PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Microsoft rät davon ab die SSID zu verstecken


WhiteVelvet
2008-02-29, 13:27:11
Steht einmal hier:

http://www.heise.de/security/Drahtlos-Einbruch-trotz-WPA-dank-WLAN-Automatik--/news/meldung/104228/from/atom10

und hier:

http://technet.microsoft.com/de-de/library/bb726942(en-us).aspx#EDAA

Was ist da dran? Soll ich es wirklich abschalten und die SSID raussenden? Ich sitz hier an einem Firmen-WLAN mit knapp 50 APs und WPA2 ...

san.salvador
2008-02-29, 13:38:28
Als Privatanwender habe ich bisher noch keinen Sinn darin entdeckt, die SSID zu verstecken. Hab ich da was verpasst? :D

Grestorn
2008-02-29, 13:40:01
Steht einmal hier:

http://www.heise.de/security/Drahtlos-Einbruch-trotz-WPA-dank-WLAN-Automatik--/news/meldung/104228/from/atom10

und hier:

http://technet.microsoft.com/de-de/library/bb726942(en-us).aspx#EDAA (http://technet.microsoft.com/de-de/library/bb726942%28en-us%29.aspx#EDAA)

Was ist da dran? Soll ich es wirklich abschalten und die SSID raussenden? Ich sitz hier an einem Firmen-WLAN mit knapp 50 APs und WPA2 ...

Es macht keinen Sinn die SSID nicht zu versenden. Es ist keinerlei zusätzliche Sicherheitshürde für potentielle Angreifer.

Man macht sich nur selbst das Leben schwerer.

Botcruscher
2008-02-29, 14:12:42
Die findet eh jeder Scanner. Ansich ist es egal ob versteckt oder nicht. Von Windowsbugs mal abgesehen...

Gast
2008-02-29, 15:13:21
Steht einmal hier:

http://www.heise.de/security/Drahtlos-Einbruch-trotz-WPA-dank-WLAN-Automatik--/news/meldung/104228/from/atom10Guten Morgen :usweet:
http://www.forum-3dcenter.org/vbulletin/showthread.php?t=405890

Fatality
2008-02-29, 15:27:07
Es macht keinen Sinn die SSID nicht zu versenden. Es ist keinerlei zusätzliche Sicherheitshürde für potentielle Angreifer.

Es führt dazu das ein Nachbar, der nicht gerade ein richtiges scan-tool nutzt, nichts vom eigenen wlan sieht.

Warum sollte man sich das leben schwerer machen? man weiß doch wie das eigene wlan heisst...

san.salvador
2008-02-29, 15:30:25
Mein Nachbar sieht auch mein Netz - nur was hilts ihm, wenn er ein WPA-gesichertes Netz namens "rambalamba" findet?

Fatality
2008-02-29, 15:41:53
Mein Nachbar sieht auch mein Netz - nur was hilts ihm, wenn er ein WPA-gesichertes Netz namens "rambalamba" findet?

er weiß das es da ist auch ohne richtige scantools benutzt zu haben.

san.salvador
2008-02-29, 15:45:47
er weiß das es da ist auch ohne richtige scantools benutzt zu haben.
Ich seh das Problem nicht. :D

Fatality
2008-02-29, 15:51:08
und ich sehe nicht was problematisch sein soll wenn "ssid senden" deaktiviert ist wenn man weiß wie das eigene wlan heisst.

da.phreak
2008-02-29, 15:58:29
und ich sehe nicht was problematisch sein soll wenn "ssid senden" deaktiviert ist wenn man weiß wie das eigene wlan heisst.

Es bereitet potentiell Probleme, da der Betrieb so nicht vorgesehen ist. Im konkreten Fall führt es zu Sicherheitsproblemen.

Botcruscher
2008-02-29, 16:22:54
... von Windows. Router oder Linux packt es überhaupt nicht.

...da der Betrieb so nicht vorgesehen ist.

