Wiele organizacji wykorzystuje ukrywanie SSID jako mechanizm bezpieczeństwa w sieciach WLAN. Omawiana technika wymaga, aby wszyscy użytkownicy łączący się z siecią bezprzewodową znali nazwę SSID danej sieci. Mechanizm jest powszechnie uważany za udoskonalenie bezpieczeństwa i w większości poradników rekomenduje się jego stosowanie. W rzeczywistości ukrywanie SSID może zredukować efektywne bezpieczeństwo sieci bezprzewodowej.

Złudny mechanizm bezpieczeństwa

Pierwsze wdrożenia sieci bezprzewodowych opierały się na funkcji ukrywania SSID, jako mechanizmie zapobiegającym nieautoryzowanemu dostępowi do sieci. Intencją twórców tej funkcjonalności nie było stworzenie kolejnego elementu bezpieczeństwa. Niektóre organizacje zastosowały jednak identyfikator SSID jako "hasło" dostępu do sieci, rozprowadzane wśród użytkowników. Narzędzia takie jak AirJack lub Kismet potrafią wyszukać i zaraportować SSID od "uwierzytelnionych" stacji, umożliwiając atakującemu wykorzystanie odpowiedniego identyfikatora i łatwe przełamanie takiego zabezpieczenia.

Polecamy: Jak zabezpieczyć sieć WiFi w firmie? Prezentujemy porady i obalamy kilka mitów.

Zagubiony użytkownik

Warto przedstawić jeszcze inny przypadek. Kiedy sieciowy identyfikator SSID jest ukryty, użytkownicy nie będą wykrywali danej sieci bezprzewodowej. Może to być przyczyną wykrywania i przyłączania się do wrogiej sieci, która będzie stanowiła zagrożenie dla klienta.

Podatność punktu dostępowego na atak

Narzędzia przeznaczone do ataku na sieci bezprzewodowe - przykładowo KARMA - przeprowadzają zaawansowaną analizę WLAN, przy wykorzystaniu danych ze stacji bezprzewodowych pracujących w danej sieci. Gdy stacja wyszukuje sieci WLAN z preferowanej listy (PNL - Preferred Network List), ujawnia nazwy SSID atakującemu. Atakujący uzyskując parametry analizowanej sieci bezprzewodowej może utworzyć "wrogi" punkt dostępowy.

System Microsoft Windows XP SP2 został zaktualizowany poprawką opisaną jako KB917021, która zmienia zachowanie bezprzewodowego klienta w momencie wyszukiwania sieci bezprzewodowych. Gdy nie jest wybrana opcja "Połącz, nawet jeśli sieć nie nadaje" w obszarze Nazwa sieciowa (SSID), stacja nie będzie ujawniała informacji o SSID podczas wykrywania sieci, utrudniając atak typu KARMA. Aby przedstawiona funkcja zadziałała, stacja musi zidentyfikować dostępność sieci, natomiast punkt dostępowy musi mieć wyłączoną funkcję ukrywania SSID. Jeżeli punkt dostępowy ukryje SSID, bezprzewodowy klient przełączy się ponownie w aktywny tryb wykrywania sieci. Ułatwia to przejęcie identyfikatora sieci przez atakującego. Zabezpieczenia uruchomione w ramach klienta bezprzewodowego, wymagają więc rozgłoszenia SSID przez punkt dostępowy. I odwrotnie - ukrywanie SSID przez punkt dostępowy, ułatwia analizę stacji klienckich w celu uzyskania tego identyfikatora.

Ukrywanie SSID z pozoru wydaje się atrakcyjnym mechanizmem zwiększającym bezpieczeństwo WLAN. W rzeczywistości opcja efektywnie redukuje poziom bezpieczeństwa sieci bezprzewodowej. Atakujący prawie zawsze jest w stanie uzyskać taką informację, natomiast administrator i użytkownik może się jedynie mniej lub bardziej skutecznie bronić.