Mehr

Passwortschutz der Netzwerkverbindung auf dem Geoserver

Passwortschutz der Netzwerkverbindung auf dem Geoserver


Ich plane, Daten mit Geoserver an mehrere Personen in meiner Organisation bereitzustellen. Die Daten sind etwas sensibel und ich habe mich gefragt, ob es eine Möglichkeit gibt, die Informationen mit einem Passwort zu schützen, sodass Sie ein globales Passwort benötigen, um sie in Google Earth als Netzwerklink anzuzeigen?


Ich glaube, Sie müssen mit der HTTP Basic-Authentifizierung in GeoServer (standardmäßig unterstützt) speziell nach Daten suchen. Sie können es nur für bestimmte Ebenen aktivieren, hier unten einige gute Ressourcen:

  1. Sicherheit im GeoServer
  2. Schichtsicherheit

Hoffe das hilft.


Angenommen, die Startzelle wird als (StartRow, StartCol) und die Endzelle als (EndRow, EndCol) angegeben, fand ich Folgendes für mich:

Hinweis: Excel Cell B5 wird in win32com als Zeile 5, Spalte 2 angegeben. Außerdem benötigen wir list(. ), um ein Tupel von Tupeln in eine Liste von Tupeln zu konvertieren, da es keinen pandas.DataFrame-Konstruktor für ein Tupel von Tupeln gibt.

Verwenden Sie xlwings. Beim Öffnen der Datei wird zuerst die Excel-Anwendung gestartet, damit Sie das Passwort eingeben können.

Basierend auf dem Vorschlag von @ikeoddy sollte dies die Teile zusammenfügen:

Angenommen, Sie können die verschlüsselte Datei mit der win32com-API zurück auf die Festplatte speichern (was meiner Meinung nach den Zweck verfehlen könnte), können Sie dann sofort die Pandas-Funktion der obersten Ebene read_excel aufrufen. Sie müssen jedoch zuerst eine Kombination aus xlrd (für Excel 2003), xlwt (auch für 2003) und openpyxl (für Excel 2007) installieren. Hier ist die Dokumentation zum Einlesen von Excel-Dateien. Derzeit bietet pandas keine Unterstützung für die Verwendung der win32com-API zum Lesen von Excel-Dateien. Sie können gerne ein GitHub-Problem eröffnen, wenn Sie möchten.


So sichern Sie Ihren WLAN-Router und schützen Ihr Heimnetzwerk

Um diesen Artikel noch einmal zu lesen, besuchen Sie Mein Profil und dann Gespeicherte Storys anzeigen.

Foto: Olly Curtis/MacFormat Magazine/Getty Images

Um diesen Artikel noch einmal zu lesen, besuchen Sie Mein Profil und dann Gespeicherte Storys anzeigen.

Ihr Router ist vielleicht das wichtigste Gerät in Ihrem Zuhause. Es überprüft den gesamten ein- und ausgehenden Datenverkehr und fungiert als Wächter, um sicherzustellen, dass nichts Gefährliches eingeht und nichts Sensibles ausgeht. Es steuert den Zugriff auf Ihr Wi-Fi-Heimnetzwerk und über all Ihre Telefone, Tablets, Laptops und mehr. Wenn jemand anderes Zugriff auf dieses Netzwerk erhält – sei es ein entfernter Hacker oder Ihr Nachbar von nebenan – kann es schnell gehen, diese Geräte zu kompromittieren.

Vor diesem Hintergrund ist es wichtig, Ihren Router zu schützen. Die gute Nachricht ist, dass diese Schritte nicht zu schwierig oder zeitaufwändig sind und Ihr Risiko erheblich reduzieren.

Für diese Tipps müssen Sie auf die Einstellungen Ihres Routers zugreifen. Dies können Sie normalerweise über Ihren Webbrowser tun, indem Sie eine IP-Adresse eingeben, oder wenn Sie Glück haben, über eine App auf Ihrem Telefon. Wenn Sie sich nicht sicher sind, wie Sie diese Einstellungen finden, lesen Sie die mit dem Router gelieferte Dokumentation oder führen Sie eine schnelle Websuche mit der Marke und dem Modell Ihres Routers durch.

Sie sollten WPA2-Sicherheit verwenden, um den Zugriff auf Ihren Router zu schützen, was im Wesentlichen erfordert, dass jedes neue Gerät ein Passwort für die Verbindung übermittelt. Dies ist standardmäßig auf fast jedem Router aktiviert, aber wenn es auf Ihrem Gerät nicht aktiv ist, schalten Sie es über Ihre Routereinstellungen ein.

Es empfiehlt sich, das WLAN-Passwort regelmäßig zu ändern. Ja, das bedeutet, dass Sie alle Ihre Geräte erneut verbinden müssen, aber es schreckt auch unerwünschte Besucher ab, die möglicherweise lauern. Ihr Router-Einstellungsfenster sollte Ihnen eine Liste der verbundenen Geräte anzeigen, obwohl dies möglicherweise schwierig zu interpretieren ist.

Wir empfehlen auch, das für den Zugriff auf die Routereinstellungen erforderliche Passwort zu ändern, da viele Benutzer die Standardeinstellungen beibehalten. Das bedeutet, dass jemand, der die Standardeinstellungen kennt oder sie erraten kann, Ihren Router neu konfigurieren kann. Machen Sie es wie bei jedem Passwort sehr schwer zu erraten, aber unmöglich zu vergessen.

Diese Passworteinstellungen sollten im Bereich der Router-Einstellungen ziemlich gut sichtbar angezeigt werden, und wenn es sich bei Ihrem Router um ein neueres Modell handelt, erhalten Sie möglicherweise Warnungen, wenn die neuen Passwörter, die Sie auswählen, zu leicht zu erraten oder roh sind. In Kürze wird WPA2 durch WPA3 weichen, das mehr Sicherheit bietet und vergessen Sie es, aber bis dahin achten Sie genau auf Ihre Wi-Fi-Passworthygiene.

Auf Ihrem Router wird eine Low-Level-Software namens Firmware ausgeführt, die im Wesentlichen alles steuert, was der Router tut. Es legt die Sicherheitsstandards für Ihr Netzwerk fest, definiert die Regeln dafür, welche Geräte eine Verbindung herstellen können, und so weiter.

Einige modernere Router aktualisieren sich im Hintergrund, aber egal welches Modell Sie haben, es lohnt sich immer, sicherzustellen, dass die Firmware auf dem neuesten Stand ist. Dies bedeutet, dass Sie über die neuesten Fehlerbehebungen und Sicherheitspatches verfügen und vor allen gerade entdeckten Exploits geschützt sind.

Der Vorgang variiert von Router zu Router, aber wie bei den Passworteinstellungen sollte die Option zum Aktualisieren der Firmware Ihres Routers nicht allzu schwer im Router-Bedienfeld zu finden sein. Wenn Sie nicht weiterkommen, überprüfen Sie die Router-Dokumentation oder die offizielle Support-Site im Internet.

Wenn Sie Glück haben, erfolgt der Vorgang automatisch. Möglicherweise erhalten Sie sogar jedes Mal, wenn ein Firmware-Update angewendet wird, was normalerweise über Nacht geschieht, Warnungen auf Ihrem Telefon. Wenn Sie Pech haben, müssen Sie möglicherweise eine neue Firmware von der Herstellerseite herunterladen und Ihren Router darauf richten. Wenn ja, lohnt sich der Mehraufwand auf jeden Fall.

