Sicherheit bei drahtlosen Verbindungen

Ein Beispiel WLAN router, das kann implementieren Sicherheit bei drahtlosen Verbindungen Merkmale

Sicherheit bei drahtlosen Verbindungen ist die Verhinderung des nicht autorisierten Zugriffs oder einer Beschädigung von Computern oder Daten mit Verwendung kabellos Netzwerke, die enthalten Wi-Fi-Netzwerke. Der Begriff kann sich auch auf den Schutz des drahtlosen Netzwerks von Gegnern beziehen, die die Beschädigung des Schadens geben möchten Vertraulichkeit, Integrität oder Verfügbarkeit des Netzwerks. Der häufigste Typ ist Wi-Fi-Sicherheit, welches beinhaltet Kabelgebundene Äquivalent Privatsphäre (WEP) und Wi-Fi-geschützter Zugang (WPA). WEP ist ein alter IEEE 802.11 -Standard von 1997.^[1] Es ist ein notorisch schwacher Sicherheitsstandard: Das Kennwort, das es verwendet, kann häufig in wenigen Minuten mit einem einfachen Laptop und weit verbreiteten Softwaretools geknackt werden.^[2] WEP wurde 2003 von WPA oder Wi-Fi-geschützten Zugang abgelöst. WPA war eine schnelle Alternative, um die Sicherheit gegenüber WEP zu verbessern. Der aktuelle Standard ist WPA2;^[3] Einige Hardware können WPA2 ohne Firmware -Upgrade oder -Sändigkeit nicht unterstützen. WPA2 verwendet ein Verschlüsselungsgerät, das das Netzwerk mit einem 256-Bit-Schlüssel verschlüsselt. Die längere Schlüssellänge verbessert die Sicherheit gegenüber WEP. Unternehmen erzwingen die Sicherheit häufig mit einem Zertifikat-Basierendes System zum Authentifizieren des Verbindungsgeräts nach dem Standard 802.11x.

Viele Laptop -Computer haben drahtlose Karten vorinstalliert. Die Möglichkeit, ein Netzwerk einzugeben, während Mobile große Vorteile hat. Das drahtlose Netzwerk ist jedoch anfällig für einige Sicherheitsprobleme. Hacker haben drahtlose Netzwerke relativ einfach gefunden, in die man sich in die Kabine eintreffen, um sich in kabelgebundene Netzwerke zu hacken. Infolgedessen ist es sehr wichtig, dass Unternehmen wirksame Richtlinien für drahtlose Sicherheit definieren, die sich gegen den unbefugten Zugang zu wichtigen Ressourcen bewachen.^[4] Systeme für drahtlose Eindringungspräventione (Wips) oder Kabellose Intrusionserkennungssysteme (WEDs) werden üblicherweise zur Durchsetzung von Richtlinien für drahtlose Sicherheit verwendet.

Sicherheitseinstellungsfeld für a DD-wrt Router

Die Risiken für Benutzer von drahtloser Technologie haben zugenommen, da der Service beliebter geworden ist. Es gab relativ wenige Gefahren, als die drahtlose Technologie zum ersten Mal eingeführt wurde. Hacker hatten noch keine Zeit, sich an die neue Technologie zu rücken, und drahtlose Netzwerke wurden häufig am Arbeitsplatz gefunden. Es gibt jedoch viele Sicherheitsrisiken mit den aktuellen drahtlosen Protokollen und Verschlüsselung Methoden und in der Nachlässigkeit und Unwissenheit, die auf dem Benutzer und der IT -Ebene des Unternehmens existiert.^[5] Hacking -Methoden sind mit drahtloser Zugang viel anspruchsvoller und innovativer geworden. Das Hacken ist auch viel einfacher und zugänglicher mit einfach zu bedienender Fenster- oder Linux-Basierte Tools, die kostenlos im Web zur Verfügung gestellt werden.

Einige Organisationen, die keine haben drahtlose Zugangspunkte Installiert ist nicht der Meinung, dass sie drahtlose Sicherheitsbedenken ausgehen müssen. In-Stat-MDR- und Meta Group haben geschätzt, dass 95% aller Unternehmens-Laptop-Computer, die 2005 gekauft werden sollen, mit drahtlosen Karten ausgestattet waren. Probleme können in einer angeblich nicht bestreitigen Organisation auftreten, wenn ein drahtloser Laptop in das Unternehmensnetzwerk angeschlossen ist. Ein Hacker könnte sich auf dem Parkplatz aussetzen und Informationen von ihm über Laptops und/oder andere Geräte sammeln oder sogar durch diesen Laptop mit drahtloser Karte einbrechen und Zugang zum Wired -Netzwerk erhalten.

Hintergrund

Jeder innerhalb des geografischen Netzwerkbereichs eines offenen, unverschlüsselten drahtlosen Netzwerks kann "schnüffeln", oder erfassen und aufnehmen, die VerkehrErhalten Sie unbefugten Zugriff auf interne Netzwerkressourcen sowie auf das Internet und verwenden Sie dann die Informationen und Ressourcen, um disruptive oder illegale Handlungen durchzuführen. Solche Sicherheitsverletzungen sind sowohl für Unternehmens- als auch für Heimnetzwerke zu wichtigen Bedenken geworden.

Wenn die Router -Sicherheit nicht aktiviert ist oder wenn der Eigentümer sie aus Gründen der Bequemlichkeit deaktiviert, schafft dies eine kostenlose Hotspot. Da die meisten Laptop-PCs des 21. Jahrhunderts drahtlose Netzwerke integriert haben (siehe Intel "Centrino"Technologie), sie brauchen keinen Drittanbieter-Adapter wie a PCMCIA -Karte oder USB Dongle. Das integrierte drahtlose Netzwerk kann standardmäßig aktiviert werden, ohne dass der Eigentümer es merkt, wodurch die Zugänglichkeit des Laptops auf einen Computer in der Nähe übertragen wird.

Moderne Betriebssysteme wie z. Linux, Mac OS, oder Microsoft Windows Machen Sie es ziemlich einfach, einen PC als drahtlose LAN -Basisstation mithilfe der Basisstation einzurichten Internetverbindung teilenso, dass alle PCs im Haus über den "Basis" -PC auf das Internet zugreifen können. Mangel an Kenntnissen unter den Benutzern über die Sicherheitsprobleme, die bei der Einrichtung solcher Systeme innewohnt, können jedoch anderen den Zugang zur Verbindung in der Nähe in der Nähe ermöglichen. Eine solche "Huckepacking" wird normalerweise ohne das Wissen des drahtlosen Netzwerkbetreibers erreicht; es kann sogar sein Ohne die Kenntnis des eindringenden Benutzer Wenn sein Computer automatisch ein nahe gelegenes ungesichertes drahtloses Netzwerk auswählt, um sie als Zugriffspunkt zu verwenden.

Die Bedrohungssituation

Die drahtlose Sicherheit ist nur ein Aspekt der Computersicherheit. Organisationen können jedoch besonders anfällig für Sicherheitsverletzungen sein^[6] verursacht durch Rogue -Zugangspunkte.

Wenn ein Mitarbeiter (vertrauenswürdiges Unternehmen) in a WLAN router und an einen ungesicherten Switchport angeschlossen, kann das gesamte Netzwerk jedem in Reichweite der Signale ausgesetzt sein. Wenn ein Mitarbeiter mit einem offenen USB -Anschluss eine drahtlose Schnittstelle zu einem vernetzten Computer hinzufügt, kann er in ähnlicher Weise einen Verstoß erzeugen Netzwerksicherheit Dies würde den Zugang zu vertraulichen Materialien ermöglichen. Es gibt jedoch wirksam Gegenmaßnahmen (Wie bei der Deaktivierung von offenen Switchports während der Switch -Konfiguration und der VLAN -Konfiguration zur Begrenzung des Netzwerkzugriffs stehen zum Schutz sowohl des Netzwerks als auch der Informationen zur Verfügung, aber solche Gegenmaßnahmen müssen einheitlich auf alle Netzwerkgeräte angewendet werden.

