Nieuws

'Verborgen SSID geen WPA2-alternatief'

maandag 10 december 2012, 17:09 door Redactie, 15 reacties

Sommige eigenaren van een WiFi-netwerk denken dat het verbergen van de netwerknaam (SSID) nog steeds een effectieve beveiligingsmaatregel is. Het Russische anti-virusbedrijf Kaspersky Lab analyseerde zo'n 3.000 access points in Dubai en ontdekte dat naast kanalen 6 en 11, ook kanaal 13 veel wordt gebruikt. 802.11g/n netwerken gebruiken kanaal 13, wat aangeeft dat de meeste access points in Dubai nieuw zijn

Ondanks de nieuwe apparatuur is het gebruik van goede encryptie zo goed als afwezig. Slechts 14% van de WiFi-netwerken gebruikt WPA2, terwijl 28% met WPA is beschermd. 23% gebruikt het eenvoudig te kraken WEP en 35% is helemaal niet beschermd.

Netwerknaam
Opmerkelijk genoeg is het SSID bij 38% van de WiFi-netwerken verborgen. 'Misschien is dit een andere reden waarom WiFi-beheerders in Dubai denken dat ze geen WPA2-versleuteling nodig hebben", zegt Dmitry Bestuzhev.

Hij merkt op dat er technieken zijn om verborgen SSIDs te achterhalen. Ook het gebruik van MAC-filtering biedt volgens de analist geen oplossing, aangezien MAC-adressen eenvoudig te spoofen zijn.

Skynet maakt computers onderdeel van Tor-netwerk

'Olieproductie Saudi Aramco doelwit Shamoon-virus'

Reacties (15)

10-12-2012, 17:27 door SirDice

Door Redactie: Hij merkt op dat er technieken zijn om verborgen SSIDs te achterhalen. Ook het gebruik van MAC-filtering biedt volgens de analist geen oplossing, aangezien MAC-adressen eenvoudig te spoofen zijn.

Er is niet veel 'techniek' nodig, het SSID wordt, clear-text, bij elk pakketje meegezonden. Net als de MAC adressen.

10-12-2012, 22:45 door Anoniem

Vergeet vooral niet een lastig wachtwoord in te stellen op WPA2-psk. Anders schiet je er nog niet al te veel mee op.

11-12-2012, 08:51 door Anoniem

Mac-adressen zijn welliswaar makkelijk te spoofen, maar hoe weet je dan welk Mac-adress je moet spoofen? Of zend een AP ook uit welke mac-adressen er alleen toegelaten zijn?

11-12-2012, 10:49 door Anoniem

alle beetjes helpen om het naar een hogere beveiligingplatform te brengen. (wpa2 incl mac beveiliging + disable broadcast ssid)

11-12-2012, 10:59 door SirDice

Door Anoniem: Mac-adressen zijn welliswaar makkelijk te spoofen, maar hoe weet je dan welk Mac-adress je moet spoofen? Of zend een AP ook uit welke mac-adressen er alleen toegelaten zijn?

Nee, maar als je het verkeer bekijkt kun je ze gewoon zien. En een client die volop data verstuurd, daarvan kun je aannemen dat die is toegelaten.

11-12-2012, 12:04 door SirDice

Door Anoniem: alle beetjes helpen om het naar een hogere beveiligingplatform te brengen. (wpa2 incl mac beveiliging + disable broadcast ssid)

Om zo'n netwerk te kraken kost me dat, om precies te zijn, 20 seconden meer dan wanneer het niet gedaan wordt. Daar staat tegenover dat jij als gebruiker zijnde jezelf in bochten moet wringen om contact te maken met je eigen AP. M.a.w. je maakt het alleen uitermate lastiger voor jezelf terwijl het nauwelijks meer veiligheid biedt.

11-12-2012, 13:39 door Anoniem

Zelf als heb je WPA2 en een goed wachtwoord, dan doe ik er nog hooguit 7 uur over om je router binnen te komen en over te nemen. Kortom, WPA2 en een wachtwoord maken het hooguit iets moeilijker.

11-12-2012, 14:43 door AdVratPatat

Door SirDice: Om zo'n netwerk te kraken kost me dat, om precies te zijn, 20 seconden meer dan wanneer het niet gedaan wordt.

En dan kun je nog een lekkere slok koffie nemen ook :D

11-12-2012, 17:48 door Anoniem

Door SirDice:

Door Anoniem: alle beetjes helpen om het naar een hogere beveiligingplatform te brengen. (wpa2 incl mac beveiliging + disable broadcast ssid)

Huh? Ik dacht met WPA2 en max random teken lengte key secure te zijn :-(

11-12-2012, 22:19 door Anoniem

Ik kan het artikel helaas niet meer terugvinden, maar de auteur van dat artikel vergeleek SSID hiding en MAC filtering t.o.v. WPA(2) als het plakken van een pleister op een brandkast

12-12-2012, 08:28 door Overcome

In 2003 is er al een document geschreven door ICSAlabs waarin dit prima werd verwoord:

http://www.library.cornell.edu/dlit/ds/links/cit/redrover/ssid/wp_ssid_hiding.pdf

Komt na bijna 10 jaar deze tip weer langszeilen...

12-12-2012, 11:53 door Rasalom

Het Russische anti-virusbedrijf Kaspersky Lab analyseerde zo'n 3.000 access points in Dubai en ontdekte...

... en ontdekte dat Dubai weinig te maken heeft met Nederland.

Het artikel trapt een heleboel open deuren in.

12-12-2012, 12:22 door Rasalom

Door Anoniem: Zelf als heb je WPA2 en een goed wachtwoord, dan doe ik er nog hooguit 7 uur over om je router binnen te komen en over te nemen. Kortom, WPA2 en een wachtwoord maken het hooguit iets moeilijker.

Dat is best een grote bewering die je daar doet. Voor zover mij bekend heb je voor een WPA2-PSK nog altijd een volledige handshake nodig en een dictionary waar de sleutel in voor komt.

Ik ben wel benieuwd naar documentatie die je claim ondersteund. Er zijn namelijk veel partijen die claimen dat het eenvoudig is, maar tot op heden was dat telkens --als ik er in dook-- een hack in de meest ideale omstandigheden. Dus bijvoorbeeld een PSK van 8 tekens en een lage entropie.

14-12-2012, 12:07 door Anoniem

is het niet zo dat als je ssid verbergt dat je computer dan de hele tijd je wachtwoord gegevens gaat uitzenden ( b.v. als je ergens anders bent) en is het dan misschien wel onveiliger om je ssid te verbergen ?, is het niet beter gewoon b.v. IP 2 Mac binding te gebruiken en je netwerk statiesch te maken ? met een lang wpa2 wachtwoord ? en dan op de 2de locatie b.v. je werk een netwerk toe te voegen ? en instellen als dit netwerk binnen berijk is verbinding maken

16-08-2013, 13:04 door LeviSiccard

Hidden ssid's kunnen makkelijk achterhaald worden door een netwerk sniffer. Wireshark is hier een mooi voorbeeld van.
wanneer een client verbinding maakt met een hidden ssid zal deze gesnift of gecaptured worden en kan je dat zien in wireshark.
Op die manier is het mogelijk mac adres te zien en de ssid van de router. Ook met airodump kan je mac adressen zien van ssid's en clients die ermee verbonden zijn, inclusief de channels waarop ze zitten.
macadressen kunnen op deze manier makkelijk gespoofd worden om zo de macfilters te beaten enz...
al deze mogelijkheden zitten standaard in het kali linux besturingsprogramma en zijn makkelijk aan te leren.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer