar gewoon tussen...
10-10-2013, 09:36 door hx0r3z - Bijgewerkt: 10-10-2013, 09:50
Nou wat heeft dit voor een zin? Met aircrack-ng en airodump-ng kun je dit netwerk alsnog zien en via het bssid adres aanvallen?

Gewoon overgaan op
802.1x
Cisco router

En een zeer complex wachtwoord gebruiken dan minimaal 30 chars heeft.

Problem solved?
De tijd die je daar in zal gaan zitten om dat Cisco netwerk te weg drukken of de-auth te doen zodat al je clients op de honeypot van je gaan zodat je de iv's krijgt voor het wachtwoord te bruteforcen zal je wel een aardig jaartje of 10 bezig houden met een super computer van de overheid.

Door bbecko:
Gundert adviseert niet om Wifi Protected Setup uit te schakelen, dat ook gebruikt kan worden om wifi-netwerken te compromitteren. Hij adviseert wel om geen wifi-apparatuur aan te schaffen die WPS gebruikt.
Dit is maar een raar advies.
Is natuurlijk goed als je een router koopt die WPS niet ondersteund, maar als dat niet mogelijk is dan is WPS uitschakelen toch nog steeds het beste om te doen.

WPS is inderdaad in het algemeen niet veilig. Tenzei je een goede firmware hebt die na <x> amount of failures zichzelf lockt(disabled). Zoals de firmware die ik toevallig in mijn Zyxel heb. Ik kan bijvoorbeeld mijn WPS niet bruteforcen met reaver welke delay ik ook gebruik :)

Maar ja wat heb je nu aan WPS.. Het is echt iets voor lazy mensen. Gewoon je wachtwoord intikken en klaar geen extra shit in je router dat het mogelijk maakt om erin te komen in no time (als je dus een slechte firmware versie hebt waar deze 'backdoor' wel nog in zit).

Bij de eerste en 2e versie van WPS kon je het bruteforcen omdat er geen failure limit op zat in een versie erna kwam er wel een limit op gebonden aan het mac adres van het apparaat naar 5x fout op mac 12:34:56:78:90 en je werd geblockt. In een latere versie van reaver werd er een mac adres spoofer feature erin gezet zodat je deze failure filter kon omzeilen. In de laaste versie is de <x> amount of failure tries globaal.
10-10-2013, 09:40 door Anoniem
Door yobi:
Beter is het om "_nomap" aan de SSID toe te voegen. Men komt dan niet op de kaart bij www.wiggle.net. Denk ook aan de privacy. Sommigen zenden gewoon "iPad van Jan Jansen" uit.

Die kaart is niet zo spannend, ga in een straat staan, zet de wigle app op je Android aan, ze ziet even later alles hidden of niet verschijnen. Map of nomap maakt niets uit, hidden of niet ook al niet.
Mac Filtering is ook zo achterhaald, dus ik zou het wachtwoord - het meest vertrouwen. Maar goed dat gezegd hebbende.. boeit het me nu echt dat mijn buurman op mijn wifi zit?
10-10-2013, 16:33 door [Account Verwijderd]
Door Anoniem:
Door bbecko:
Gundert adviseert niet om Wifi Protected Setup uit te schakelen, dat ook gebruikt kan worden om wifi-netwerken te compromitteren. Hij adviseert wel om geen wifi-apparatuur aan te schaffen die WPS gebruikt.
Dit is maar een raar advies.
Is natuurlijk goed als je een router koopt die WPS niet ondersteund, maar als dat niet mogelijk is dan is WPS uitschakelen toch nog steeds het beste om te doen.

Dat is helaas niet helemaal waar. Sommige apparatuur blijft ook na het uitzetten van WPS gevoellig voor aanvallen op WPS. Met andere woorden, WPS ging niet écht uit. Enkele Linksysjes hadden hier bijvoorbeeld last van.
Correct.
Dan nog is het advies om het uit te schakelen, in de hoop dat je niet 1 van deze apparaten hebt die het toch aan laat staan.
14-10-2013, 14:07 door Anoniem
Misschien is nog een extra hindernis, om je AP gewoon out-of-band te programmeren.
Met behulp van DD-WRT kan je al een eind(je) komen, door op kanaal 14 te gaan zitten ( alleen in gebruik in japan )
Wil je het nog beter doen, ga dan ergens op 2.350 MHz zitten. Wel eerst uitgebreid met een spectrum analyzer kijken, of er andere gebruikers zitten, en eerst het radiospectum bandplan bekijken, ( beschikbaar op de site van Agentschap Telecom )
Let op !! Deze handelswijze is niet legaal. Gebruik op uw eigen risico. Gebruik dus een zo laag mogelijk zendvermogen.
Maar, door rood licht rijden mag niet, en met een vliegtuig een gebouw binnen vliegen ook niet, dus persoonlijk vind ik deze overtreding ( misdrijf? ) acceptabel.
Het gaat om JOUW veiligheid, toch?
02-11-2013, 15:03 door Anoniem
Door Anoniem: Misschien is nog een extra hindernis, om je AP gewoon out-of-band te programmeren.
Met behulp van DD-WRT kan je al een eind(je) komen, door op kanaal 14 te gaan zitten ( alleen in gebruik in japan )
Wil je het nog beter doen, ga dan ergens op 2.350 MHz zitten. Wel eerst uitgebreid met een spectrum analyzer kijken, of er andere gebruikers zitten, en eerst het radiospectum bandplan bekijken, ( beschikbaar op de site van Agentschap Telecom )
Let op !! Deze handelswijze is niet legaal. Gebruik op uw eigen risico. Gebruik dus een zo laag mogelijk zendvermogen.
Maar, door rood licht rijden mag niet, en met een vliegtuig een gebouw binnen vliegen ook niet, dus persoonlijk vind ik deze overtreding ( misdrijf? ) acceptabel.
Het gaat om JOUW veiligheid, toch?
inderdaad een extra hindernis was iedereen met een beetje kennis ook geen probleem mee heeft. daarnaast zorg je mogelijk wel voor problemen. gewoon netjes een goede key gebruiken en klaar, ja 801.x is beter, maar niet altijd realistisch in een thuis omgeving.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.