Bedrohungen und Schwachstellen in einem industriellen Kontext (M2M)

Aufgrund seiner Verfügbarkeit und der geringen Kosten steigt die Verwendung von drahtlosen Kommunikationstechnologien in Domänen über die ursprünglich beabsichtigten Verwendungsbereiche, z. M2M -Kommunikation in industriellen Anwendungen. Solche industriellen Anwendungen haben häufig spezifische Sicherheitsanforderungen. Daher ist es wichtig, die Merkmale solcher Anwendungen zu verstehen und die Schwachstellen mit dem höchsten Risiko in diesem Zusammenhang zu bewerten. Die Bewertung dieser Schwachstellen und der daraus resultierenden Sicherheitskataloge in einem industriellen Kontext, wenn WLAN, NFC und Zigbee berücksichtigt werden, sind verfügbar.^[7]

Der Mobilitätsvorteil

Kabellos Netzwerke sind sowohl für Organisationen als auch für Einzelpersonen sehr häufig. Viele Laptop -Computer haben drahtlose Karten vorinstalliert. Die Möglichkeit, ein Netzwerk einzugeben, während Mobile große Vorteile hat. Das drahtlose Netzwerk ist jedoch anfällig für einige Sicherheitsprobleme.^[8] Hacker haben drahtlose Netzwerke relativ einfach gefunden, in die man sich in die Kabine eintreffen, um sich in kabelgebundene Netzwerke zu hacken.^[9] Infolgedessen ist es sehr wichtig, dass Unternehmen wirksame Richtlinien für drahtlose Sicherheit definieren, die sich gegen den unbefugten Zugang zu wichtigen Ressourcen bewachen.^[4] Systeme für drahtlose Eindringungspräventione (Wips) oder Kabellose Intrusionserkennungssysteme (WEDs) werden üblicherweise zur Durchsetzung von Richtlinien für drahtlose Sicherheit verwendet.

Das Risiko der Luftschnittstelle und Verknüpfung des Korruptions

Es gab relativ wenige Gefahren, wenn die drahtlose Technologie erstmals eingeführt wurde, da die Bemühungen, die Kommunikation aufrechtzuerhalten, hoch war und die Anstrengung zum Eintauchen immer höher ist. Die Vielfalt der Risiken für Benutzer von drahtloser Technologie hat zugenommen, da der Service immer beliebter geworden ist und die Technologie häufiger verfügbar ist. Heute gibt es eine große Anzahl von Sicherheitsrisiken mit den aktuellen drahtlosen Protokollen und Verschlüsselung Methoden, wie Unachtsamkeit und Unwissenheit auf dem Benutzer und der IT -Ebene des Unternehmens vorhanden sind.^[5] Hacking -Methoden sind mit Wireless viel anspruchsvoller und innovativer geworden.

Modi des nicht autorisierten Zugangs

Die Modi des nicht autorisierten Zugriffs auf Links, Funktionen und Daten sind so variabel, wie die jeweiligen Entitäten den Programmcode verwenden. Es gibt kein volles Umfangsmodell solcher Bedrohung. In gewissem Maße beruht die Prävention auf bekannten Modi und Angriffsmethoden und relevante Methoden zur Unterdrückung der angewandten Methoden. Jede neue Betriebsart erzeugt jedoch neue Bedrohungsmöglichkeiten. Daher erfordert die Prävention einen stetigen Verbesserungsantrieb. Die beschriebenen Angriffsmodi sind nur eine Momentaufnahme typischer Methoden und Szenarien, in denen sie angewendet werden sollen.

Zufällige Vereinigung

Die Verletzung des Sicherheitsumfangs eines Unternehmensnetzwerks kann aus verschiedenen Methoden und Absichten stammen. Eine dieser Methoden wird als „versehentliche Assoziation“ bezeichnet. Wenn ein Benutzer einen Computer einschaltet und er sich an einen drahtlosen Zugriffspunkt aus dem überlappenden Netzwerk eines benachbarten Unternehmens festlegt, weiß der Benutzer möglicherweise nicht einmal, dass dies aufgetreten ist. Es handelt sich jedoch um eine Sicherheitsverletzung, in der die firmeneigenen Unternehmensinformationen entlarvt werden, und jetzt könnte es einen Link von einem Unternehmen zum anderen geben. Dies gilt insbesondere dann, wenn der Laptop auch an ein kabelgebundenes Netzwerk süchtig ist.

Ein versehentlicher Assoziation ist ein Fall von drahtloser Verwundbarkeit, die als "Fehlanfall" bezeichnet wird.^[10] Fehlanfälle können zufällig, absichtlich sein (zum Beispiel durchgeführt, um Unternehmensfeuerwall zu umgehen), oder es kann sich aus bewussten Versuchen von drahtlosen Kunden ergeben, sie dazu zu bringen, sich mit den APs des Angreifers zu verbinden.

Bösartige Vereinigung

"Bösartige Verbände" sind, wenn drahtlose Geräte von Angreifern aktiv gemacht werden können, um über ihren Laptop anstelle eines Unternehmenszugangspunkts (AP) mit einem Unternehmensnetzwerk zu verbinden. Diese Arten von Laptops werden als „weiche APs“ bezeichnet und werden erstellt, wenn ein Cyber -Verbrecher einige läuft Software Das lässt seine drahtlose Netzwerkkarte wie ein legitimer Zugangspunkt aussehen. Sobald der Dieb Zugang erhalten hat, kann er/sie Passwörter stehlen, Angriffe auf das Kabelnetz oder die Anlage starten Trojaner. Da drahtlose Netzwerke auf der Ebene der Ebene 2 arbeiten, sind Schicht 3 Schutz wie Netzwerkauthentifizierung und Virtuelle private Netzwerke (VPNs) Bieten Sie keine Barriere an. Wireless 802.1x -Authentifizierungen helfen bei etwas Schutz, sind jedoch immer noch anfällig für Hacking. Die Idee hinter dieser Art von Angriff ist möglicherweise nicht, in a einzubrechen VPN oder andere Sicherheitsmaßnahmen. Höchstwahrscheinlich versucht der Verbrecher nur, den Klienten auf der Ebene der Ebene 2 zu übernehmen.

Ad -hoc -Netzwerke

Ad hoc Netzwerke können eine Sicherheitsbedrohung darstellen. Ad -hoc -Netzwerke werden als [Peer to Peer] -Netzwerke zwischen drahtlosen Computern definiert, die keinen Zugriffspunkt zwischen sich haben. Während diese Arten von Netzwerken normalerweise nur wenig Schutz haben, können Verschlüsselungsmethoden zur Sicherheit verwendet werden.^[11]

Das von Ad -hoc -Netzwerk bereitgestellte Sicherheitsloch ist nicht das Ad -hoc -Netzwerk selbst, sondern die Brücke, die es in andere Netzwerke bietet, normalerweise in der Unternehmensumgebung, und die unglücklichen Standardeinstellungen in den meisten Versionen von Microsoft Windows, um diese Funktion einzuschalten, es sei denn . Daher weiß der Benutzer möglicherweise nicht einmal, dass er ein ungesichertes Ad -hoc -Netzwerk auf seinem Computer in Betrieb hat. Wenn sie gleichzeitig auch ein kabelgebundenes oder drahtloses Infrastrukturnetzwerk verwenden, bieten sie über die ungesicherte Ad -hoc -Verbindung eine Brücke zum gesicherten Organisationsnetzwerk. Die Überbrückung erfolgt in zwei Formen. Eine direkte Brücke, bei der der Benutzer tatsächlich eine Brücke zwischen den beiden Verbindungen konfigurieren muss und daher wahrscheinlich nicht eingeleitet wird, sofern nicht ausdrücklich gewünscht wird, und eine indirekte Brücke, die die gemeinsam genutzten Ressourcen auf dem Benutzercomputer sind. Die indirekte Brücke kann private Daten aussetzen, die vom Computer des Benutzers an LAN-Verbindungen geteilt werden, z. B. gemeinsam genutzte Ordner oder privates Netzwerkspeicher, wodurch keine Unterscheidung zwischen authentifizierten oder privaten Verbindungen und nicht authentifizierten Ad-hoc-Netzwerken unterscheidet. Dies stellt keine Bedrohungen für offene/öffentliche oder ungesicherte WLAN -Zugangspunkte dar, aber die Firewall -Regeln können bei schlecht konfigurierten Betriebssystemen oder lokalen Einstellungen umgangen werden.^[12]

Nicht-traditionelle Netzwerke

Nicht-traditionelle Netzwerke wie persönliches Netzwerk Bluetooth Geräte sind nicht vor Hacking sicher und sollten als Sicherheitsrisiko angesehen werden.^[13] Eben Barcodeleser, Handheld PDAsund drahtlose Drucker und Kopierer sollten gesichert werden. Diese nicht-traditionellen Netzwerke können von IT-Personal, die sich eng auf Laptops und Zugangspunkte konzentriert haben, leicht übersehen werden.

