¿Restringir los nombres de las computadoras a las que se les permite conectarse a una red wifi proporciona seguridad?

Question

¿Restringir los nombres de las computadoras a las que se les permite conectarse a una red wifi proporciona seguridad?

#1 de Gerald Davis (23 votos)

8

En respuesta a una declaración en otra parte de que el filtrado de direcciones MAC era esencialmente inútil para proteger una red wifi porque era trivialmente pasable mediante herramientas de ataque de red, me preguntaron si la combinación de requerir una dirección mac y un nombre de computadora (por ejemplo, "Dan -Laptop ") funcionaría.

Nunca habiendo visto esto recomendado en otro lugar, sospecho que la respuesta es no; pero no estoy lo suficientemente familiarizado con los protocolos wifi para saber de una manera u otra.

authentication network wifi

pregunta Dan Neely 07.07.2015 - 15:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication network wifi

Cambio de política para permitir unidades USB. ¿Por qué debería intentar detenerlo? ¿Cómo almacenar los datos que la computadora puede leer pero no el usuario?

score 23 · Accepted Answer

Versión corta

No. Todo lo que necesita es WPA2-AES con un personalizado SSID y una frase de contraseña fuerte . Todo esto supone un escenario de "hogar" en el que el AP y los clientes usan una PSK (clave previamente compartida). En la configuración de Enterprise, hay un par de otros vectores de ataque, pero una cosa buena acerca de un PSK es que simplifica enormemente la superficie de ataque. Básicamente, el atacante puede adivinar si es clave o no.

Versión ligeramente más larga

En primer lugar, nunca he visto el filtrado de nombres de equipos que en realidad se filtra según el nombre de equipo. Estoy bastante seguro de que lo que está viendo es solo una forma más amigable para el consumidor de habilitar el filtrado de MAC. Cuando se permite "Dan-Laptop" en la configuración, el AP agrega la dirección MAC para "Dan-Laptop" a la ACL.

Incluso si su enrutador implementó un filtro de nombre de host que funcionó independientemente de las direcciones MAC, no cambiaría la respuesta. Lo único más trivial a falsificar que una dirección MAC sería un nombre de host. La capacidad de cambiar el nombre de una computadora es parte del sistema operativo subyacente.

Un criptosistema debe ser seguro incluso si todo sobre el sistema, excepto la clave, es de conocimiento público.

Las direcciones MAC y el nombre de host de los clientes son de conocimiento público. Las asignaciones de direcciones IP (dhcp estáticas o restringidas) de los sistemas en la LAN son de conocimiento público. El SSID, el uso del canal, la frecuencia e incluso la presencia de la radio AP son de conocimiento público. Sí, el llamado SSID "oculto" no tiene ningún propósito de seguridad, por lo que nunca fue pensado como una característica de seguridad. Supongamos que el atacante ya conoce toda esa información. Hay una cosa que no es de conocimiento público y es la PSK (frase de contraseña), por lo que toda su seguridad se reduce a un sistema de cifrado sólido (WPA2) y una frase de contraseña no descargable.

Creo que el deseo de algo más está relacionado con escuchar cómo la seguridad es difícil y las defensas deben estar en capas. Ciertamente, deberían hacerlo en escenarios complejos con múltiples variables, ya que a menudo es difícil modelar todos los riesgos potenciales. En este caso, sin embargo, la autenticación es sencilla y el modelo de riesgo es simple. WPA2-AES está actualmente "intacto". Eso significa que toda la seguridad de tu AP se reduce a si el atacante puede adivinar la contraseña. Si ellos pueden perder. Realmente es así de simple y es la forma en que debería funcionar la criptografía fuerte. El sistema es seguro a pesar de que el atacante sabe todo sobre el sistema, excepto el secreto (clave).