Viele Router verfügen über Funktionen, die den Fernzugriff von außerhalb Ihres Hauses erleichtern. Wenn Sie jedoch keinen Administratorzugriff auf Ihren Router von einer anderen Stelle benötigen, können Sie diese Funktionen normalerweise sicher über das Router-Einstellungsfeld deaktivieren. Außerdem funktionieren die meisten Fernzugriffs-Apps ohne sie.

Ein weiteres Merkmal, auf das Sie achten sollten, ist Universal Plug and Play. UPnP wurde entwickelt, um Geräten wie Spielekonsolen und Smart-TVs den Zugriff auf das Internet zu erleichtern, ohne dass Sie viele Konfigurationsbildschirme durchlaufen müssen. UPnP kann auch von Malware-Programmen verwendet werden, um auf hoher Ebene auf die Sicherheitseinstellungen Ihres Routers zuzugreifen.

Wenn Sie den Fernzugriff und UPnP eingeschaltet lassen, werden Sie nicht plötzlich dem Schlimmsten des Internets ausgesetzt, aber wenn Sie so sicher wie möglich sein möchten, schalten Sie sie aus. Wenn sich herausstellt, dass einige der Apps und Geräte in Ihrem Netzwerk darauf angewiesen sind, können Sie die Funktionen ohne große Sorgen wieder aktivieren.

Sie sollten auch darüber nachdenken, Wi-Fi Protected Setup zu deaktivieren. WPS hat gute Absichten, neue Geräte mit einem Tastendruck oder einem PIN-Code zu verbinden, aber das macht es auch für nicht autorisierte Geräte einfacher, Zugang zu erhalten. Eine numerische PIN ist einfacher mit Brute Force als ein alphanumerisches Passwort. Wenn Sie es nicht speziell benötigen, deaktivieren Sie es.

Wenn Ihr Router die Möglichkeit hat, ein sogenanntes Gastnetzwerk zu übertragen, nutzen Sie diese. Wie der Name schon sagt, bedeutet dies, dass Sie Ihren Gästen Zugriff auf eine Wi-Fi-Verbindung gewähren können, ohne dass sie auf den Rest Ihres Netzwerks zugreifen können – Ihre Sonos-Lautsprecher, die freigegebenen Ordner auf Ihrem Laptop, Ihre Drucker usw.

Es ist nicht so, dass Ihre Freunde und Familie getarnte Hacker sind, aber wenn Sie sie in Ihrem primären Netzwerk lassen, können sie auf eine Datei zugreifen, die Sie lieber nicht haben, oder versehentlich eine Einstellung ändern, die Ihnen Probleme bereitet. Es wird auch jemandem, der heimlich versucht, ohne Ihre Erlaubnis auf Ihr Netzwerk zuzugreifen, eine weitere Geschwindigkeitsschwelle in den Weg gelegt – selbst wenn er in das Gastnetzwerk gelangen kann, kann er die Kontrolle über Ihr anderes Netzwerk nicht übernehmen Geräte oder Ihren Router.

Ihr Router sollte die Möglichkeit haben, die SSID Ihres Hauptnetzwerks zu verbergen – im Grunde den Namen des Netzwerks, der angezeigt wird, wenn Ihre Geräte nach WLAN suchen. Wenn Besucher dieses Netzwerk nicht sehen können, können sie sich nicht damit verbinden, aber Sie können ihm Geräte hinzufügen, da Sie wissen, wie es heißt. (Und wenn Sie sich nicht sicher sind, wird es in Ihren Router-Einstellungen aufgeführt.)

Trotz jahrzehntelanger relativer Vernachlässigung sind die meisten Router, die in den letzten Jahren auf den Markt kamen, mit hervorragender integrierter Sicherheit ausgestattet. Die Hersteller schätzen die Bedeutung der Router-Sicherheit und -Zuverlässigkeit mehr denn je, sodass die Produkte viel benutzerfreundlicher sind als früher. Sie übernehmen jetzt viele der wichtigsten Sicherheitseinstellungen für Sie.

Vor diesem Hintergrund besteht eines der größten Risiken für Ihren Router darin, dass er von einem Gerät kompromittiert wird, von dem es glaubt, dass es vertrauenswürdig ist heimlich einen Zugangspunkt zu Ihrem Router öffnen, auf den Sie aus der Ferne zugreifen können.


Inhalt

Jeder innerhalb der geografischen Netzwerkreichweite eines offenen, unverschlüsselten drahtlosen Netzwerks kann den Datenverkehr "schnüffeln" oder erfassen und aufzeichnen, unbefugten Zugriff auf interne Netzwerkressourcen sowie auf das Internet erlangen und dann die Informationen und Ressourcen verwenden, um störende Maßnahmen zu ergreifen oder illegale Handlungen. Solche Sicherheitsverletzungen sind sowohl für Unternehmens- als auch für Heimnetzwerke zu einem wichtigen Anliegen geworden.

Wenn die Router-Sicherheit nicht aktiviert ist oder der Besitzer sie aus Bequemlichkeit deaktiviert, erstellt er einen kostenlosen Hotspot. Da die meisten Laptop-PCs des 21. Die integrierte drahtlose Vernetzung kann standardmäßig aktiviert sein, ohne dass der Besitzer es merkt, und überträgt so die Erreichbarkeit des Laptops an jeden Computer in der Nähe.

Moderne Betriebssysteme wie Linux, macOS oder Microsoft Windows machen es recht einfach, einen PC per Internet Connection Sharing als WLAN-"Basisstation" einzurichten, sodass alle PCs im Haus über die "Basisstation" auf das Internet zugreifen können "PC. Mangelndes Wissen unter den Benutzern über die Sicherheitsprobleme, die beim Einrichten solcher Systeme inhärent sind, kann jedoch anderen in der Nähe den Zugriff auf die Verbindung ermöglichen. Ein solches "Huckepack" wird normalerweise ohne das Wissen des Betreibers des drahtlosen Netzwerks erreicht, es kann sogar ohne das Wissen des eindringenden Benutzers sein, wenn sein Computer automatisch ein in der Nähe befindliches ungesichertes drahtloses Netzwerk zur Verwendung als Zugangspunkt auswählt.

Wireless-Sicherheit ist nur ein Aspekt der Computersicherheit, jedoch können Unternehmen besonders anfällig für Sicherheitsverletzungen [6] sein, die durch Rogue Access Points verursacht werden.

Wenn ein Mitarbeiter (vertrauenswürdige Einheit) einen WLAN-Router einbringt und ihn an einen ungesicherten Switchport anschließt, kann das gesamte Netzwerk für jeden in Reichweite der Signale exponiert werden. Wenn ein Mitarbeiter einem vernetzten Computer über einen offenen USB-Port eine drahtlose Schnittstelle hinzufügt, kann dies eine Verletzung der Netzwerksicherheit darstellen, die den Zugriff auf vertrauliche Materialien ermöglicht. Es gibt jedoch wirksame Gegenmaßnahmen (wie das Deaktivieren offener Switchports während der Switch-Konfiguration und der VLAN-Konfiguration zur Einschränkung des Netzwerkzugriffs), die zum Schutz des Netzwerks und der darin enthaltenen Informationen verfügbar sind, aber solche Gegenmaßnahmen müssen einheitlich auf alle Netzwerkgeräte angewendet werden.

