Z poradnika administratora

Praca na Linuksie w firmie i w domu... Ukrywanie SSID – zwiększa czy zmniejsza bezpieczeństwo?

Praca na Linuksie w firmie i w domu... Ukrywanie SSID – zwiększa czy zmniejsza bezpieczeństwo?

Praca na Linuksie w firmie i w domu

Pytanie: Jestem programistą pracującym zarówno w biurze, jak i w domu. Często kompiluję napisany przez siebie kod. Czasami zajmuje to naprawdę dużo czasu. Z reguły korzystam z Linuksa, który pracuje w biurze. Jeżeli jednak z domu łączę się za pomocą PUTTY do serwera w biurze, to nie widzę tego, co zacząłem kompilować. Czy jest jakiś prosty sposób na podłączenie się do tego, co robiłem w biurze?

Odpowiedź: Prostym i znakomitym narzędziem, które daje możliwość kontynuowania pracy rozpoczętej z poziomu Linuksowego shella jest Screen. I na tym można byłoby zakończyć, gdyby nie to, że Screena można dosyć swobodnie kształtować i "tuningować", tak aby korzystanie z niego było nieco przyjemniejsze. Screen nie potrzebuje żadnego środowiska graficznego - uruchamiany jest bezpośrednio z poziomu shella. Odpowiednikiem Screena pod Linuksowe środowisko graficzne X-y jest Ratpoison (http://www.nongnu.org/ratpoison/ ), który daje podobne możliwości. Często Screen nazywany jest terminalowym zdalnym pulpitem.

Krótka lista komend

Krótka lista komend

Rozpoczęcie pracy ze Screenem sprowadza się do wydania polecenia screen. Każdemu nowo otwieranemu terminalowi nadawany jest numer identyfikacyjny, począwszy od "0". Podczas pierwszego uruchomienia Screen otwiera się okno o numerze "0". Mając aktywnego Screena, można uruchomić np. kompilator i pracować dalej w nowo otwartym terminalu ("CTRL + a" następnie "c"). W dowolnej chwili można teraz przełączać się pomiędzy terminalami ("CTRL+a", następnie "CTRL+a"). Jeżeli nie lubimy skakać pomiędzy terminalami, możemy utworzyć tzw. region, czyli podzielić ekran sesji na kilka poziomych okien:

W górnym oknie korzystamy z przeglądarki Links, w dolnym w oddzielnej sesji monitorujemy plik logu /var/log/messages.

W górnym oknie korzystamy z przeglądarki Links, w dolnym w oddzielnej sesji monitorujemy plik logu /var/log/messages.

A co jeżeli praca w biurze dobiegła końca i chcemy ją kontynuować potem w domu? Najpierw trzeba odłączyć się od terminalu Screen ("CTRL+a", następnie "d"). Po dotarciu do domu nawiązać sesję SSH z serwerem w biurze i ponownie podłączyć się do terminalu Screena (polecenie: screen -r). W przypadku uruchamiania kompilatorów ważna jest też możliwość przewijania okna terminalowego, żeby sprawdzić, co działo się wcześniej ("CTRL+a" następnie "[" lub "]").

To oczywiście nie koniec możliwości Screena. Dla przykładu - jeżeli mamy wiele otwartych terminali i ciężko podążać za tym co dzieje się w każdym z nich, Screen może powiadamiać, jeżeli coś się wydarzy. Jeżeli kompilujemy jakąś aplikację, takim wydarzeniem będzie zakończenie procesu kompilacji, a więc brak aktywności (monitorowanie w tym trybie uruchamiane jest poprzez "CTRL+a", następnie "_"). I odwrotnie - kombinacja "CTRL+a", następnie "M" sprawia, że Screen raportuje o aktywności.

Jeżeli to wciąż za mało, to można pokusić się o edycję pliku/etc/screenrc (konfiguracja Screena dla całego systemu) lub ~/.screenrc (konfiguracja w kontekście danego użytkownika).

Na przykład dodanie linii:

hardstatus string ‘%{= kG}[ %{G}%H %{g}][%= %{= kw}%?%-Lw%?%{r}(%{W}%n*%f%t%?(%u)%?%{r})%{w}%?%+Lw%?%?%= %{g}][%{B} %d/%m %{W}%c %{g}]'

spowoduje wyświetlenie nazwy systemu, nazwy aktywnego terminala oraz daty. To jeszcze nie wszystko. Trzeba tylko dobrze wczytać się w dokumentację...

Ukrywanie SSID – zwiększa czy zmniejsza bezpieczeństwo?