Identitätsdiebstahl (Mac -Spoofing)

Identitätsdiebstahl (oder MAC Spoofing) tritt auf, wenn ein Hacker in der Lage ist, im Netzwerkverkehr zuzuhören und die zu identifizieren MAC-Adresse eines Computers mit Netzwerkrechte. Die meisten drahtlosen Systeme ermöglichen eine Art von Art von MAC -Filterung Nur autorisierte Computer mit bestimmten Mac -IDs zu ermöglichen, Zugriff zu erhalten und das Netzwerk zu nutzen. Es gibt jedoch Programme mit Netzwerk “schnüffeln" Fähigkeiten. Kombinieren Sie diese Programme mit anderen Software, mit denen ein Computer so tun kann,^[14] Und der Hacker kann diese Hürde leicht umgehen.

Die MAC -Filterung ist nur für kleine Netzwerke für Wohngebäude (SoHO) wirksam, da es nur dann Schutz bietet, wenn das drahtlose Gerät "aus der Luft" ist. Jedes 802.11 -Gerät "in der Luft" überträgt seine unverschlüsselte MAC -Adresse in seinen 802.11 -Headern frei und erfordert keine spezielle Ausrüstung oder Software, um sie zu erkennen. Jeder mit einem 802.11 -Empfänger (Laptop und drahtloser Adapter) und einem Freeware -Wireless -Paketanalysator kann die MAC -Adresse eines beliebigen Übertragers 802.11 in Reichweite erhalten. In einer organisatorischen Umgebung, in der die meisten drahtlosen Geräte während der gesamten aktiven Arbeitsschicht "in der Luft" sind, vermittelt die Mac -Filterung nur ein falsches Sicherheitsgefühl, da es nur "lässig" oder unbeabsichtigte Verbindungen zur Organisationsinfrastruktur verhindert und nichts unternimmt, um eine zu verhindern, Regieangriff.

MAN-in-the-Middle-Angriffe

A der Mann in der Mitte Der Angreifer verleitet Computer, sich bei einem Computer anzumelden, der als Soft AP eingerichtet ist (Zugangspunkt). Sobald dies erledigt ist, stellt sich der Hacker über eine andere drahtlose Karte mit einem echten Zugangspunkt her, der einen stetigen Verkehrsfluss über den transparenten Hacking -Computer zum realen Netzwerk bietet. Der Hacker kann dann am Verkehr schnüffeln. Eine Art von Man-in-the-Middle-Angriff stützt sich auf Sicherheitsfehler in der Herausforderung und in Handshake-Protokollen, um einen „De-Authentication-Angriff“ auszuführen. Dieser Angriff erzwingt die AP-vernetzten Computer, um ihre Verbindungen abzugeben und sich wieder mit dem Soft AP des Hackers zu verbinden (trennen Sie den Benutzer vom Modem, damit sie sich erneut mit ihrem Passwort verbinden müssen, das man aus der Aufzeichnung des Ereignisses extrahieren kann). Man-in-the-Middle-Angriffe werden durch Software wie Lanjack und Airjack verbessert, die mehrere Schritte des Prozesses automatisieren, was bedeutet Skript Kinder. Hotspots sind besonders anfällig für Angriffe, da in diesen Netzwerken kaum bis gar keine Sicherheit besteht.

Denial of Service

A Denial-of-Service-Angriff (DOS) tritt auf, wenn ein Angreifer ständig einen gezielten AP bombardiert (Zugangspunkt) oder Netzwerk mit falschen Anforderungen, vorzeitigen erfolgreichen Verbindungsnachrichten, Fehlermeldungen und/oder anderen Befehlen. Diese verursachen legitime Benutzer, nicht in der Lage zu sein, in das Netzwerk einzusteigen, und kann das Netzwerk sogar zum Absturz bringen. Diese Angriffe stützen sich auf den Missbrauch von Protokollen wie die Erweiterbares Authentifizierungsprotokoll (EAP).

Der DOS -Angriff in sich selbst ist wenig dazu beigetragen, organisatorische Daten einem böswilligen Angreifer auszusetzen, da die Unterbrechung des Netzwerks den Datenfluss verhindert und tatsächlich die Daten schützt, indem sie verhindern, dass sie übertragen werden. Der übliche Grund für die Durchführung eines DOS-Angriffs besteht darin, die Wiederherstellung des drahtlosen Netzwerks zu beobachten, in dem alle anfänglichen Handshake-Codes von allen Geräten erneut übertragen werden, was dem böswilligen Angreifer die Möglichkeit bietet, diese Codes aufzuzeichnen und verschiedene Risswerkzeuge zu verwenden Analyse von Sicherheitsschwächen und ausnutzen, um unbefugten Zugriff auf das System zu erhalten. Dies funktioniert am besten bei schwach verschlüsselten Systemen wie WEP, bei denen eine Reihe von Tools verfügbar sind, mit denen ein Angriff von "möglicherweise akzeptierten" Sicherheitsschlüssel auf der Grundlage des während der Netzwerkwiederherstellung erfassten Sicherheitsschlüssels "Modell" starten kann.

Netzwerkinjektion

Bei einem Netzwerkeinspritzangriff kann ein Hacker Zugangspunkte nutzen, die dem nicht-filterierten Netzwerkverkehr ausgesetzt sind, insbesondere des Netzwerkverkehrs wie „zum Beispiel“ wie „z. B.“Spannungsbaum”(802.1d), OSPF, RUHE IN FRIEDEN, und Hsrp. Der Hacker injiziert falsche Networking-Rekonfigurationsbefehle, die sich auf Router, Switches und intelligente Hubs auswirken. Ein ganzes Netzwerk kann auf diese Weise gesenkt werden und erfordert das Neustart oder sogar die Neuprogrammierung aller intelligenten Netzwerkgeräte.

Kaffees Angriff

Der Caffe Latte -Angriff ist eine weitere Möglichkeit, WEP zu besiegen. Es ist nicht notwendig, dass der Angreifer im Bereich der Netzwerk Verwenden Sie diesen Exploit. Durch Verwendung eines Prozesses, der auf die abzielt Fenster Wireless Stack ist möglich, die zu erhalten Wep Schlüssel von einem Remote -Client.^[15] Durch Senden einer Flut verschlüsselter Flut ARP Anfragen, der Angreifer nutzt die gemeinsam genutzte Schlüsselauthentifizierung und die Meldungsmodifikationsfehler in 802.11 Wep. Der Angreifer verwendet die ARP -Antworten, um den WEP -Schlüssel in weniger als 6 Minuten zu erhalten.^[16]

Konzepte für drahtlose Eindringungsprävention

Es gibt drei Hauptmethoden, um ein drahtloses Netzwerk zu sichern.

Für geschlossene Netzwerke (wie Heimnutzer und Organisationen) besteht die häufigste Möglichkeit, Zugriffsbeschränkungen in der zu konfigurieren Zugangspunkte. Diese Einschränkungen können Verschlüsselung und Überprüfungen einschließen MAC-Adresse. Systeme für drahtlose Eindringungspräventione Kann verwendet werden, um in diesem Netzwerkmodell eine drahtlose LAN -Sicherheit bereitzustellen.
Für kommerzielle Anbieter, HotspotsUnd große Organisationen, die bevorzugte Lösung besteht häufig darin, ein offenes und unverschlüsselter, aber vollständig isoliertes drahtloses Netzwerk zu haben. Die Benutzer haben zunächst keinen Zugriff auf das Internet oder auf lokale Netzwerkressourcen. Gewerbeanbieter leiten normalerweise den gesamten Webverkehr an a weiter Gefangenes Portal die Zahlungen und/oder Autorisierung vorsieht. Eine andere Lösung besteht darin, die Benutzer zu verlangen, dass sie sich sicher mit einem privilegierten Netzwerk verbinden können VPN.
Drahtlose Netzwerke sind weniger sicher als kabelgebundene. In vielen Büros können Eindringlinge ohne Probleme leicht ihren eigenen Computer besuchen und an das kabelgebundene Netzwerk anschließen, wobei es auch für Remote -Eindringlinge über den Netzwerk zugreifen kann, um über das Netzwerk über das Netzwerk zuzugreifen Hintertüren wie Rückenöffnung. Eine allgemeine Lösung kann eine End-to-End-Verschlüsselung sein, mit einer unabhängigen Authentifizierung zu allen Ressourcen, die der Öffentlichkeit nicht zur Verfügung stehen sollten.

Es gibt kein fertiges System, um die betrügerische Verwendung der drahtlosen Kommunikation zu verhindern oder Daten und Funktionen mit drahtlos kommunizierenden Computern und anderen Einheiten zu schützen. Es gibt jedoch ein System der Qualifizierung der ergriffenen Maßnahmen als Ganzes gemäß einem gemeinsamen Verständnis, was als Stand der Technik angesehen werden soll. Das Qualifikationssystem ist ein internationaler Konsens, wie in angegeben ISO/IEC 15408.