Bedrohungen und Schwachstellen im industriellen (M2M) Kontext Bearbeiten

Aufgrund ihrer Verfügbarkeit und geringen Kosten nimmt der Einsatz drahtloser Kommunikationstechnologien in Domänen außerhalb der ursprünglich vorgesehenen Einsatzgebiete zu, z.B. M2M-Kommunikation in industriellen Anwendungen. Solche industriellen Anwendungen haben oft besondere Sicherheitsanforderungen. Daher ist es wichtig, die Eigenschaften solcher Anwendungen zu verstehen und die Schwachstellen mit dem höchsten Risiko in diesem Zusammenhang zu bewerten. Auswertungen dieser Schwachstellen und daraus resultierende Schwachstellenkataloge im industriellen Kontext unter Berücksichtigung von WLAN, NFC und ZigBee liegen vor. [7]

Drahtlose Netzwerke sind sowohl für Organisationen als auch für Einzelpersonen weit verbreitet. Auf vielen Laptops sind Wireless-Karten vorinstalliert. Die Möglichkeit, mobil in ein Netzwerk einzusteigen, hat große Vorteile. Drahtlose Netzwerke sind jedoch anfällig für einige Sicherheitsprobleme. [8] Hacker haben festgestellt, dass es relativ einfach ist, in drahtlose Netzwerke einzudringen, und verwenden sogar drahtlose Technologie, um sich in drahtgebundene Netzwerke zu hacken. [9] Daher ist es sehr wichtig, dass Unternehmen effektive Richtlinien für die drahtlose Sicherheit definieren, die vor unbefugtem Zugriff auf wichtige Ressourcen schützen. [4] Wireless Intrusion Prevention Systems (WIPS) oder Wireless Intrusion Detection Systems (WIDS) werden häufig verwendet, um Wireless-Sicherheitsrichtlinien durchzusetzen.

Die Luftschnittstelle und das Link-Korruptionsrisiko Bearbeiten

Bei der Einführung der Funktechnologie gab es relativ wenige Gefahren, da der Aufwand für die Aufrechterhaltung der Kommunikation hoch und der Aufwand für das Eindringen immer höher ist. Die Vielfalt der Risiken für Benutzer von drahtloser Technologie hat zugenommen, da der Dienst populärer und die Technologie allgemein verfügbarer wird. Die heutigen Funkprotokolle und Verschlüsselungsverfahren bergen heute eine Vielzahl von Sicherheitsrisiken, da auf Anwender- und Unternehmens-IT-Ebene Unachtsamkeit und Unwissenheit herrscht. [5] Hacking-Methoden sind mit Wireless viel ausgeklügelter und innovativer geworden.

Die Modi des unbefugten Zugriffs auf Links, Funktionen und Daten sind so variabel, wie die jeweiligen Instanzen Programmcode verwenden. Es gibt kein umfassendes Modell einer solchen Bedrohung. Zum Teil stützt sich die Prävention auf bekannte Angriffsarten und -methoden und entsprechende Methoden zur Unterdrückung der angewandten Methoden. Jede neue Betriebsart wird jedoch neue Möglichkeiten der Bedrohung schaffen. Daher erfordert Prävention ein stetiges Streben nach Verbesserung. Die beschriebenen Angriffsarten sind nur eine Momentaufnahme typischer Methoden und Anwendungsszenarien.

Zufällige Assoziation Bearbeiten

Die Verletzung des Sicherheitsbereichs eines Unternehmensnetzwerks kann aus einer Reihe verschiedener Methoden und Absichten resultieren. Eine dieser Methoden wird als „zufällige Assoziation“ bezeichnet. Wenn ein Benutzer einen Computer einschaltet und dieser sich von einem überlappenden Netzwerk eines benachbarten Unternehmens mit einem drahtlosen Zugangspunkt verbindet, weiß der Benutzer möglicherweise nicht einmal, dass dies passiert ist. Es stellt jedoch eine Sicherheitsverletzung dar, da proprietäre Unternehmensinformationen offengelegt werden und nun eine Verbindung von einem Unternehmen zum anderen bestehen könnte. Dies gilt insbesondere, wenn der Laptop auch an ein kabelgebundenes Netzwerk angeschlossen ist.

Eine versehentliche Assoziation ist ein Fall einer drahtlosen Schwachstelle, die als "Fehl-Assoziation" bezeichnet wird. [10] Eine falsche Assoziation kann versehentlich oder absichtlich erfolgen (z. B. zur Umgehung der Unternehmens-Firewall) oder aus absichtlichen Versuchen von drahtlosen Clients resultieren, sie dazu zu bringen, sich mit den APs des Angreifers zu verbinden.

Schädliche Verbindung Bearbeiten

Von „bösartigen Assoziationen“ spricht man, wenn drahtlose Geräte von Angreifern aktiv dazu gebracht werden können, sich über ihren Laptop anstelle eines Firmen-Access Points (AP) mit einem Firmennetzwerk zu verbinden. Diese Art von Laptops sind als „Soft-APs“ bekannt und werden erstellt, wenn ein Cyberkrimineller eine Software ausführt, die seine drahtlose Netzwerkkarte wie einen legitimen Zugangspunkt aussehen lässt. Hat sich der Dieb Zugang verschafft, kann er Passwörter stehlen, Angriffe auf das kabelgebundene Netzwerk starten oder Trojaner einpflanzen. Da drahtlose Netzwerke auf Layer-2-Ebene arbeiten, bieten Layer-3-Schutzmaßnahmen wie Netzwerkauthentifizierung und virtuelle private Netzwerke (VPNs) keine Barriere. Drahtlose 802.1X-Authentifizierungen tragen zu einem gewissen Schutz bei, sind aber dennoch anfällig für Hacker. Die Idee hinter dieser Art von Angriff besteht möglicherweise nicht darin, in ein VPN oder andere Sicherheitsmaßnahmen einzubrechen. Höchstwahrscheinlich versucht der Kriminelle nur, den Client auf Ebene 2 zu übernehmen.

Ad-hoc-Netzwerke Bearbeiten

Ad-hoc-Netzwerke können eine Sicherheitsbedrohung darstellen. Ad-hoc-Netzwerke werden als [Peer-to-Peer]-Netzwerke zwischen drahtlosen Computern definiert, die keinen Zugangspunkt dazwischen haben. Während diese Arten von Netzwerken normalerweise wenig Schutz bieten, können Verschlüsselungsverfahren verwendet werden, um Sicherheit zu bieten. [11]

Die Sicherheitslücke, die Ad-hoc-Netzwerke bieten, ist nicht das Ad-hoc-Netzwerk selbst, sondern die Brücke, die es zu anderen Netzwerken bereitstellt, normalerweise in der Unternehmensumgebung, und die unglücklichen Standardeinstellungen in den meisten Versionen von Microsoft Windows, um diese Funktion zu aktivieren, sofern sie nicht ausdrücklich deaktiviert ist . So weiß der Benutzer möglicherweise nicht einmal, dass auf seinem Computer ein ungesichertes Ad-hoc-Netzwerk in Betrieb ist. Wenn sie gleichzeitig ein drahtgebundenes oder drahtloses Infrastrukturnetzwerk verwenden, stellen sie über die ungesicherte Ad-hoc-Verbindung eine Brücke zum gesicherten Unternehmensnetzwerk bereit. Bridging gibt es in zwei Formen. Eine direkte Brücke, die erfordert, dass der Benutzer tatsächlich eine Brücke zwischen den beiden Verbindungen konfiguriert, und es ist daher unwahrscheinlich, dass sie initiiert wird, es sei denn, es wird ausdrücklich gewünscht, und eine indirekte Brücke, die die gemeinsam genutzten Ressourcen auf dem Computer des Benutzers sind. Die indirekte Bridge kann private Daten, die vom Computer des Benutzers freigegeben werden, für LAN-Verbindungen offenlegen, wie freigegebene Ordner oder privater Network Attached Storage, ohne zwischen authentifizierten oder privaten Verbindungen und nicht authentifizierten Ad-Hoc-Netzwerken zu unterscheiden. Dies stellt keine Bedrohungen dar, die offenen/öffentlichen oder ungesicherten WLAN-Zugangspunkten nicht bereits bekannt sind, aber Firewall-Regeln können bei schlecht konfigurierten Betriebssystemen oder lokalen Einstellungen umgangen werden. [12]

