Access Point - hidden wireless network?

09/02/2014 - 07:05 von Magnus Warker | Report spam
Hallo,

mein Linux-Client (Gnome NetworkManager) zeigt mir immer die ganzen
WLANs an, die er so findet. Es gibt aber auch die Option "Connect to
hidden wireless network.". Dann kann ich mich mit WLANs verbinden, die
vorher nicht gelistet wurden?

Was hat es damit auf sich? Ist es nicht sinnvoll, sein eigenes WLAN zu
verstecken? Man muss sich den Nachbarn ja nicht aufdràngen, oder?

Mein Access Point bietet die Option "Enable SSID Broadcast". Ist das
damit gemeint?

Wenn ich das abschalte: Ist dann nur mein WLAN "unsichtbar", aber ich
kann es trotzdem verwenden wie immer?

Danke
Magnus
 

Lesen sie die antworten

#1 Juergen P. Meier
09/02/2014 - 08:22 | Warnen spam
Magnus Warker :
Hallo,

mein Linux-Client (Gnome NetworkManager) zeigt mir immer die ganzen
WLANs an, die er so findet. Es gibt aber auch die Option "Connect to
hidden wireless network.". Dann kann ich mich mit WLANs verbinden, die
vorher nicht gelistet wurden?



WLAN Accesspoints broadcasten regelmaessig sog. Beacons, also Pakete
in denen sie ihr WLAN bekanntmachen. Zusaetzlich zu normalen
WLAN-Paketen.

In *jedem* WLAN-Paket steht jedoch die SSID (der Name) des WLANs und ein
Flag, dass wenn gesetzt alle Empfaenger darum bittet, doch ganz brav
die enthaltene SSID bitteschoen als total geheim "versteckt!!1delf"
und "superdupermegageheim!11erl" zu behandeln und dem Luser nicht in
der Liste "gefundener" WLANs anzuzeigen.

Brave und Regelkonforme WLAN-Software haelt sich an diese Bitte und
zeigt so "versteckte" SSIDs nicht an. Um sich mit so einem WLAN zu
verbinden musst du die SSID als Nutzer einer solch verdummenden
Software "erraten".

Ordentliche WLAN-Software zeigt hingegen auch derart "versteckte!!elf"
SSIDs an und ermoeglichen auch das joinen durch bequemes anklicken.

Das hat mit Sicheheit so viel zu tun wie eine Wollmuetze auf deren
Stirnseite der Aufdruck "Unsichtbar!" angebracht wurde. Wenn du damit
auf deinem Kopf in einen Bus steigst, bist du ungefaehr genauso
unsichtbar wie wenn du dieses "Sicherheitsfeature!!elf" deines WLANs
aktivierst.

Im Gegenteil: SSIDs die keine Beacons versenden und
SSID-unterdrueckung per Flag signalisieren sind geradezu einladende
Leuchtfeuer und wiesen auf jemanden hin, der sich mit unverstandenen
und unzulaenglichen technischen Mitteln iregendwas absichern moechte.
(=lohnendere Ziele)

Was hat es damit auf sich? Ist es nicht sinnvoll, sein eigenes WLAN zu
verstecken? Man muss sich den Nachbarn ja nicht aufdràngen, oder?



Es ist eine Dumme Idee, das SSID Verstecken-Flag anzuschalten. Aus
drei Gruenden (s.U.)

Mein Access Point bietet die Option "Enable SSID Broadcast". Ist das
damit gemeint?



Vermutlich, auch wenn es damit falsch beschriftet ist. ABer wie schon
gesagt, nciht mal die Hersteller dieses Schrotts haben das mit der
Sicherheit richtig verstanden. Zahlreiche Faelle von Luecken in APs
belegen diese Feststellung eindrucksvoll.

Wenn ich das abschalte: Ist dann nur mein WLAN "unsichtbar", aber ich
kann es trotzdem verwenden wie immer?