Ein drahtloses Intrusion Preventionssystem

A Kabellose Intrusion Preventionssystem (WIPS) ist ein Konzept für die robusteste Art, drahtlose Sicherheitsrisiken entgegenzuwirken.^[17] Solche WIPs existieren jedoch nicht als bereitgestellte Lösung für die Implementierung als Softwarepaket. A Wips wird normalerweise als Overlay zu einem vorhandenen implementiert WLAN Infrastruktur, obwohl sie eigenständig eingesetzt werden kann, um keine wirlosen Richtlinien innerhalb einer Organisation durchzusetzen. Wips gilt für die drahtlose Sicherheit so wichtig, dass im Juli 2009 die Zahlungskartenbranche Sicherheitsstandards Rat veröffentlichte drahtlose Richtlinien^[18] zum PCI DSS Empfehlung der Verwendung von WIPs zur Automatisierung des drahtlosen Scannens und des Schutzes für große Unternehmen.

Sicherheitsmaßnahmen

Es gibt eine Reihe von drahtlosen Sicherheitsmaßnahmen mit unterschiedlicher Wirksamkeit und Praktikabilität.

SSID versteckt

Eine einfache, aber ineffektive Methode, um zu versuchen, ein drahtloses Netzwerk zu sichern, besteht darin, die zu verbergen SSID (Service Set Identifier).^[19] Dies bietet nur sehr wenig Schutz vor irgendetwas anderes als die ungezwungensten Intrusionsanstrengungen.

MAC -ID -Filterung

Eine der einfachsten Techniken ist zu Nur Zugang zulassen Aus bekannten, vorab genehmigten MAC-Adressen. Die meisten drahtlosen Zugangspunkte enthalten eine Art von Art von MAC ID -Filterung. Ein Angreifer kann jedoch einfach an der MAC -Adresse eines autorisierten Kunden schnüffeln und ergriffen diese Adresse.

Statische IP -Adressierung

Typische drahtlose Zugangspunkte liefern IP -Adressen an Kunden über DHCP. Wenn Kunden ihre eigenen Adressen festlegen, wird es für einen lässigen oder unkomplizierten Eindringling schwieriger, sich beim Netzwerk anzumelden, bietet jedoch wenig Schutz vor einem ausgefeilten Angreifer.^[19]

802.11 Sicherheit

IEEE 802.1x ist das IEEE Standard Authentifizierung Mechanismen für Geräte, die sich an eine drahtlose LAN anbringen möchten.

Regelmäßiges WEP

Die kabelgebundene Äquivalent Privatsphäre (WEP) Verschlüsselung Standard war der ursprüngliche Verschlüsselungsstandard für Wireless, aber seit 2004 mit der Ratifizierung WPA2 Die IEEE hat es "veraltet" erklärt,^[20] Und während es oft unterstützt wird, ist es selten oder nie die Standardeinstellung moderner Geräte.

Bedenken hinsichtlich seiner Sicherheit wurden bereits 2001 geäußert.^[21] im Jahr 2005 von der dramatisch demonstriert FBI,^[22] doch 2007 T.J. Maxx gab eine massive Sicherheitsverletzung zu, die teilweise auf die Abhängigkeit von WEP zurückzuführen ist^[23] und die Zahlungskartenindustrie Bis 2008, um die Verwendung zu verbieten - und die bestehende Verwendung bis Juni 2010 noch zugelassen zu haben.^[24]

WPAV1

Das Wi-Fi-geschützter Zugang (WPA und WPA2) Sicherheitsprotokolle wurden später erstellt, um die Probleme mit WEP anzugehen. Wenn ein schwaches Passwort wie ein Wörterbuchwort oder eine kurze Zeichenfolge verwendet wird, können WPA und WPA2 geknackt werden. Verwenden eines lang genug zufälligen Passworts (z. B. 14 zufällige Buchstaben) oder Passphrase (z. B. 5 zufällig ausgewählte Wörter) macht Geteilter Schlüssel WPA praktisch nicht geschnitzbar. Die zweite Generation des WPA -Sicherheitsprotokolls (WPA2) basiert auf dem Finale IEEE 802.11i Änderung des 802.11 Standard und ist berechtigt FIPS 140-2 Beachtung. Bei all diesen Verschlüsselungsschemata kann jeder Client im Netzwerk, der kennt, dass die Schlüssel den gesamten Datenverkehr lesen können.

Wi-Fi Protected Access (WPA) ist eine Software-/Firmware-Verbesserung gegenüber WEP. Alle regelmäßigen WLAN-Ausstattungen, die mit WEP gearbeitet haben, können einfach aktualisiert werden und es muss keine neuen Geräte gekauft werden. WPA ist eine abgeschnittene Version der 802.11i Sicherheitsstandard, der von der entwickelt wurde IEEE 802.11 WEP ersetzen. Das Tkip Der Verschlüsselungsalgorithmus wurde für WPA entwickelt, um Verbesserungen des WEP bereitzustellen, das als eingesetzt werden konnte Firmware Upgrades auf vorhandene 802.11 -Geräte. Das WPA -Profil bietet auch optionale Unterstützung für die AES-CCMP Algorithmus, der der bevorzugte Algorithmus in 802.11i und WPA2 ist.

WPA Enterprise bietet RADIUS basierte Authentifizierung mit 802.1x. WPA Persönlich verwendet einen vorab geteilten gemeinsamen Schlüssel (PSK) Die Sicherheit unter Verwendung einer 8 bis 63 Zeichenpassphrase festlegen. Das PSK kann auch als Hexadezimalzeichen von 64 Zeichen eingegeben werden. Schwache PSK-Passphrasen können unter Verwendung von Offline-Wörterbuchangriffen unterbrochen werden, indem die Nachrichten im Vier-Wege-Austausch erfasst werden, wenn sich der Client nach der Deauthentized wieder verbindet. Drahtlose Suiten wie Flugzeugcrack-ng Kann eine schwache Passphrase in weniger als einer Minute knacken. Andere WEP/WPA -Cracker sind Airsnort und Auditor Security Collection.^[25] Dennoch ist WPA Personal sicher, wenn sie mit „guten“ Passphrasen oder einem vollständigen Hexadezimalschlüssel mit 64 Zeichen verwendet werden.

Es gab jedoch Informationen, dass Erik Tews (der Mann, der den Fragmentierungsangriff gegen WEP erstellt hat) einen Weg enthüllen, die WPA -TKIP -Implementierung auf der PacSEC -Sicherheitskonferenz von Tokio im November 2008 zu brechen und die Verschlüsselung auf einem Paket zwischen 12 zu knacken -15 Minuten.^[26] Trotzdem war die Ankündigung dieses "Cracks" von den Medien etwas übertrieben, denn ab August 2009 ist der beste Angriff auf die WPA (der Beck-TEWS-Angriff) nur teilweise erfolgreich, da es nur auf kurzen Datenpaketen funktioniert, es ist es Der WPA -Schlüssel kann nicht entschlüsseln und erfordert sehr spezifische WPA -Implementierungen, um zu arbeiten.^[27]

Ergänzungen zu WPAV1

Zusätzlich zu WPAV1, TKIP, Wide und EAP kann neben dem hinzugefügt werden. Ebenfalls, VPN-NETWorks (nicht kontinuierliche sichere Netzwerkverbindungen) können unter dem 802.11-Standard eingerichtet werden. VPN -Implementierungen umfassen Pptp, L2TP, Ipsec und Ssh. Diese zusätzliche Sicherheitsebene kann jedoch auch mit Werkzeugen wie Wut, Täuschung und geknackt werden Ettercap für PPTP;^[28] und ike-scan, ikeprobe, iPectraceund iKecrack für ipsec-Connections.

Tkip

Dies steht für das Temporal Schlüsselintegritätsprotokoll und das Akronym wird als Tee-Kip ausgesprochen. Dies ist Teil des IEEE 802.11i Standard. TKIP implementiert das Mischen von Paketschlüssel mit einem Wiederverschlüsseln und bietet auch eine Meldungsintegritätsprüfung. Diese vermeiden die Probleme von WEP.

EAP

Die WPA-Improvement über die IEEE 802.1x Standard verbesserte die Authentifizierung und Autorisierung für den Zugang von drahtloser und verdrahtetem Zugriff bereits Lans. Zusätzlich dazu zusätzliche Maßnahmen wie die Erweiterbares Authentifizierungsprotokoll (EAP) haben eine noch größere Sicherheit initiiert. Dies, da EAP einen zentralen Authentifizierungsserver verwendet. Leider entdeckte ein Maryland -Professor im Jahr 2002 einige Mängel. In den nächsten Jahren wurden diese Mängel mit der Verwendung von TLS und anderen Verbesserungen behandelt.^[29] Diese neue Version von EAP wird jetzt als Extended EAP bezeichnet und ist in mehreren Versionen erhältlich. Dazu gehören: EAP-MD5, PEAPV0, PEAPV1, EAP-MSCHAPV2, SPEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPV2 und EAP-SIM.