Seit 11b ist das schon lange so und WPA gibts noch nicht soooo lange... Immer sind die anderen schuld.

Fatality
2008-02-29, 16:27:46
Im konkreten Fall führt es zu Sicherheitsproblemen.

das wäre mir neu, wo genau?

Supa
2008-02-29, 16:32:40
Fakt ist doch wohl das jemand der ein WLAN knacken will, ganz sicher das WLAN finden wird obwohl es versteckt ist, und der jenige der ein verstecktes WLAN nicht findet, der wird es auch nicht knacken wenns sichtbar ist...

Folgerung: warum sich das Leben unnötig kompliziert machen. Und sei es nur das eintippen des Namens. Zeit ist Geld.

Gast
2008-02-29, 16:37:13
Fakt ist doch wohl das jemand der ein WLAN knacken will, ganz sicher das WLAN finden wird obwohl es versteckt ist, und der jenige der ein verstecktes WLAN nicht findet, der wird es auch nicht knacken wenns sichtbar ist...Gelegenheit macht Diebe. Warum ein Auto abschließen? Einem professionellen Autoknacker ist es doch egal, der knackt das Auto sowieso. Und wer nicht weiß, dass es nicht abgeschlossen ist, dem kann es ja egal sein. Also in Zukunft alle Autos offen lassen! Oder?

da.phreak
2008-02-29, 16:46:13
das wäre mir neu, wo genau?

Ich zitiere einfach mal den Heise-Artikel:

Dabei spielt das häufig zur WLAN-Sicherung empfohlene Verstecken des Funknetznamens dem Angreifer sogar in die Hände, weswegen Microsoft vom Abschalten des SSID Broadcast abrät. Denn wenn der Client kein WLAN mit aktivem SSID Broadcast findet, versucht er sich aktiv per Probe Request zu verbinden und offenbart dabei die versteckt geglaubte SSID.

--

Diese Diskussion wir ja hier öfters geführt. Dabei gibt es zwei Argumente. Die einen sagen, es bringt ein bißchen mehr Sicherheit, die anderen sagen, es führt zu keinem Sicherheitsgewinn. Ich schließe mich der letzten Meinung an.

Ich möchte die Argumentation mal in andere Worte packen. Diejenigen, die für ein bißchen Sicherheitsgewinn sind, gehen von einem additiven Modell aus. Nehmen wir mal an, es gibt drei Sicherheitsmaßnahmen, die eine Sicherheit von A 1, B 9 und C 2 haben. Ich gebe absichtlich keine Maßeinheit an, da es keine gibt. Eine höhere Zahl soll lediglich ausdrücken, daß die Maßnahme eine höhere Sicherheit bietet. Anhänger dieser Theorie zählen alles zusammen, 1+9+2=12 und sagen die Sicheheit hat sich erhöht.

Ich kann mich dem nicht anschließen, da ich die Additivität nicht nachvollziehen kann. Dieser Fall funktioniert ähnlich wie der Spruche "die Kette ist so start wie das schwächste Glied", nur andersrum. Jemand, der Maßnahme B knacken kann, kann auch Maßnahme A und C umgehen. Somit ergibt sich keine Additivität, die Sicherheit bleibt bei 9, egal wieviele schwache Maßnahmen man einführt.

Wahrscheinlich liegt die Wahrheit wie so oft irgendwo dazwischen. Wenn ich 100 schwache Maßnahmen einführe, muß sich der Angreifer mit jeder beschäftigen, was ihm Zeit kostet. Es bringt evtl. ein ganz klein wenig. Aber die paar wenigen Maßnahmen, die immer verbreitet werden (SSID abschalten, DHCP aus usw.) bringen fast garnichts im Gegensatz zu WPA-Verschlüsselung, und wenn es dumm kommt sogar noch Ärger bzw. eine Verminderung der Sicherheit.

huha
2008-02-29, 16:46:52
... von Windows. Router oder Linux packt es überhaupt nicht.