Nicht-traditionelle Netzwerke Bearbeiten

Nicht-traditionelle Netzwerke wie persönliche Netzwerk-Bluetooth-Geräte sind nicht vor Hackern sicher und sollten als Sicherheitsrisiko angesehen werden. Sogar Barcode-Lesegeräte, tragbare PDAs und drahtlose Drucker und Kopierer sollten gesichert werden. Diese nicht-traditionellen Netzwerke können von IT-Mitarbeitern, die sich nur auf Laptops und Access Points konzentriert haben, leicht übersehen werden.

Identitätsdiebstahl (MAC-Spoofing) Bearbeiten

Identitätsdiebstahl (oder MAC-Spoofing) tritt auf, wenn ein Hacker den Netzwerkverkehr abhören und die MAC-Adresse eines Computers mit Netzwerkberechtigungen identifizieren kann. Die meisten drahtlosen Systeme ermöglichen eine Art von MAC-Filterung, um nur autorisierten Computern mit bestimmten MAC-IDs den Zugriff und die Nutzung des Netzwerks zu ermöglichen. Es gibt jedoch Programme, die über Netzwerk-Sniffing-Fähigkeiten verfügen. Kombinieren Sie diese Programme mit anderer Software, die es einem Computer ermöglicht, so zu tun, als hätte er eine beliebige MAC-Adresse, die der Hacker wünscht, [13] und der Hacker kann diese Hürde leicht umgehen.

Die MAC-Filterung ist nur für kleine Heimnetzwerke (SOHO) wirksam, da sie nur dann Schutz bietet, wenn das drahtlose Gerät "off the air" ist. Jedes 802.11-Gerät "on the air" überträgt seine unverschlüsselte MAC-Adresse frei in seinen 802.11-Headern und erfordert keine spezielle Ausrüstung oder Software, um es zu erkennen. Jeder mit einem 802.11-Empfänger (Laptop und Wireless-Adapter) und einem Freeware-Wireless-Packet-Analyzer kann die MAC-Adresse jedes sendenden 802.11 in Reichweite abrufen. In einer Unternehmensumgebung, in der die meisten drahtlosen Geräte während der gesamten aktiven Arbeitsschicht "on air" sind, vermittelt die MAC-Filterung nur ein falsches Gefühl der Sicherheit, da sie nur "beiläufige" oder unbeabsichtigte Verbindungen zur Unternehmensinfrastruktur verhindert und nichts dagegen tut gerichteter Angriff.

Man-in-the-Middle-Angriffe Bearbeiten

Ein Man-in-the-Middle-Angreifer verleitet Computer dazu, sich an einem Computer anzumelden, der als Soft-AP (Access Point) eingerichtet ist. Sobald dies erledigt ist, verbindet sich der Hacker über eine andere Wireless-Karte mit einem echten Zugangspunkt, der einen stetigen Verkehrsfluss durch den transparenten Hacker-Computer zum realen Netzwerk bietet. Der Hacker kann dann den Datenverkehr erschnüffeln. Eine Art von Man-in-the-Middle-Angriff beruht auf Sicherheitsfehlern in Challenge- und Handshake-Protokollen, um einen „De-Authentifizierungsangriff“ auszuführen. Dieser Angriff zwingt Computer, die mit einem AP verbunden sind, ihre Verbindungen zu trennen und sich wieder mit dem Soft-AP des Hackers zu verbinden (trennt den Benutzer vom Modem, sodass er sich erneut mit seinem Passwort verbinden muss, das man aus der Aufzeichnung des Ereignisses entnehmen kann). Man-in-the-Middle-Angriffe werden durch Software wie LANjack und AirJack verbessert, die mehrere Schritte des Prozesses automatisieren. Hotspots sind besonders anfällig für Angriffe, da es in diesen Netzwerken wenig bis gar keine Sicherheit gibt.

Denial-of-Service Bearbeiten

Ein Denial-of-Service-Angriff (DoS) tritt auf, wenn ein Angreifer einen anvisierten AP (Access Point) oder ein Netzwerk ständig mit gefälschten Anfragen, verfrühten erfolgreichen Verbindungsnachrichten, Fehlermeldungen und/oder anderen Befehlen bombardiert. Diese führen dazu, dass legitime Benutzer nicht in der Lage sind, auf das Netzwerk zuzugreifen, und können sogar zum Absturz des Netzwerks führen. Diese Angriffe beruhen auf dem Missbrauch von Protokollen wie dem Extensible Authentication Protocol (EAP).

Der DoS-Angriff an sich trägt wenig dazu bei, Unternehmensdaten einem böswilligen Angreifer auszusetzen, da die Unterbrechung des Netzwerks den Datenfluss verhindert und die Daten sogar indirekt schützt, indem sie deren Übertragung verhindert. Der übliche Grund für einen DoS-Angriff besteht darin, die Wiederherstellung des drahtlosen Netzwerks zu beobachten, bei der alle anfänglichen Handshake-Codes von allen Geräten erneut übertragen werden, was dem böswilligen Angreifer die Möglichkeit bietet, diese Codes aufzuzeichnen und verschiedene Cracking-Tools zu verwenden um Sicherheitslücken zu analysieren und diese auszunutzen, um sich unbefugten Zugriff auf das System zu verschaffen. Dies funktioniert am besten auf schwach verschlüsselten Systemen wie WEP, wo eine Reihe von Tools verfügbar sind, die einen Wörterbuchangriff auf "möglicherweise akzeptierte" Sicherheitsschlüssel basierend auf dem während der Netzwerkwiederherstellung erfassten "Modell"-Sicherheitsschlüssel starten können.

Netzwerkinjektion Bearbeiten

Bei einem Netzwerkinjektionsangriff kann ein Hacker Zugangspunkte verwenden, die nicht gefiltertem Netzwerkverkehr ausgesetzt sind, insbesondere Netzwerkverkehr wie „Spanning Tree“ (802.1D), OSPF, RIP und HSRP übertragen. Der Hacker fügt gefälschte Befehle zur Neukonfiguration von Netzwerken ein, die Router, Switches und intelligente Hubs betreffen. Ein ganzes Netzwerk kann auf diese Weise heruntergefahren werden und erfordert einen Neustart oder sogar eine Neuprogrammierung aller intelligenten Netzwerkgeräte.

Caffe Latte-Angriff Bearbeiten

Der Caffe Latte-Angriff ist eine weitere Möglichkeit, WEP zu besiegen. Der Angreifer muss sich bei diesem Exploit nicht im Bereich des Netzwerks aufhalten. Mithilfe eines Prozesses, der auf den drahtlosen Windows-Stack abzielt, ist es möglich, den WEP-Schlüssel von einem Remoteclient abzurufen. [14] Durch das Senden einer Flut von verschlüsselten ARP-Anfragen nutzt der Angreifer die Shared-Key-Authentifizierung und die Nachrichtenmodifikationsfehler in 802.11 WEP. Der Angreifer verwendet die ARP-Antworten, um den WEP-Schlüssel in weniger als 6 Minuten zu erhalten. [fünfzehn]

Es gibt drei prinzipielle Möglichkeiten, ein drahtloses Netzwerk zu sichern.