EAP-Versionen

Zu den EAP-Versionen zählen Leap, PEAP und andere EAPs.

SPRUNG

Dies steht für das leichte erweiterbare Authentifizierungsprotokoll. Dieses Protokoll basiert auf 802.1x und hilft, die ursprünglichen Sicherheitsfehler durch die Verwendung von WEP und ein ausgeklügeltes Schlüsselmanagementsystem zu minimieren. Diese EAP-Version ist sicherer als EAP-MD5. Dies verwendet auch die MAC -Adressauthentifizierung. Sprung ist nicht sicher; Der LEAPCRACKER kann verwendet werden, um zu brechen CiscoDie Version von Leap und werden gegen Computer verwendet, die mit einem Zugriffspunkt in Form von a verbunden sind Wörterbuchangriff. Anwrap und Asleap sind endlich andere Cracker, die den Sprung brechen können.^[25]

Peap

Dies steht für geschütztes extensible Authentifizierungsprotokoll. Dieses Protokoll ermöglicht einen sicheren Transport von Daten, Kennwörtern und Verschlüsselungsschlüssel, ohne dass ein Zertifikatserver erforderlich ist. Dies wurde von Cisco, Microsoft und entwickelt RSA -Sicherheit.

Andere EAPs Es gibt andere Arten von extensiblen Authentifizierungsprotokollimplementierungen, die auf dem EAP -Framework basieren. Der festgestellte Rahmen unterstützt vorhandene EAP -Typen sowie zukünftige Authentifizierungsmethoden.^[30] EAP-TLS bietet aufgrund seiner gegenseitigen Authentifizierung einen sehr guten Schutz. Sowohl der Client als auch das Netzwerk werden mithilfe von Zertifikaten und WEP-Schlüssel pro Sitzung authentifiziert.^[31] EAP-Fast bietet auch einen guten Schutz. EAP-TTLS ist eine weitere Alternative von Certicom und Funk-Software. Es ist bequemer, da man keine Zertifikate an Benutzer verteilen muss, aber etwas weniger Schutz als EAP-TLs bietet.^[32]

Eingeschränkte Zugangsnetzwerke

Lösungen umfassen ein neueres System für Authentifizierung, IEEE 802.1xDies verspricht, die Sicherheit sowohl für kabelgebundene als auch für drahtlose Netzwerke zu verbessern. Drahtlose Zugangspunkte, die Technologien wie diese häufig auch haben Router eingebaut, so werden drahtlose Gateways.

End-to-End-Verschlüsselung

Man kann das argumentieren, dass beide Schicht 2 und Schicht 3 Verschlüsselungsmethoden sind nicht gut genug, um wertvolle Daten wie Passwörter und persönliche E -Mails zu schützen. Diese Technologien fügen Teile des Kommunikationspfads nur Verschlüsselung hinzu und ermöglichen es den Menschen immer noch, den Verkehr auszuspionieren, wenn sie irgendwie Zugang zum verdrahteten Netzwerk erhalten haben. Die Lösung kann Verschlüsselung und Genehmigung in der sein Anwendungsschichtmit Technologien wie SSL, Ssh, Gnupg, PGP und ähnlich.

Der Nachteil mit der End-to-End-Methode ist, dass es möglicherweise nicht den gesamten Verkehr abdeckt. Mit der Verschlüsselung auf Routerebene oder VPN verschlüsselt ein einzelner Switch alle Datenverkehr, sogar UDP- und DNS -Lookups. Bei der End-to-End-Verschlüsselung hingegen muss jeder zu befreiende Dienst seine Verschlüsselung "eingeschaltet" haben, und oft muss jede Verbindung auch separat "eingeschaltet" werden. Zum Senden von E -Mails muss jeder Empfänger die Verschlüsselungsmethode unterstützen und die Schlüssel korrekt austauschen. Für Webs bieten nicht alle Websites HTTPS an, und selbst wenn dies der Fall ist, sendet der Browser IP -Adressen in Löschen von Text.

Die wertvollste Ressource ist häufig der Zugriff auf das Internet. Ein Büro -LAN -Eigentümer, der einen solchen Zugriff einschränken möchte, wird der nicht trivialen Durchsetzungsaufgabe, jedem Benutzer sich selbst für den Router authentifiziert, zu beschränken.

802.11i Sicherheit

Die neueste und strengste Sicherheit, die heute in WLANs umgesetzt werden kann, ist der 802.11i RSN-Standard. Dieser vollwertige 802.11i-Standard (der WPAV2 verwendet) erfordert jedoch die neueste Hardware (im Gegensatz zu WPAV1), was möglicherweise den Kauf neuer Geräte erfordert. Diese neue Hardware ist möglicherweise entweder AES-Wrap (eine frühe Version von 802.11i) oder die neuere und bessere AES-CCMP-Ausstattung sein. Man sollte sicherstellen, dass man Wrap- oder CCMP-Ausstattung benötigt, da die 2 Hardware-Standards nicht kompatibel sind.

WPAV2

WPA2 ist eine WiFi Alliance -Markenversion des endgültigen 802.11i -Standards.^[33] Die primäre Verbesserung gegenüber WPA ist die Einbeziehung der AES-CCMP Algorithmus als obligatorisches Merkmal. Sowohl WPA als auch WPA2 unterstützen EAP -Authentifizierungsmethoden unter Verwendung von Radius -Servern und Preshared Key (PSK).

Die Anzahl der WPA- und WPA2 -Netzwerke nimmt zu, während die Anzahl der WEP -Netzwerke abnimmt.^[34] Wegen der Sicherheitslücken in WEP.

Es wurde festgestellt, dass WPA2 mindestens eine Sicherheitsanfälligkeit hat, mit Spitznamen Hole196. Die Sicherheitsanfälligkeit verwendet den WPA2 Group Temporal Key (GTK), der ein gemeinsamer Schlüssel unter allen Benutzern derselben ist BSSID, um Angriffe auf andere Benutzer derselben zu starten BSSID. Es ist nach Seite 196 der IEEE 802.11i -Spezifikation benannt, in der die Sicherheitsanfälligkeit diskutiert wird. Damit dieser Exploit durchgeführt werden kann, muss der GTK vom Angreifer bekannt sein.^[35]

Ergänzungen zu WPAV2

Im Gegensatz zu 802.1x verfügt 802.11i bereits mit den meisten weiteren Sicherheitsdiensten wie TKIP. Wie bei WPAV1 kann WPAV2 möglicherweise in Zusammenarbeit mit arbeiten EAP und ein Wide.

WAPI

Dies steht für die WLAN -Authentifizierung und die Datenschutzinfrastruktur. Dies ist ein von der definierter drahtloser Sicherheitsstandard Chinesisch Regierung.

Smartcards, USB -Token und Software -Token

Sicherheitstoken Verwendung ist eine Authentifizierungsmethode, die nur autorisierte Benutzer mit dem erforderlichen Token besitzt. Smartcards sind physikalische Token in den Karten, die einen eingebetteten integrierten Schaltungschip zur Authentifizierung verwenden und einen Kartenleser erfordert.^[36] USB -Token sind physische Token, die über einen USB -Anschluss eine Verbindung herstellen, um den Benutzer zu authentifizieren.^[37]

HF -Abschirmung

In einigen Fällen ist es praktisch, spezialisierte Wandfarbe und Fensterfilme in ein Raum oder Gebäude aufzutragen, um die drahtlosen Signale erheblich abzuschwächen, wodurch sich die Signale nicht außerhalb einer Einrichtung ausbreiten. Dies kann die drahtlose Sicherheit erheblich verbessern, da es für Hacker schwierig ist, die Signale über den kontrollierten Bereich einer Einrichtung hinaus zu erhalten, beispielsweise von einem Parkplatz.^[38]

Verweigerung der Dienstverteidigung

Die meisten DOS -Angriffe sind leicht zu erkennen. Viele von ihnen sind jedoch auch nach der Entdeckung schwer zu stoppen. Hier sind drei der häufigsten Möglichkeiten, einen DOS -Angriff zu stoppen.

Schwarzes Holing

Black Holing ist eine mögliche Möglichkeit, einen DOS -Angriff zu stoppen. Dies ist eine Situation, in der wir alle IP -Pakete von einem Angreifer fallen lassen. Dies ist keine sehr gute langfristige Strategie, da Angreifer ihre Quelladresse sehr schnell ändern können.

