Skryte SSID?
Cau, Martin Schejbal, co sa tyka skryvania SSID, v podstate je to zbytocna zvrhlost. vysvetlim preco:1. SSID je skratka od Service Set Identifier (alebo po slovensky Identifikator Suboru Sluzieb, dufam ze si to este pamatam spravne). Bol navrhnuty tak aby nebol utajovany. V podstate kazdy ucastnik komunikacie (napriklad AP) ho posle na poziadanie, aj ked je mozne aby ho AP nebroadcastovalo. Kazdy pouzitelnejsi soft (Kismet, Aircrack-ng, inSSIDer) ti ho bez problemov vypise, aj ked sa nebroadcastuje. Skryvat ho je absolutne zbytocne, nevidim na to dovod.
2. Co je podla mna horsie a to je ovela zavaznejsi dovod na nepouzivanie hidden SSID, je, ze vo vacsine klientov (pocitac, tablet, smartfon), ak si pridas hidden SSID do listu znamych sieti, tak sa wifi klient snazi zistit, ci sa hidden SSID v jeho okoli nenachadza. Pre wifi siete, ktore broadcastuju svoje SSID, klient iba pasivne pocuva a porovnava so svojim listom, pre hidden SSID periodicky sonduje, ci sa SSID v dosahu nenachadza. To znamena, ak si doma nastavis hidden SSID, a so svojim smartfonom cestujes, tak kazdy, kto pocuva tvoju komunikaciu trebars v kaviarni alebo na letisku, vie ze niekde mas hidden SSID s takymto nazvom. Mozno pre domacich userov je to zanedbatelne, ale pre ludi s vyssimi narokmi na bezpecnost je to velke riziko, takze hidden SSID nikto nepouziva.
pozri napriklad http://technet.microsoft.com/en-us/library/bb726942.aspx... Co ale ma zasadny vyznam, je nastavit si netrivialne SSID, totizto na WPA/WPA2 existuje v podstate iba slovnikovy utok hrubou silou. To znamena, ze utocnik generuje symetricky kluc, pouzivany pre sifrovanie ramcov, zjednodusene povedane ten symetricky kluc sa generuje casovo narocnou operaciou z viacerych vstupnych dat, jeden z nich je aj SSID. Ako ulahcenie tohto utoku boli par rokov dozadu predgenerovane duhove tabulky pre 1000 najpouzivanejsich SSID - v podstate databaza klucov pre pouzivane SSID, takze utocnik namiesto generovania klucov a overovania voci wifi sieti porovnava generovany kluc s databazou, ktora sa vola duhove tabulky.Ak chces o tom vediet nieco viac pozri si http://www.renderlab.net/projects/WPA-tables/... A SSID typu "Free public WIFI", "linksys" "VOIP" by som sa oblukom vyhybal, list SSID pre ktore su vygenerovane rainbow tables je na http://www.wigle.net/gps/gps//Stat... A este posledna vec: nespomina sa to casto, ale na WPA/WPA2 sietach s PSK (preshared key) moze autentifikovany uzivatel odpocuvat toho druheho a jednoducho vykonat MITM utok. To znamena, ak sedite vo verejnej WIFI, neratajte s tym ze silne heslo vas ochrani pred tym aby vas sused prihlaseny do tej istej wifi nevidel vsetok vas sietovy traffic. To sa da dosiahnut iba s WPA-Enterprise, kde je EAP (a su tam typicky viacere komponenty, ako radius server).Takze pozor na otvorene protokoly ako http alebo smtp, pripadne aj trebars DNS komunikacia povie vela, pripadne zmanipulovat ju a podsuvat neprave odpovede je trivialne. Zaverom: nepouzivat hidden SSID, pouzivat netrivialne SSID, dlhy WPA2 password a hlavne ratat s tym ze wifi je vzdy z principu nebezpecne, uz len preto, ze sa neda (ako na ethernetovej sieti trebars) vylucit ze vsetka komunikacia je odpocuvana a moze byt lahko (99% WIFI sieti nepouziva WPA-2 Enterprise s EAP) manipulovana, takze pouzivat bud L2 VPN az do bezpecneho miesta alebo TLS.