  • Für geschlossene Netzwerke (wie Heimanwender und Organisationen) besteht die gängigste Methode darin, Zugriffsbeschränkungen in den Zugangspunkten zu konfigurieren. Diese Einschränkungen können Verschlüsselung und Überprüfungen der MAC-Adresse umfassen. Wireless Intrusion Prevention Systems können in diesem Netzwerkmodell verwendet werden, um die Sicherheit des drahtlosen LANs zu gewährleisten.
  • Für kommerzielle Anbieter, Hotspots und große Organisationen ist die bevorzugte Lösung häufig ein offenes und unverschlüsseltes, aber vollständig isoliertes drahtloses Netzwerk. Die Benutzer haben zunächst weder Zugang zum Internet noch zu lokalen Netzwerkressourcen. Kommerzielle Anbieter leiten in der Regel den gesamten Web-Traffic an ein Captive-Portal weiter, das die Zahlung und/oder Autorisierung vorsieht. Eine andere Lösung besteht darin, von den Benutzern zu verlangen, dass sie sich über VPN sicher mit einem privilegierten Netzwerk verbinden.
  • Drahtlose Netzwerke sind in vielen Büros weniger sicher als kabelgebundene Eindringlinge können problemlos ihren eigenen Computer besuchen und ohne Probleme mit dem kabelgebundenen Netzwerk verbinden, um Zugang zum Netzwerk zu erhalten, und es ist auch für entfernte Eindringlinge oft möglich, über das Netzwerk auf das Netzwerk zuzugreifen Hintertüren wie Back Orifice. Eine allgemeine Lösung kann die Ende-zu-Ende-Verschlüsselung mit unabhängiger Authentifizierung für alle Ressourcen sein, die der Öffentlichkeit nicht zugänglich sein sollten.

Es gibt kein fertig entwickeltes System, um eine betrügerische Nutzung der drahtlosen Kommunikation zu verhindern oder Daten und Funktionen mit drahtlos kommunizierenden Computern und anderen Einheiten zu schützen. Es besteht jedoch ein System, die ergriffenen Maßnahmen insgesamt nach einem gemeinsamen Verständnis zu qualifizieren, was als Stand der Technik anzusehen ist. Das Qualifizierungssystem ist ein internationaler Konsens gemäß ISO/IEC 15408.

Ein drahtloses Intrusion-Prevention-System Bearbeiten

Ein Wireless Intrusion Prevention System (WIPS) ist ein Konzept für die robusteste Methode, um drahtlosen Sicherheitsrisiken entgegenzuwirken. [16] Ein solches WIPS existiert jedoch nicht als fertige Lösung zur Implementierung als Softwarepaket. Ein WIPS wird in der Regel als Overlay zu einer bestehenden WLAN-Infrastruktur implementiert, kann aber auch eigenständig eingesetzt werden, um Richtlinien ohne WLAN innerhalb einer Organisation durchzusetzen. WIPS wird für die Wireless-Sicherheit als so wichtig erachtet, dass der Payment Card Industry Security Standards Council im Juli 2009 Wireless-Richtlinien [17] für PCI DSS veröffentlicht hat, in denen die Verwendung von WIPS zur Automatisierung von Wireless-Scans und -Schutz für große Unternehmen empfohlen wird.

Es gibt eine Reihe von drahtlosen Sicherheitsmaßnahmen mit unterschiedlicher Wirksamkeit und Praktikabilität.

SSID versteckt Bearbeiten

Eine einfache, aber ineffektive Methode, um ein drahtloses Netzwerk abzusichern, besteht darin, die SSID (Service Set Identifier) ​​zu verbergen. [18] Dies bietet nur sehr wenig Schutz gegen alles andere als die beiläufigsten Eindringversuche.

MAC-ID-Filterung Bearbeiten

Eine der einfachsten Techniken besteht darin, nur den Zugriff von bekannten, vorab genehmigten MAC-Adressen zuzulassen. Die meisten drahtlosen Zugangspunkte enthalten eine Art von MAC-ID-Filterung. Ein Angreifer kann jedoch einfach die MAC-Adresse eines autorisierten Clients ausspähen und diese Adresse fälschen.

Statische IP-Adressierung Bearbeiten

Typische Wireless Access Points stellen Clients IP-Adressen über DHCP zur Verfügung. Die Anforderung, dass Clients ihre eigenen Adressen festlegen, erschwert es einem zufälligen oder unerfahrenen Eindringling, sich beim Netzwerk anzumelden, bietet jedoch wenig Schutz gegen einen ausgeklügelten Angreifer. [18]

802.11-Sicherheit Bearbeiten

IEEE 802.1X ist der IEEE-Standard-Authentifizierungsmechanismus für Geräte, die an ein Wireless LAN angeschlossen werden möchten.

Regelmäßige WEP-Bearbeitung

Der Verschlüsselungsstandard Wired Equivalent Privacy (WEP) war der ursprüngliche Verschlüsselungsstandard für Wireless, aber seit 2004 mit der Ratifizierung von WPA2 hat das IEEE ihn für "veraltet" erklärt [19] und obwohl er oft unterstützt wird, ist er selten oder nie der Standard auf modernen Ausrüstung.

Bereits 2001 wurden Bedenken hinsichtlich seiner Sicherheit geäußert, [20] die 2005 vom FBI dramatisch demonstriert wurden, [21] noch 2007 T.J. Maxx gab eine massive Sicherheitsverletzung zu, die teilweise auf das Vertrauen in WEP zurückzuführen war [22] und die Zahlungskartenindustrie brauchte bis 2008, um deren Verwendung zu untersagen – und erlaubte sogar dann, die bestehende Verwendung bis Juni 2010 fortzusetzen. [23]

WPAv1-Bearbeitung

Die Sicherheitsprotokolle Wi-Fi Protected Access (WPA und WPA2) wurden später erstellt, um die Probleme mit WEP zu beheben. Wenn ein schwaches Passwort verwendet wird, beispielsweise ein Wörterbuchwort oder eine kurze Zeichenfolge, können WPA und WPA2 geknackt werden. Die Verwendung eines ausreichend langen zufälligen Passworts (z. B. 14 zufällige Buchstaben) oder einer Passphrase (z. B. 5 zufällig ausgewählte Wörter) macht Pre-Shared Key WPA praktisch unknackbar. Die zweite Generation des WPA-Sicherheitsprotokolls (WPA2) basiert auf der letzten IEEE 802.11i-Ergänzung zum 802.11-Standard und ist für die FIPS 140-2-Konformität qualifiziert. Mit all diesen Verschlüsselungsschemata kann jeder Client im Netzwerk, der die Schlüssel kennt, den gesamten Datenverkehr lesen.

Wi-Fi Protected Access (WPA) ist eine Software-/Firmware-Verbesserung gegenüber WEP. Alle gängigen WLAN-Geräte, die mit WEP arbeiten, können einfach aufgerüstet werden und es müssen keine neuen Geräte gekauft werden. WPA ist eine abgespeckte Version des 802.11i-Sicherheitsstandards, der von IEEE 802.11 entwickelt wurde, um WEP zu ersetzen. Der TKIP-Verschlüsselungsalgorithmus wurde für WPA entwickelt, um WEP-Verbesserungen bereitzustellen, die als Firmware-Upgrades für vorhandene 802.11-Geräte eingesetzt werden können. Das WPA-Profil bietet auch optionale Unterstützung für den AES-CCMP-Algorithmus, der der bevorzugte Algorithmus in 802.11i und WPA2 ist.