Dies kann negative Auswirkungen haben, wenn sie automatisch durchgeführt werden. Ein Angreifer konnte mit der IP -Adresse eines Unternehmenspartners wissentlich angreifen. Automatisierte Abwehrkräfte könnten den legitimen Verkehr von diesem Partner blockieren und zusätzliche Probleme verursachen.

Validierung des Handschlags

Durch die Validierung des Handschlags werden falsche Öffnungen erstellt und Ressourcen nicht beiseite gelegt, bis der Absender bestätigt. Einige Firewalls befassen sich mit Syn-Überschwemmungen, indem sie den TCP-Handshake vorab validieren. Dies geschieht durch Erstellen falscher Öffnungen. Wenn ein Syn -Segment eintrifft, sendet die Firewall ein Syn/ACK -Segment zurück, ohne das SYN -Segment an den Zielserver weiterzugeben.

Erst wenn die Firewall einen ACK zurückbekommt, der nur in einer legitimen Verbindung passieren würde, würde die Firewall das ursprüngliche SYN -Segment an den Server senden, für den sie ursprünglich beabsichtigt war. Die Firewall legt keine Ressourcen für eine Verbindung bei, wenn ein SYN -Segment eintrifft. Daher ist es nur eine geringe Belastung, eine große Anzahl falscher Syn -Segmente zu bewältigen.

Ratenbegrenzung

Die Ratenbeschränkung kann verwendet werden, um eine bestimmte Art von Verkehr auf einen Betrag zu reduzieren, mit dem sie vernünftigerweise behandelt werden können. Das Rundfunk in das interne Netzwerk könnte weiterhin verwendet werden, jedoch nur zu einer begrenzten Geschwindigkeit. Dies ist für subtilere DOS -Angriffe. Dies ist gut, wenn ein Angriff auf einen einzelnen Server gerichtet ist, da die Übertragungsleitungen zumindest teilweise für andere Kommunikation geöffnet werden.

Die Rate Begrenzung frustriert sowohl den Angreifer als auch die legitimen Benutzer. Dies hilft, löst das Problem jedoch nicht vollständig. Sobald DOS -Verkehr die Zugangslinie ins Internet verstopft, kann eine Grenzfeuerwall nichts tun, um die Situation zu unterstützen. Die meisten DOS -Angriffe sind Probleme der Community, die nur mit Hilfe von ISPs und Organisationen gestoppt werden können, deren Computer als Bots übernommen und zum Angriff anderer Unternehmen verwendet werden.

Mobile Geräte

Mit zunehmender Anzahl mobiler Geräte mit 802.1x -Schnittstellen wird die Sicherheit solcher mobilen Geräte zu einem Problem. Während offene Standards wie Kismet darauf abzielen, Laptops zu sichern,^[39] Access Points Solutions sollten sich auch auf die Abdeckung mobiler Geräte erstrecken. Hostbasierte Lösungen für mobile Handys und PDAs mit 802.1x -Schnittstelle.

Die Sicherheit innerhalb mobiler Geräte fallen in drei Kategorien:

Schutz vor Ad -hoc -Netzwerken
Verbindung zu Schurkenzugriffspunkten herstellen
Gegenseitige Authentifizierungsschemata wie WPA2 wie oben beschrieben

Drahtlose IPs Lösungen bieten nun drahtlose Sicherheit für mobile Geräte.

Mobile Patientenüberwachungsgeräte werden zu einem wesentlichen Bestandteil der Gesundheitsbranche und diese Geräte werden schließlich zur Methode der Wahl für den Zugang zu und die Umsetzung von Gesundheitsprüfungen für Patienten in abgelegenen Bereichen. Für diese Arten von Patientenüberwachungssystemen sind Sicherheit und Zuverlässigkeit von entscheidender Bedeutung, da sie den Zustand der Patienten beeinflussen können und medizinische Fachkräfte im Dunkeln den Zustand des Patienten im Dunkeln lassen können, wenn sie beeinträchtigt werden.^[40]

Implementierung der Netzwerkverschlüsselung

Um 802.11i zu implementieren, muss zunächst sicherstellen, dass sowohl die Router-/Zugriffspunkte (en) als auch alle Client -Geräte tatsächlich für die Unterstützung der Netzwerkverschlüsselung ausgestattet sind. Wenn dies erledigt ist, wie ein Server wie RADIUS, Anzeigen, Nds, oder LDAP muss integriert werden. Dieser Server kann ein Computer im lokalen Netzwerk, ein Access Point / Router mit integriertem Authentifizierungsserver oder einen Remote -Server sein. APs/Router mit integrierten Authentifizierungsservern sind oft sehr teuer und speziell eine Option für die kommerzielle Verwendung wie Hot Spots. Hosted 802.1x Server über das Internet erfordern eine monatliche Gebühr. Das Ausführen eines privaten Servers ist kostenlos, hat jedoch den Nachteil, dass man ihn einrichten muss und dass der Server kontinuierlich eingeschaltet sein muss.^[41]

Um einen Server einzurichten, müssen Server- und Client -Software installiert werden. Die benötigte Serversoftware ist ein Enterprise -Authentifizierungsserver wie Radius, Anzeigen, NDs oder LDAP. Die erforderliche Software kann von verschiedenen Lieferanten als Microsoft, Cisco, Funk-Software, Meetinghouse-Daten und einige Open-Source-Projekte ausgewählt werden. Software enthält:

Aradial Radius Server
Cisco Secure Access Control Software
Freeradius (Open Source)
Funk -Software Stahlgitter Radius (Odyssey)
Microsoft Internet -Authentifizierungsdienst
Meetinghouse Data Eagis
Skyfriendz (kostenlose Cloud -Lösung basierend auf Freeradius)

Die Client-Software wird mit Windows XP integriert und kann mit einer der folgenden Software in andere Betriebssysteme integriert werden:

Aegis-Client
Cisco Acu-Client
Intel Proset/Wireless Software
Odyssey -Kunde
Xsupplicant (Open1X) -Projekt

RADIUS

Remote -Authentifizierungs -Zifferblatt im Benutzerdienst (Radius) ist ein AAA -Protokoll (Authentifizierung, Autorisierung und Buchhaltung) Wird für den Remote -Netzwerkzugriff verwendet. Radius, der 1991 entwickelt wurde, wurde ursprünglich proprietär, aber dann 1997 unter ISOC -Dokumenten RFC 2138 und RFC 2139 veröffentlicht.^[42]^[43] Die Idee ist, dass ein Insider-Server als Gatekeeper fungiert, indem die Identitäten über einen Benutzernamen und ein Passwort überprüft werden, das bereits vom Benutzer festgelegt ist. Ein Radius -Server kann auch konfiguriert werden, um die Benutzerrichtlinien und -beschränkungen sowie die Aufzeichnungsinformationen wie die Verbindungszeit für Zwecke wie die Abrechnung durchzusetzen.

Öffnen Sie Zugangspunkte

Heute gibt es in vielen städtischen Gebieten eine fast vollständige Abdeckung des drahtlosen Netzwerks - die Infrastruktur für die drahtloses Community -Netzwerk (was manche als die Zukunft des Internets betrachten^[wer?]) ist bereits vorhanden. Man könnte herumlaufen und immer mit dem Internet verbunden sein, wenn die Knoten für die Öffentlichkeit zugänglich waren. Aus Sicherheitsgründen sind die meisten Knoten jedoch verschlüsselt und die Benutzer wissen nicht, wie sie die Verschlüsselung deaktivieren sollen. Viele Leute^[wer?] Betrachten Sie es für die richtige Etikette, um Zugangspunkte der Öffentlichkeit zugänglich zu machen, und ermöglicht den freien Zugang zum Internet. Andere^[wer?] Denken Sie, dass die Standardverschlüsselung einen erheblichen Schutz vor kleinen Unannehmlichkeiten bietet, vor Gefahren des offenen Zugangs, von dem sie befürchten, dass sie selbst bei einem DSL -Router zu Hause erheblich sein könnten.

Die Dichte der Zugangspunkte kann sogar ein Problem sein - es stehen eine begrenzte Anzahl von Kanälen zur Verfügung und überlappen sich teilweise. Jeder Kanal kann mehrere Netzwerke bearbeiten, aber Orte mit vielen privaten drahtlosen Netzwerken (z. B. Apartmentkomplexen), kann die begrenzte Anzahl von Wi-Fi-Funkkanälen Langsamkeit und andere Probleme verursachen.

