Εσείς πόσα SSID κρύψατε σήμερα?

Πριν από κάποιες ώρες και περίπου στο τέλος ενός τεχνικού σεμιναρίου Microsoft,  πέφτει το σχόλιο από έναν συμμετέχοντα:

“Η καλύτερη προστασία για το ασύρματο δίκτυο είναι να έχεις κρυμμένο το SSID και να κάνεις φιλτράρισμα με  MAC διευθύνσεις. Εγώ έτσι το έχω και δεν φοβάμαι τίποτα.”

Ησυχία στο ακροατήριο. Μάλλον θα πρέπει να έφταιγε το βαρύγδουπο της δήλωσης αυτής, αφού για κάποια δευτερόλεπτα ακουγόταν μόνο το θρόισμα των φύλλων που τα έπαιρνε ο αέρας. Σε λίγο αποδείχθηκε ότι συμφωνούσαν και οι υπόλοιποι συμμετέχοντες, οπότε και εγώ βρήκα την ευκαιρία να ξεκαθαρίσω μερικά πράγματα.

Συνήθως στα δίκτυα υπολογιστών έχουμε ονόματα και passwords. Τα ονόματα συνήθως χρησιμοποιούνται για να ξεχωρίζουν κάτι από κάτι άλλο κοντινό, πχ. δύο υπολογιστές στο ίδιο δίκτυο. Τα passwords χρησιμοποιούνται για την ταυτοποίηση ενός ατόμου ή μιας συσκευής. Στην περίπτωσή μας, έχει δυστυχώς επικρατήσει ότι το SSID ενός ασύρματου δικτύου είναι κάτι σαν password, που φυσικά δεν είναι. Το SSID είναι απλά ένα όνομα ασύρματου δικτύου για να ξεχωρίζει από τα κοντινά του δίκτυα. Δεν σχεδιάστηκε για να είναι κρυφό και δεν προσφέρει καμμία προστασία αν το κρύψετε. Μια ματιά στο specification του 802.11 θα σας πείσει ότι πρέπει να είναι ορατό, αλλά ακόμα και αν το κρύψετε, δεν κρύβεται. Θα σας εξηγήσω αμέσως το γιατί.

Σε όλα τα ασύρματα δίκτυα τύπου 802.11, όταν κάποιος υπολογιστής επιχειρεί να συνδεθεί σε κάποιο SSID, ακόμα και κρυμμένο, στέλνει unencrypted frames, και ένα από αυτά περιέχει και το SSID στο οποίο επιθυμεί να συνδεθεί. Πρόκειται για μια ολόκληρη “συνομιλία” από clear text δεδομένα, οπότε καταλαβαίνετε ότι με έναν wireless network sniffer μπορεί κάποιος να δει καθαρά και ξάστερα το SSID που εσείς νομίζετε ότι κρύβετε.

Είναι αξιοθάυμαστο λοιπόν πόσο συχνά ακούμε αυτή τη συμβουλή: “το SSID να μην γίνεται broadcast.” Καταλάβατε ήδη ότι είτε το κρύψεις, είτε δεν το κρύψεις, πάλι broadcast γίνεται.

Η άλλη συμβουλή που ακούμε συχνά είναι να επιτρέπουμε μόνο συγκεκριμένες MAC διευθύνσεις να συνδεθούν στο ασύρματο δίκτυό μας. Μπορείτε να την αγνοήσετε και αυτή. Πρόκειται ούτως ή άλλως για έναν διαχειριστικό εφιάλτη (administrative nightmare) κάθε φορά που θέλεις να βάλεις έναν νέο ασύρματο client, να πρέπει να βρεις την MAC Address του και να την ορίσεις σωστά στο access point ή στον ασύρματο router. Όπως παραπάνω, αρκεί ένας sniffer για να “πιάσει” τα unencrypted πακέτα που λέγαμε, ώστε να δεί την MAC Address κάποιου client που εκείνη τη στιγμή είχε την ατυχία να συνδεθεί στο ασύρματο δίκτυο. Από αυτό το σημείο και μετά, αρκεί να χρησιμοποιήσουμε ένα μικρό και θαυματουργό software, όπως το SMAC 2.0 MAC Address Changer, για να “προσποιηθούμε” ότι ο υπολογιστής μας έχει την καλοδεχούμενη από το access point MAC Address. Τόσο απλά.

 Τί προτείνεται λοιπόν για καλύτερη ασφάλεια? Βάλτε WPA2 στο ασύρματο δίκτυό σας (αν οι συσκευές σας είναι παλιές, συμβιβαζόμαστε και με το WPA). Η ασφάλεια που προσφέρει είναι απείρως καλύτερη από τις παραπάνω δήθεν τεχνικές και σε γενικές γραμμές έχει δοκιμαστεί με καλά αποτελέσματα σε πολλές περιπτώσεις.