WPA Enterprise bietet RADIUS-basierte Authentifizierung mit 802.1X. WPA Personal verwendet einen Pre-Shared Shared Key (PSK), um die Sicherheit mit einer Passphrase mit 8 bis 63 Zeichen zu gewährleisten. Der PSK kann auch als 64-stelliger Hexadezimalstring eingegeben werden. Schwache PSK-Passphrasen können mit Offline-Wörterbuchangriffen gebrochen werden, indem die Nachrichten im Vier-Wege-Austausch erfasst werden, wenn der Client nach der Deauthentifizierung wieder eine Verbindung herstellt. WLAN-Suiten wie aircrack-ng können eine schwache Passphrase in weniger als einer Minute knacken. Andere WEP/WPA-Cracker sind AirSnort und Auditor Security Collection. [24] Dennoch ist WPA Personal sicher, wenn es mit „guten“ Passphrasen oder einem vollständigen 64-stelligen Hexadezimalschlüssel verwendet wird.

Es gab jedoch Informationen, dass Erik Tews (der Mann, der den Fragmentierungsangriff gegen WEP verursachte) auf der PacSec-Sicherheitskonferenz in Tokio im November 2008 einen Weg zum Brechen der WPA-TKIP-Implementierung aufdecken würde, indem er die Verschlüsselung eines Pakets zwischen 12 . knackte -15 Minuten. [25] Dennoch wurde die Ankündigung dieses 'Cracks' von den Medien etwas übertrieben, denn seit August 2009 ist der beste Angriff auf WPA (der Beck-Tews-Angriff) nur teilweise erfolgreich, da er nur mit kurzen Daten funktioniert Pakete kann es den WPA-Schlüssel nicht entschlüsseln und es erfordert sehr spezifische WPA-Implementierungen, um zu funktionieren. [26]

Ergänzungen zu WPAv1 Edit

Neben WPAv1 können auch TKIP, WIDS und EAP hinzugefügt werden. Auch VPN-Netzwerke (nicht-kontinuierliche sichere Netzwerkverbindungen) können nach dem 802.11-Standard eingerichtet werden. VPN-Implementierungen umfassen PPTP, L2TP, IPsec und SSH. Diese zusätzliche Sicherheitsebene kann jedoch auch mit Tools wie Anger, Deceit und Ettercap für PPTP [27] und ike-scan, IKEProbe, ipsectrace und IKEcrack für IPsec-Verbindungen geknackt werden.

TKIP Bearbeiten

Dies steht für Temporal Key Integrity Protocol und das Akronym wird als Tee-Kip ausgesprochen. Dies ist Teil des IEEE 802.11i-Standards. TKIP implementiert eine Schlüsselmischung pro Paket mit einem Re-Keying-System und bietet auch eine Nachrichtenintegritätsprüfung. Diese vermeiden die Probleme von WEP.

EAP-Bearbeitung

Die WPA-Verbesserung gegenüber dem IEEE 802.1X-Standard hat bereits die Authentifizierung und Autorisierung für den Zugriff auf drahtlose und drahtgebundene LANs verbessert. Darüber hinaus haben zusätzliche Maßnahmen wie das Extensible Authentication Protocol (EAP) noch mehr Sicherheit eingeleitet. Dies, da EAP einen zentralen Authentifizierungsserver verwendet. Leider entdeckte ein Professor aus Maryland im Jahr 2002 einige Mängel [ Zitat benötigt ] . In den nächsten Jahren wurden diese Mängel durch den Einsatz von TLS und anderen Verbesserungen behoben. [28] Diese neue Version von EAP heißt jetzt Extended EAP und ist in mehreren Versionen verfügbar, darunter: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2, und EAP-SIM.

EAP-Versionen Bearbeiten

EAP-Versionen umfassen LEAP, PEAP und andere EAPs.

Dies steht für das Lightweight Extensible Authentication Protocol. Dieses Protokoll basiert auf 802.1X und hilft, die ursprünglichen Sicherheitslücken durch die Verwendung von WEP und einem ausgeklügelten Schlüsselverwaltungssystem zu minimieren. Diese EAP-Version ist sicherer als EAP-MD5. Dies verwendet auch die MAC-Adressauthentifizierung. LEAP ist nicht sicher THC-LeapCracker kann verwendet werden, um Ciscos Version von LEAP zu knacken und in Form eines Wörterbuchangriffs gegen Computer, die mit einem Zugangspunkt verbunden sind, verwendet zu werden. Anwrap und asleap sind schließlich andere Cracker, die LEAP brechen können. [24]

This stands for Protected Extensible Authentication Protocol. This protocol allows for a secure transport of data, passwords, and encryption keys without the need of a certificate server. This was developed by Cisco, Microsoft, and RSA Security.

Other EAPs There are other types of Extensible Authentication Protocol implementations that are based on the EAP framework. The framework that was established supports existing EAP types as well as future authentication methods. [29] EAP-TLS offers very good protection because of its mutual authentication. Both the client and the network are authenticated using certificates and per-session WEP keys. [30] EAP-FAST also offers good protection. EAP-TTLS is another alternative made by Certicom and Funk Software. It is more convenient as one does not need to distribute certificates to users, yet offers slightly less protection than EAP-TLS. [31]

Restricted access networks Edit

Solutions include a newer system for authentication, IEEE 802.1X, that promises to enhance security on both wired and wireless networks. Wireless access points that incorporate technologies like these often also have routers built in, thus becoming wireless gateways.

End-to-end encryption Edit

One can argue that both layer 2 and layer 3 encryption methods are not good enough for protecting valuable data like passwords and personal emails. Those technologies add encryption only to parts of the communication path, still allowing people to spy on the traffic if they have gained access to the wired network somehow. The solution may be encryption and authorization in the application layer, using technologies like SSL, SSH, GnuPG, PGP and similar.

The disadvantage with the end-to-end method is, it may fail to cover all traffic. With encryption on the router level or VPN, a single switch encrypts all traffic, even UDP and DNS lookups. With end-to-end encryption on the other hand, each service to be secured must have its encryption "turned on", and often every connection must also be "turned on" separately. For sending emails, every recipient must support the encryption method, and must exchange keys correctly. For Web, not all web sites offer https, and even if they do, the browser sends out IP addresses in clear text.

The most prized resource is often access to the Internet. An office LAN owner seeking to restrict such access will face the nontrivial enforcement task of having each user authenticate themselves for the router.

802.11i security Edit

The newest and most rigorous security to implement into WLAN's today is the 802.11i RSN-standard. This full-fledged 802.11i standard (which uses WPAv2) however does require the newest hardware (unlike WPAv1), thus potentially requiring the purchase of new equipment. This new hardware required may be either AES-WRAP (an early version of 802.11i) or the newer and better AES-CCMP-equipment. One should make sure one needs WRAP or CCMP-equipment, as the 2 hardware standards are not compatible.

WPAv2 Edit

WPA2 is a WiFi Alliance branded version of the final 802.11i standard. [32] The primary enhancement over WPA is the inclusion of the AES-CCMP algorithm as a mandatory feature. Both WPA and WPA2 support EAP authentication methods using RADIUS servers and preshared key (PSK).

The number of WPA and WPA2 networks are increasing, while the number of WEP networks are decreasing, [33] because of the security vulnerabilities in WEP.