Nach Angaben der Befürworter von Open Access Points sollte es keine erheblichen Risiken eingehen, um drahtlose Netzwerke für die Öffentlichkeit zu eröffnen:

Das drahtlose Netzwerk ist schließlich auf ein kleines geografisches Gebiet beschränkt. Ein Computer, der mit dem Internet verbunden ist und unangemessene Konfigurationen oder andere Sicherheitsprobleme mit sich bringt, kann von jedem von überall auf der Welt ausgenutzt werden, während nur Kunden in einem kleinen geografischen Bereich einen offenen drahtlosen Zugangspunkt ausnutzen können. Somit ist die Belichtung niedrig mit einem offenen drahtlosen Zugangspunkt, und die Risiken mit einem offenen drahtlosen Netzwerk sind gering. Man sollte sich jedoch bewusst sein, dass ein offener drahtloser Router den Zugriff auf das lokale Netzwerk gewährt, das häufig Zugriff auf Dateianteile und Drucker enthält.
Die einzige Möglichkeit, die Kommunikation wirklich sicher zu halten, besteht darin, zu verwenden End-to-End-Verschlüsselung. Zum Beispiel würde man beim Zugriff auf eine Internetbank fast immer eine starke Verschlüsselung aus dem Webbrowser und bis zur Bank verwenden - daher sollte es nicht riskant sein, über ein unverschlüsseltes drahtloses Netzwerk zu sanften. Das Argument ist, dass jeder, der den Datenverkehr für kabelgebundene Netzwerke gilt, auch für Kabelnetzwerke gilt, in denen Systemadministratoren und mögliche Hacker Zugriff auf die Links haben und den Datenverkehr lesen können. Jeder kann die Schlüssel für ein verschlüsselter drahtloses Netzwerk kennen, um Zugriff auf die Daten zu erhalten, die über das Netzwerk übertragen werden.
Wenn Dienste wie Dateiaktien, Zugriff auf Drucker usw. im lokalen Netz verfügbar sind, ist es ratsam, eine Authentifizierung (d. H. Durch Passwort) für den Zugriff auf ihn zu haben (man sollte niemals davon ausgehen, dass das private Netzwerk von außen nicht zugänglich ist). Richtig eingerichtet, sollte es sicher sein, den Zugriff auf das lokale Netzwerk auf Außenstehende zu ermöglichen.
Mit den beliebtesten Verschlüsselungsalgorithmen heute kann ein Sniffer normalerweise in wenigen Minuten den Netzwerkschlüssel berechnen.
Es ist sehr üblich, eine feste monatliche Gebühr für die Internetverbindung zu zahlen, und nicht für den Datenverkehr. Daher ist ein zusätzlicher Verkehr nicht nachteilig.
Wenn Internetverbindungen reichlich und billig sind, werden Freeloader selten ein herausragendes Ärgernis sein.

Andererseits in einigen Ländern, einschließlich Deutschland,^[44] Personen, die einen offenen Zugangspunkt anbieten, können (teilweise) für illegale Aktivitäten über diesen Zugangspunkt verantwortlich gemacht werden. Außerdem geben viele Verträge mit ISPs an, dass die Verbindung möglicherweise nicht mit anderen Personen geteilt wird.

Siehe auch

Flugzeugcrack-ng
Elektromagnetische Abschirmung
Kismet
Krack
Liste der Router -Firmware -Projekte
Mobile Sicherheit
Zahlungskartenbranche Datensicherheitsstandard
Stealth Wallpaper
Sturm (Codename)
Kabellose Intrusion Preventionssystem
Drahtlose öffentliche Schlüsselinfrastruktur (WPKI)
Ausbeutung von drahtlosen Netzwerken

Verweise

^ IEEE 802.11-1997 Informationstechnologie-Telekommunikations- und Informationsaustausch zwischen systemlokalem und Metropolitan-Gebietsnetzwerken-spezifische Anforderungen an die Teile 11: Spezifikationen für LAN-Medienzugriffskontrolle (MAC) und physikalische Schicht (PHY). 1997. doi:10.1109/ieeestd.1997.85951. ISBN 978-0-7381-3044-6.
^ "Definition von WEP". PCmag. Abgerufen 2021-06-04.
^ LinkedIn. "Wie können Sie ein Wi-Fi-Netzwerk mit WPA2 sichern?". Lebenswire. Abgerufen 2021-06-04.
^ ^a ^b "Wie man: Definieren von drahtlosen Netzwerksicherheitsrichtlinien". Abgerufen 2008-10-09.
^ ^a ^b "Wireless Security Primer (Teil II)". Windowscurity.com. 2003-04-23. Abgerufen 2008-04-27.
^ "Die WLAN -Sicherheitsstücke zusammenfügen". pcworld.com. 2008-10-30. Abgerufen 2008-10-30.
^ "Sicherheitslücken und Risiken bei der industriellen Nutzung der drahtlosen Kommunikation". IEEE ETFA 2014 - 19. IEEE Internationale Konferenz über aufstrebende Technologie und Fabrikautomatisierung. Abgerufen 2014-08-04.
^ "Netzwerksicherheitstipps". Cisco. Abgerufen 2011-04-19.
^ "Der versteckte Nachteil der drahtlosen Netzwerke". Abgerufen 2010-10-28.
^ "Top -Gründe, warum Corporate -WLAN -Kunden mit nicht autorisierten Netzwerken verbunden sind". Infosesicherheit. 2010-02-17. Abgerufen 2010-03-22.
^ Margaret Rouse. "Verschlüsselung". TechTarget. Abgerufen 26. Mai 2015.
^ Bradely Mitchell. "Was ist der Ad-hoc-Modus im drahtlosen Netzwerk?". über Technik. Abgerufen 26. Mai 2015.
^ Browning, Dennis; Kessler, Gary (2009). "Bluetooth -Hacking: Eine Fallstudie". Journal of Digital Forensics, Sicherheit und Recht. doi:10.15394/jdfsl.2009.1058. ISSN 1558-7223.
^ "SMAC 2.0 MAC -Adresswechsler". klcconinging.com. Abgerufen 2008-03-17.
^ Lisa Phifer. "Der Caffe Latte -Angriff: Wie es funktioniert - und wie man es blockiert". wi-fiplanet.com. Abgerufen 2008-03-21.
^ "Caffe Latte mit einem kostenlosen Aufwand von Cracked WEP: Wep-Schlüssel von Road-Warriors abrufen". Abgerufen 2008-03-21.
^ "Official PCI Security Standards Council Site - Überprüfen Sie die PCI -Einhaltung, Download Datensicherheit und Kreditkartensicherheitsstandards".
^ "PCI DSS Wireless Richtlinien" (PDF). Abgerufen 2009-07-16.
^ ^a ^b OU, George (März 2005). "Die sechs dümmsten Möglichkeiten, um einen drahtlosen Lan zu sichern". ZDNET.
^ "Was ist ein WEP -Schlüssel?". lirent.net. Abgerufen 2008-03-11.
^ [z.B. "Schwächen im wichtigsten Planungsalgorithmus von RC4" von Fluhrer, Mantin und Shamir
^ "FBI lehrt Lektion, wie man in Wi-Fi-Netzwerke einbricht". InformationWeek.com.
^ "Analyse des TJ Maxx Data Security Fiasco". New York State Society of CPAs.
^ "PCI DSS 1.2".
^ ^a ^b Kabellose Netzwerke für Dummies hacken. ISBN 9780764597305.
^ Robert McMillan. "Einmal für sicher, die WPA-Wi-Fi-Verschlüsselung ist geknackt". Idg. Abgerufen 2008-11-06.
^ Nate Anderson (2009). "Einminütiger WiFi-Riss betrifft den WPA weiter unter Druck.". ARS Technica. Abgerufen 2010-06-05.
^ Kevin Beaver; Peter T. Davis; Devin K. Akin (2011-05-09). Kabellose Netzwerke für Dummies hacken. p. 295. ISBN 978-1-118-08492-2.
^ "Extensible Authentifizierungsprotokollübersicht". TECHNET. Abgerufen 26. Mai 2015.
^ "Extensible Authentifizierungsprotokollübersicht". Microsoft Technet. Abgerufen 2008-10-02.
^ Joshua Bardwell; Devin Akin (2005). CWNA Offizieller Studienführer (Dritter Aufl.). McGraw-Hill. p. 435. ISBN 978-0-07-225538-6.
^ George OU. "Ultimate Wireless Security Guide: Eine Grundierung zur Cisco EAP-Fast-Authentifizierung". TechRepublic. Archiviert von das Original Am 2012-07-07. Abgerufen 2008-10-02.
^ "Wi-Fi-geschützter Zugriff". Wi-Fi-Allianz. Archiviert von das Original am 21. Mai 2007. Abgerufen 2008-02-06.
^ "Perücken - drahtlose geografische Protokollierungsmotor - Statistiken".
^ "WPA2 Hole196 Schwachstellen". 2019-01-28.
^ "Secure Technology Alliance". Abgerufen 23. April 2021.
^ Etienne, Stefan (2019-02-22). "Die besten Hardware-Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung". Der Verge. Abgerufen 2021-06-03.
^ "Wie man: die drahtlose Sicherheit durch Abschirmung verbessern". Abgerufen 2008-10-09.
^ "Was ist Kismet?". kismetwireless.net. Abgerufen 2008-02-06.
^ Khamish Malhotra; Stephen Gardner; Will Mepham. "Eine neuartige Implementierung des SEA -Protokolls von Signature, Verschlüsselung und Authentifizierung (SEA) auf mobilen Patientenüberwachungsgeräten". IOS Press. Abgerufen 2010-03-11.
^ BRIERE, Danny; Hurley, Pat (30. September 2005). Drahtlose Netzwerke, Hacks und Mods für Dummies. ISBN 9780764595837.
^ Jonathan Hassell (2003). Radius: Sicherung öffentlicher Zugang zu privaten Ressourcen. O'Reilly Media. S. 15–16. ISBN 9780596003227.
^ John Vollbrecht (2006). "Die Anfänge und Geschichte des Radius" (PDF). Verknüpfungsnetzwerke. Abgerufen 2009-04-15.
^ "Offene Netzwerke Auch für Deutschland!". netzpolitik.org. 2006-09-15.