Pytanie: Bezprzewodowe punkty dostępowe umożliwiają zablokowanie rozgłaszania identyfikatora sieci SSID. Czy istnieją przeciwwskazania do użycia tej funkcji?

Odpowiedź: Wiele organizacji wykorzystuje ukrywanie SSID jako mechanizm bezpieczeństwa w sieciach . Omawiana technika wymaga, aby wszyscy użytkownicy łączący się z siecią bezprzewodową znali nazwę SSID danej sieci. Mechanizm jest powszechnie uważany za udoskonalenie bezpieczeństwa i w większości poradników rekomenduje się jego stosowanie. W rzeczywistości ukrywanie SSID może zredukować efektywne bezpieczeństwo sieci bezprzewodowej.

Złudny mechanizm bezpieczeństwa

Pierwsze wdrożenia sieci bezprzewodowych opierały się na funkcji ukrywania SSID jako mechanizmie zapobiegającym nieautoryzowanemu dostępowi do sieci. Intencją twórców tej funkcjonalności nie było stworzenie kolejnego elementu bezpieczeństwa. Niektóre organizacje zastosowały jednak identyfikator SSID jako "hasło" dostępu do sieci, rozprowadzane wśród użytkowników. Narzędzia takie jak AirJack lub Kismet potrafią wyszukać i dostarczyć SSID od "uwierzytelnionych" stacji, umożliwiając atakującemu wykorzystanie odpowiedniego identyfikatora i łatwe przełamanie takiego zabezpieczenia.

Zagubiony użytkownik

Warto przedstawić jeszcze inny przypadek. Kiedy sieciowy identyfikator SSID jest ukryty, użytkownicy nie będą wykrywali danej sieci bezprzewodowej. Może to być przyczyną wykrywania i przyłączania się do wrogiej sieci, która będzie stanowiła zagrożenie dla klienta.

Podatność punktu dostępowego na atak

Narzędzia przeznaczone do ataku na sieci bezprzewodowe - przykładowo KARMA (http://www.wirelessve.org/entries/show/WVE-2006-0032 ) - przeprowadzają zaawansowaną analizę WLAN, przy wykorzystaniu danych ze stacji bezprzewodowych pracujących w danej sieci. Gdy stacja wyszukuje sieci WLAN z preferowanej listy (PNL - Preferred Network List), ujawnia nazwy SSID atakującemu. Atakujący uzyskując parametry analizowanej sieci bezprzewodowej może utworzyć "wrogi" punkt dostępowy.

Narzędzia takie jak AirJack lub Kismet potrafią wyszukać i dostarczyć SSID od "uwierzytelnionych" stacji, umożliwiając atakującemu wykorzystanie odpowiedniego identyfikatora i łatwe przełamanie takiego zabezpieczenia.

Narzędzia takie jak AirJack lub Kismet potrafią wyszukać i dostarczyć SSID od "uwierzytelnionych" stacji, umożliwiając atakującemu wykorzystanie odpowiedniego identyfikatora i łatwe przełamanie takiego zabezpieczenia.

System Microsoft Windows XP SP2 został zaktualizowany poprawką opisaną jako KB917021, która zmienia zachowanie bezprzewodowego klienta w momencie wyszukiwania sieci bezprzewodowych. Gdy nie jest wybrana opcja "Połącz, nawet jeśli sieć nie nadaje" w obszarze Nazwa sieciowa (SSID), stacja nie będzie ujawniała informacji o SSID podczas wykrywania sieci, utrudniając atak typu KARMA. Aby przedstawiona funkcja zadziałała, stacja musi zidentyfikować dostępność sieci, natomiast punkt dostępowy musi mieć wyłączoną funkcję ukrywania SSID. Jeżeli punkt dostępowy ukryje SSID, bezprzewodowy klient przełączy się ponownie w aktywny tryb wykrywania sieci. Ułatwia to przejęcie identyfikatora sieci przez atakującego. Zabezpieczenia uruchomione w ramach klienta bezprzewodowego wymagają więc rozgłoszenia SSID przez punkt dostępowy. I odwrotnie - ukrywanie SSID przez punkt dostępowy ułatwia analizę stacji klienckich w celu uzyskania tego identyfikatora.

Ukrywanie SSID z pozoru wydaje się atrakcyjnym mechanizmem zwiększającym bezpieczeństwo WLAN. W rzeczywistości opcja efektywnie redukuje poziom bezpieczeństwa sieci bezprzewodowej. Atakujący prawie zawsze jest w stanie uzyskać taką informację, natomiast administrator i użytkownik może się jedynie mniej lub bardziej skutecznie bronić.


TOP 200