WPA2 has been found to have at least one security vulnerability, nicknamed Hole196. The vulnerability uses the WPA2 Group Temporal Key (GTK), which is a shared key among all users of the same BSSID, to launch attacks on other users of the same BSSID. It is named after page 196 of the IEEE 802.11i specification, where the vulnerability is discussed. In order for this exploit to be performed, the GTK must be known by the attacker. [34]

Additions to WPAv2 Edit

Unlike 802.1X, 802.11i already has most other additional security-services such as TKIP. Just as with WPAv1, WPAv2 may work in cooperation with EAP and a WIDS.

WAPI Edit

This stands for WLAN Authentication and Privacy Infrastructure. This is a wireless security standard defined by the Chinese government.

Smart cards, USB tokens, and software tokens Edit

Security token use is a method of authentication relying upon only authorized users possessing the requisite token. Smart cards are physical tokens in the cards that utilize an embedded integrated circuit chip for authentication, requiring a card reader. [35] USB Tokens are physical tokens that connect via USB port to authenticate the user. [36]

RF shielding Edit

It's practical in some cases to apply specialized wall paint and window film to a room or building to significantly attenuate wireless signals, which keeps the signals from propagating outside a facility. This can significantly improve wireless security because it's difficult for hackers to receive the signals beyond the controlled area of a facility, such as from a parking lot. [37]

Denial of service defense Edit

Most DoS attacks are easy to detect. However, a lot of them are difficult to stop even after detection. Here are three of the most common ways to stop a DoS attack.

Black holing Edit

Black holing is one possible way of stopping a DoS attack. This is a situation where we drop all IP packets from an attacker. This is not a very good long-term strategy because attackers can change their source address very quickly.

This may have negative effects if done automatically. An attacker could knowingly spoof attack packets with the IP address of a corporate partner. Automated defenses could block legitimate traffic from that partner and cause additional problems.

Validating the handshake Edit

Validating the handshake involves creating false opens, and not setting aside resources until the sender acknowledges. Some firewalls address SYN floods by pre-validating the TCP handshake. This is done by creating false opens. Whenever a SYN segment arrives, the firewall sends back a SYN/ACK segment, without passing the SYN segment on to the target server.

Only when the firewall gets back an ACK, which would happen only in a legitimate connection, would the firewall send the original SYN segment on to the server for which it was originally intended. The firewall doesn't set aside resources for a connection when a SYN segment arrives, so handling a large number of false SYN segments is only a small burden.

Rate limiting Edit

Rate limiting can be used to reduce a certain type of traffic down to an amount the can be reasonably dealt with. Broadcasting to the internal network could still be used, but only at a limited rate for example. This is for more subtle DoS attacks. This is good if an attack is aimed at a single server because it keeps transmission lines at least partially open for other communication.

Rate limiting frustrates both the attacker, and the legitimate users. This helps but does not fully solve the problem. Once DoS traffic clogs the access line going to the internet, there is nothing a border firewall can do to help the situation. Most DoS attacks are problems of the community which can only be stopped with the help of ISP's and organizations whose computers are taken over as bots and used to attack other firms.

With increasing number of mobile devices with 802.1X interfaces, security of such mobile devices becomes a concern. While open standards such as Kismet are targeted towards securing laptops, [38] access points solutions should extend towards covering mobile devices also. Host based solutions for mobile handsets and PDA's with 802.1X interface.

Security within mobile devices fall under three categories:

  1. Protecting against ad hoc networks
  2. Connecting to rogue access points
  3. Mutual authentication schemes such as WPA2 as described above

Wireless IPS solutions now offer wireless security for mobile devices. [39]

Mobile patient monitoring devices are becoming an integral part of healthcare industry and these devices will eventually become the method of choice for accessing and implementing health checks for patients located in remote areas. For these types of patient monitoring systems, security and reliability are critical, because they can influence the condition of patients, and could leave medical professionals in the dark about the condition of the patient if compromised. [40]

In order to implement 802.11i, one must first make sure both that the router/access point(s), as well as all client devices are indeed equipped to support the network encryption. If this is done, a server such as RADIUS, ADS, NDS, or LDAP needs to be integrated. This server can be a computer on the local network, an access point / router with integrated authentication server, or a remote server. AP's/routers with integrated authentication servers are often very expensive and specifically an option for commercial usage like hot spots. Hosted 802.1X servers via the Internet require a monthly fee running a private server is free yet has the disadvantage that one must set it up and that the server needs to be on continuously. [41]

To set up a server, server and client software must be installed. Server software required is an enterprise authentication server such as RADIUS, ADS, NDS, or LDAP. The required software can be picked from various suppliers as Microsoft, Cisco, Funk Software, Meetinghouse Data, and from some open-source projects. Software includes:

  • Aradial RADIUS Server
  • Cisco Secure Access Control Software (open-source)
  • Funk Software Steel Belted RADIUS (Odyssey)
  • Microsoft Internet Authentication Service
  • Meetinghouse Data EAGIS
  • SkyFriendz (free cloud solution based on freeRADIUS)

Client software comes built-in with Windows XP and may be integrated into other OS's using any of following software:

  • AEGIS-client
  • Cisco ACU-client
  • Intel PROSet/Wireless Software
  • Odyssey client (open1X)-project

RADIUS Edit

Remote Authentication Dial In User Service (RADIUS) is an AAA (authentication, authorization and accounting) protocol used for remote network access. RADIUS, developed in 1991, was originally proprietary but then published in 1997 under ISOC documents RFC 2138 and RFC 2139. [42] [43] The idea is to have an inside server act as a gatekeeper by verifying identities through a username and password that is already pre-determined by the user. A RADIUS server can also be configured to enforce user policies and restrictions as well as record accounting information such as connection time for purposes such as billing.

Today, there is almost full wireless network coverage in many urban areas – the infrastructure for the wireless community network (which some consider to be the future of the internet [ die? ] ) is already in place. One could roam around and always be connected to Internet if the nodes were open to the public, but due to security concerns, most nodes are encrypted and the users don't know how to disable encryption. Many people [ die? ] consider it proper etiquette to leave access points open to the public, allowing free access to Internet. Others [ die? ] think the default encryption provides substantial protection at small inconvenience, against dangers of open access that they fear may be substantial even on a home DSL router.

The density of access points can even be a problem – there are a limited number of channels available, and they partly overlap. Each channel can handle multiple networks, but places with many private wireless networks (for example, apartment complexes), the limited number of Wi-Fi radio channels might cause slowness and other problems.

According to the advocates of Open Access Points, it shouldn't involve any significant risks to open up wireless networks for the public:

  • The wireless network is after all confined to a small geographical area. A computer connected to the Internet and having improper configurations or other security problems can be exploited by anyone from anywhere in the world, while only clients in a small geographical range can exploit an open wireless access point. Thus the exposure is low with an open wireless access point, and the risks with having an open wireless network are small. However, one should be aware that an open wireless router will give access to the local network, often including access to file shares and printers.
  • The only way to keep communication truly secure is to use end-to-end encryption. For example, when accessing an internet bank, one would almost always use strong encryption from the web browser and all the way to the bank – thus it shouldn't be risky to do banking over an unencrypted wireless network. The argument is that anyone can sniff the traffic applies to wired networks too, where system administrators and possible hackers have access to the links and can read the traffic. Also, anyone knowing the keys for an encrypted wireless network can gain access to the data being transferred over the network.
  • If services like file shares, access to printers etc. are available on the local net, it is advisable to have authentication (i.e. by password) for accessing it (one should never assume that the private network is not accessible from the outside). Correctly set up, it should be safe to allow access to the local network to outsiders.
  • With the most popular encryption algorithms today, a sniffer will usually be able to compute the network key in a few minutes.
  • It is very common to pay a fixed monthly fee for the Internet connection, and not for the traffic – thus extra traffic will not be detrimental.
  • Where Internet connections are plentiful and cheap, freeloaders will seldom be a prominent nuisance.