Wi-foo: Die Geheimnisse des drahtlosen Hackens (2004) - ISBN978-0-321-20217-8
Real 802.11 Sicherheit: Wi-Fi-geschützter Zugriff und 802.11i (2003) - ISBN978-0-321-13620-6
Entwurf und Implementierung von WLAN -Authentifizierung und -sicherheit(2010) - ISBN978-3-8383-7226-6
"Die Entwicklung der drahtlosen Sicherheit von 802.11" (PDF). Itffroc. 2010-04-18.
Boyle, Randall, Panko, Raymond.Unternehmenscomputersicherheit.Upper Saddle River, New Jersey.2015

Externe Links

[802.11-1997-1] IEEE 802.11-1997 Informationstechnologie-Telekommunikations- und Informationsaustausch zwischen systemlokalem und Metropolitan-Gebietsnetzwerken-spezifische Anforderungen an die Teile 11: Spezifikationen für LAN-Medienzugriffskontrolle (MAC) und physikalische Schicht (PHY). 1997. doi:10.1109/ieeestd.1997.85951. ISBN 978-0-7381-3044-6.

[2] "Definition von WEP". PCmag. Abgerufen 2021-06-04.

[3] LinkedIn. "Wie können Sie ein Wi-Fi-Netzwerk mit WPA2 sichern?". Lebenswire. Abgerufen 2021-06-04.

[wireless-nets.com-4] "Wie man: Definieren von drahtlosen Netzwerksicherheitsrichtlinien". Abgerufen 2008-10-09.

[Wireless_Security_Primer_Part_II-5] "Wireless Security Primer (Teil II)". Windowscurity.com. 2003-04-23. Abgerufen 2008-04-27.

[6] "Die WLAN -Sicherheitsstücke zusammenfügen". pcworld.com. 2008-10-30. Abgerufen 2008-10-30.

[7] "Sicherheitslücken und Risiken bei der industriellen Nutzung der drahtlosen Kommunikation". IEEE ETFA 2014 - 19. IEEE Internationale Konferenz über aufstrebende Technologie und Fabrikautomatisierung. Abgerufen 2014-08-04.

[Network_Security_Tips-8] "Netzwerksicherheitstipps". Cisco. Abgerufen 2011-04-19.

[districtadministration.com-9] "Der versteckte Nachteil der drahtlosen Netzwerke". Abgerufen 2010-10-28.

[10] "Top -Gründe, warum Corporate -WLAN -Kunden mit nicht autorisierten Netzwerken verbunden sind". Infosesicherheit. 2010-02-17. Abgerufen 2010-03-22.

[11] Margaret Rouse. "Verschlüsselung". TechTarget. Abgerufen 26. Mai 2015.

[12] Bradely Mitchell. "Was ist der Ad-hoc-Modus im drahtlosen Netzwerk?". über Technik. Abgerufen 26. Mai 2015.

[13] Browning, Dennis; Kessler, Gary (2009). "Bluetooth -Hacking: Eine Fallstudie". Journal of Digital Forensics, Sicherheit und Recht. doi:10.15394/jdfsl.2009.1058. ISSN 1558-7223.

[14] "SMAC 2.0 MAC -Adresswechsler". klcconinging.com. Abgerufen 2008-03-17.

[15] Lisa Phifer. "Der Caffe Latte -Angriff: Wie es funktioniert - und wie man es blockiert". wi-fiplanet.com. Abgerufen 2008-03-21.

[16] "Caffe Latte mit einem kostenlosen Aufwand von Cracked WEP: Wep-Schlüssel von Road-Warriors abrufen". Abgerufen 2008-03-21.

[17] "Official PCI Security Standards Council Site - Überprüfen Sie die PCI -Einhaltung, Download Datensicherheit und Kreditkartensicherheitsstandards".

[18] "PCI DSS Wireless Richtlinien" (PDF). Abgerufen 2009-07-16.

[dumb-19] OU, George (März 2005). "Die sechs dümmsten Möglichkeiten, um einen drahtlosen Lan zu sichern". ZDNET.

[20] "Was ist ein WEP -Schlüssel?". lirent.net. Abgerufen 2008-03-11.

[21] [z.B. "Schwächen im wichtigsten Planungsalgorithmus von RC4" von Fluhrer, Mantin und Shamir

[22] "FBI lehrt Lektion, wie man in Wi-Fi-Netzwerke einbricht". InformationWeek.com.

[23] "Analyse des TJ Maxx Data Security Fiasco". New York State Society of CPAs.

[24] "PCI DSS 1.2".

[ReferenceA-25] Kabellose Netzwerke für Dummies hacken. ISBN 9780764597305.

[26] Robert McMillan. "Einmal für sicher, die WPA-Wi-Fi-Verschlüsselung ist geknackt". Idg. Abgerufen 2008-11-06.

[27] Nate Anderson (2009). "Einminütiger WiFi-Riss betrifft den WPA weiter unter Druck.". ARS Technica. Abgerufen 2010-06-05.

[28] Kevin Beaver; Peter T. Davis; Devin K. Akin (2011-05-09). Kabellose Netzwerke für Dummies hacken. p. 295. ISBN 978-1-118-08492-2.

[29] "Extensible Authentifizierungsprotokollübersicht". TECHNET. Abgerufen 26. Mai 2015.

[30] "Extensible Authentifizierungsprotokollübersicht". Microsoft Technet. Abgerufen 2008-10-02.

[31] Joshua Bardwell; Devin Akin (2005). CWNA Offizieller Studienführer (Dritter Aufl.). McGraw-Hill. p. 435. ISBN 978-0-07-225538-6.

[32] George OU. "Ultimate Wireless Security Guide: Eine Grundierung zur Cisco EAP-Fast-Authentifizierung". TechRepublic. Archiviert von das Original Am 2012-07-07. Abgerufen 2008-10-02.

[33] "Wi-Fi-geschützter Zugriff". Wi-Fi-Allianz. Archiviert von das Original am 21. Mai 2007. Abgerufen 2008-02-06.

[34] "Perücken - drahtlose geografische Protokollierungsmotor - Statistiken".

[35] "WPA2 Hole196 Schwachstellen". 2019-01-28.

[36] "Secure Technology Alliance". Abgerufen 23. April 2021.

[37] Etienne, Stefan (2019-02-22). "Die besten Hardware-Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung". Der Verge. Abgerufen 2021-06-03.

[38] "Wie man: die drahtlose Sicherheit durch Abschirmung verbessern". Abgerufen 2008-10-09.

[39] "Was ist Kismet?". kismetwireless.net. Abgerufen 2008-02-06.

[40] Khamish Malhotra; Stephen Gardner; Will Mepham. "Eine neuartige Implementierung des SEA -Protokolls von Signature, Verschlüsselung und Authentifizierung (SEA) auf mobilen Patientenüberwachungsgeräten". IOS Press. Abgerufen 2010-03-11.

[41] BRIERE, Danny; Hurley, Pat (30. September 2005). Drahtlose Netzwerke, Hacks und Mods für Dummies. ISBN 9780764595837.

[42] Jonathan Hassell (2003). Radius: Sicherung öffentlicher Zugang zu privaten Ressourcen. O'Reilly Media. S. 15–16. ISBN 9780596003227.

[Vollbrecht2006-43] John Vollbrecht (2006). "Die Anfänge und Geschichte des Radius" (PDF). Verknüpfungsnetzwerke. Abgerufen 2009-04-15.

[44] "Offene Netzwerke Auch für Deutschland!". netzpolitik.org. 2006-09-15.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]