Schön. Daher heißt der Thread aber auch--täterätätä--Microsoft rät davon ab. Und daß sie davon abraten, ist eine Tatsache, die man auch als Linuxuser nicht totschweigen kann.

Seit 11b ist das schon lange so und WPA gibts noch nicht soooo lange... Immer sind die anderen schuld.

Als Verschwörungstheoretiker und insbesondere Microsoft-Verschwörungstheoretiker mag das natürlich eine angebrachte Argumentation sein, hier geht's aber darum, daß Microsoft vor einer Maßnahme abrät, die zwar möglich ist, aber nur ein falsches Gefühl der Sicherheit erzeugt; früher sowieso schon, jetzt aber auch ein ganz konkretes Sicherheitsrisiko birgt.
Sich daran jetzt aufzuhängen fände ich genauso obskur, wie Microsoft den Vorwurf zu machen, daß sie immer betonen, man solle keine unbekannten ActiveX-Objekte auf Webseiten ausführen. Es gibt ein Sicherheitsrisiko, das durch bestimmte Vorgehensweisen umgangen werden kann und MS sagt dir sogar, warum und wie.

Wie man das nicht verstehen kann, ist mir zwar unerklärlich aber sagt schon sehr viel über denjenigen aus, der das nicht versteht.
-huha

Skullcleaver
2008-02-29, 16:53:27
und ich sehe nicht was problematisch sein soll wenn "ssid senden" deaktiviert ist wenn man weiß wie das eigene wlan heisst.

Problematisch eher weniger aber Sinnlos. Das mit dem einladen zieht auch nicht. EIn sichtbares Netzwerk mit WPA lässt auch erfahrene Wardriver scheitern.

WEP vllt nicht aber die finden das Netzwerk so oder so.

Nen WEP knacken wiederrum können aber Leute in der Regel nicht die nichtmal nen verstecktes Netz finden.

Davon ab kann man es auch noch lustiger haben mit ner MacSperre.

Man kann es abschalten wenn man dann ruhiger schlafen kann aber wirklich sinn hats davon mal abgesehen nicht.

Gast
2008-02-29, 18:22:29
Schön. Daher heißt der Thread aber auch--täterätätä--Microsoft rät davon ab. Und daß sie davon abraten, ist eine Tatsache, die man auch als Linuxuser nicht totschweigen kann.Das will auch keiner totschweigen, sondern sich fragen, warum sie kein Update bringen, wenn es unter vielen anderen Betriebssystemen kein Sicherheitsrisiko darstellt.

Schwer oder? :|

Grestorn
2008-02-29, 18:36:34
Das will auch keiner totschweigen, sondern sich fragen, warum sie kein Update bringen, wenn es unter vielen anderen Betriebssystemen kein Sicherheitsrisiko darstellt.

Schwer oder? :|

So wie ich den Text verstehe ist das kein spezielles Problem von MS.

Avalox
2008-02-29, 18:55:43
Die richtige Idee ist es sogar eine eigene EMail Adresse als SSID zu verwenden. So, dass wenn man jemanden aufs Schwein geht, sich dieser wenigstens melden kann.

Botcruscher
2008-03-02, 17:47:21
So wie ich den Text verstehe ist das kein spezielles Problem von MS.

Bis jetzt ja. Mal sehen was auf der CeBIT gezeigt wird.

Und Huha, das verstecken des Netzwerknamens brachte noch nie Sicherheit. Der Macfilter ist genau so ein quark.

Das Problem liegt hier:Später nimmt der Laptop automatisch wieder Kontakt auf, wenn man das nicht ausdrücklich in den Eigenschaften der WLAN-Karte unter "Drahtlosnetzwerke" untersagt hat.

Trotz Verschlüsselung ist der _CLIENT_ der Verursacher. Windows sendet Daten welche man mit jedem guten Scanner auch so finden würde.