On the other hand, in some countries including Germany, [44] persons providing an open access point may be made (partially) liable for any illegal activity conducted via this access point. Also, many contracts with ISPs specify that the connection may not be shared with other persons.


2 Antworten 2

CIFS is a file sharing protocol. NFS is a volume sharing protocol. The difference between the two might not initially be obvious.

NFS is essentially a tiny step up from directly sharing /dev/sda1. The client actually receives a naked view of the shared subset of the filesystem, including (at least as of NFSv4) a description of which users can access which files. It is up to the client to actually manage the permissions of which user is allowed to access which files.

CIFS, on the other hand, manages users on the server side, and may provide a per-user view and access of files. In that respect, it is similar to FTP or WebDAV, but with the ability to read/write arbitrary subsets of a file, as well as a couple of other features related to locking.

This may sound like NFS is distinctively inferior to CIFS, but they are actually meant for a different purpose. NFS is most useful for external hard drives connected via Ethernet, and virtual cloud storage. In such cases, it is the intention to share the drive itself with a machine, but simply do it over Ethernet instead of SATA. For that use case, NFS offers greater simplicity and speed. A NAS, as you're using, is actually a perfect example of this. It isn't meant to manage access, it's meant to not be exposed to systems that shouldn't access it, in the first place.

If you absolutely MUST use NFS, there are a couple of ways to secure it. NFSv4 has an optional security model based on Kerberos. Good luck using that. A better option is to not allow direct connection to the NFS service from the host, and instead require going through some secure tunnel, like SSH port forwarding. Then the security comes down to establishing the tunnel. However, either one of those requires cooperation from the host, which would probably not be possible in the case of your NAS.

Mind you, if you're already using CIFS and it's working well, and it's giving you good access control, there's no good reason to switch (although, you'd have to turn the NFS off for security). However, if you have a docker-styled host, it might be worthwhile to play with iptables (or the firewall of your choice) on the docker-host, to prevent the other containers from having access to the NAS in the first place. Rather than delegating security to the NAS, it should be done at the docker-host level.


Update Protect’s Wi-Fi information

Trinkgeld: You should update Wi-Fi information for any Nest cameras before you update your Nest Protects. Your Nest Protects should talk to each other during setup and share Wi-Fi information. If your Protect doesn’t ask you for new Wi-Fi information, one of your other Nest products may be sharing Wi-Fi information with it.

2nd gen Nest Protect

On the Nest app home screen, tap Einstellungen .

Under “Device options,” tap Wi-Fi connection.

Tippen Nächste. Nest will attempt to connect to your Protect, and it will start looking for nearby Wi-Fi networks.

Select your Wi-Fi network and enter the password. Your Protect should automatically reconnect.

1st gen Nest Protect

Once it’s removed, set up Protect in the Nest app again. The app should walk you through connecting Protect to Wi-Fi.

Trinkgeld: For 1st gen Nest Protects, write down the entry key for each of your Protects and put it in a safe space. That way if you ever need to update its Wi-Fi information again, you won’t have to remove your Protect from the wall or ceiling to re-add it to the app.


What security threats are associated with network infrastructure devices?

Network infrastructure devices are often easy targets for attackers. Once installed, many network devices are not maintained at the same security level as general-purpose desktops and servers. The following factors can also contribute to the vulnerability of network devices:

  • Few network devices—especially small office/home office and residential-class routers—run antivirus, integrity-maintenance, and other security tools that help protect general-purpose hosts.
  • Manufacturers build and distribute these network devices with exploitable services, which are enabled for ease of installation, operation, and maintenance.
  • Owners and operators of network devices often do not change vendor default settings, harden them for operations, or perform regular patching.
  • Internet service providers may not replace equipment on a customer’s property once the equipment is no longer supported by the manufacturer or vendor.
  • Owners and operators often overlook network devices when they investigate, look for intruders, and restore general-purpose hosts after cyber intrusions.

Guidelines for Securing Wireless Local Area Networks (WLANs)

A wireless local area network (WLAN) is a group of wireless networking devices within a limited geographic area, such as an office building, that exchange data through radio communications. The security of each WLAN is heavily dependent on how well each WLAN component—including client devices, access points (AP), and wireless switches—is secured throughout the WLAN lifecycle, from initial WLAN design and deployment through ongoing maintenance and monitoring. The purpose of this publication is to help organizations improve their WLAN security by providing recommendations for WLAN security configuration and monitoring. This publication supplements other NIST publications by consolidating and strengthening their key recommendations.

A wireless local area network (WLAN) is a group of wireless networking devices within a limited geographic area, such as an office building, that exchange data through radio communications. The security of each WLAN is heavily dependent on how well each WLAN component—including client devices, access points (AP), and wireless switches—is secured throughout the WLAN lifecycle, from initial WLAN design and deployment through ongoing maintenance and monitoring. The purpose of this publication is to help organizations improve their WLAN security by providing recommendations for WLAN security configuration and monitoring. This publication supplements other NIST publications by consolidating and strengthening their key recommendations.

Schlüsselwörter

Control Families

Access Control Configuration Management Planning Risk Assessment System and Communications Protection

Dokumentation

Document History:
02/21/12: SP 800-153 (Final)


How to Secure wireless networks

  • Changing default passwords that come with the hardware
  • Enabling the authentication mechanism
  • Access to the network can be restricted by allowing only registered MAC addresses.
  • Use of strong WEP and WPA-PSK keys, a combination of symbols, number and characters reduce the chance of the keys been cracking using dictionary and brute force attacks.
  • Firewall Software can also help reduce unauthorized access.

5. PLAN AHEAD. Create a plan for responding to security incidents.

Taking steps to protect data in your possession can go a long way toward preventing a security breach. Nevertheless, breaches can happen. Here’s how you can reduce the impact on your business, your employees, and your customers:

  • Have a plan in place to respond to security incidents. Designate a senior member of your staff to coordinate and implement the response plan.
  • If a computer is compromised, disconnect it immediately from your network.
  • Investigate security incidents immediately and take steps to close off existing vulnerabilities or threats to personal information.
  • Consider whom to notify in the event of an incident, both inside and outside your organization. You may need to notify consumers, law enforcement, customers, credit bureaus, and other businesses that may be affected by the breach. In addition, many states and the federal bank regulatory agencies have laws or guidelines addressing data breaches. Consult your attorney.

SECURITY CHECK

Frage:
I own a small business. Aren’t these precautions going to cost me a mint to implement?

Antworten:
No. There’s no one-size-fits-all approach to data security, and what’s right for you depends on the nature of your business and the kind of information you collect from your customers. Some of the most effective security measures—using strong passwords, locking up sensitive paperwork, training your staff, etc.—will cost you next to nothing and you’ll find free or low-cost security tools at non-profit websites dedicated to data security. Furthermore, it’s cheaper in the long run to invest in better data security than to lose the goodwill of your customers, defend yourself in legal actions, and face other possible consequences of a data breach.


Schau das Video: GeoMYTNMAC QGIS 73 WMS WFS Geoserver. Connecter Geoserver et QGIS via ses webservices WMSWFS