Nein. Dein WLAN wird nicht "unsichtbar". Im Gegenteil: dein WLAN
bekommt eine leuchtende, rotierende und weithin sichtbare rote
Warnlampe die jeden darauf hinweist, dass du diese falsch verstandene
"Sicherheitsfunktoin" angeschaltet hat, und somit dein WLAN selbst als
auch deine WLAN-Clients ein ganzes Stueck unsicherer gemacht hast.

Warum unsicherer? hier kommt die Erklaerung:

1.) WLANs werden von Clients idR. *nur* ueber ihre SSID identifiziert
(authentifizierung). D.h. dein Client (Smartphone, Notebook etc.) kann
*dein* WLAN von denen fremder *nur* ueber die Zeichenkette der SSID
auseinander halten.

Du stellst in deinem WLAN Client aber eine Vertrauensstellung fuer das
WLAN mit deiner SSID ein, erlaubst deinem Client automatisches
verbinden etc. (bei Smartphones ist das der Default und kaum zu aendern)

2.) Die wenigsten WLAN-Clients (nur Microsoft Windows per GPO [ab 7]
sowie Apple Mac OS X 10.6 und neuer - wobei Apple das immer wieder
gerne mit dem naechsten Update kaputt macht!, iOS nur mit WLAN-Profil)
sind ueberhaupt in der Lage es dem Admin zu ermoeglichen vorzugeben,
*welche* Sicherheitseinstellungen zu einem bekannten und vertrauten
(per Text-Match der SSID identifizierten) WLAN *mindestens*
erfuellt werden muessen, bei WPA2 mit EAP-TLS (aka "enterprise",
"infrastruktur" oder "radius") auch mit welchem Zertifikat sich das
WLAN gegenueber dem Client authentifizieren muss.
Bei Linux nur wenn man das ganze per hand macht - mit NM o.ae. hat man
da verloren. Ebenso wie bei allen Android-Implementierungen.
Die buchen sich bei uebereinstimmender SSID auch in jedes
unverschluesselte WLAN ein und glauben im heimischen vertrauten Netz
zu landen.

3.) Bei SSID-Namenskollisionen, also wenn ein WLAN-Client zwei
verschiedene WLANs mit der *selben* SSID sieht, gewinnt das mit
den SSID-Broadcasts, egal wie stark der Empfang. Weil ein Client
zuerst nach Broadcasts Ausschau haelt bevor er versucht in eine derart
"versteckte" SSID einzubuchen.


So, Fazit dieser drei Fakten:

Wenn dein WLAN SSID-unterdrueckung aktiviert hat, kann jeder
dahergelaufene HAnswurst (oder deine Nachbarn) praktisch alle deine
WLAN-Geraete "entfuehren" in dem sie einfach ein offenes WLAN mit der
selben SSID wie dein "verstecktes" WLAN anbieten (die SSID erfahren
sie durch einfaches Sniffen). Alle deine Android-Geraete, alle falsch
konfigurierten Windows-Clients (XP oder auch 7 und 8 ohne passende GPO -
und wer betreibt schon eine AD-Domaene mit GPOs zu Hause..) alle nicht
ueber ein von einem iPhone Configuration Utility erstellten
WLAN-Konfigurationsprofil ausgestattete iOS Geraet und alle anderen
Clients (Drucker, Fernseher etc.) buchen sich naemlich *bevorzugt*
in das WLAN ein, dass den vertrauten SSID-Namen traegt und *nicht*
versteckt ist.

Mit versteckter SSID hast du also nicht nur keinerlei Schutz vor
Neugierigen (weil das "verstecken" kein verstecken ist, sondern nur
das Anbringen einer "dieses SSID bitte ignorieren!" Plakette an jedem
WLAN-Paket darstellt), du hast dir auch noch alle deine WLAN-Clients
einem einfachen Hijacking-Angriff ausgeliefert.


Soviel zu SSID-Verstecken.

(PS: Manche Smart-TVs haben neben WLAN auch noch eine Kamera eingebaut...)


Eine Ganz Dumme Idee[tm].


Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen