Quais são as implicações de conectividade para implementar um SSID sem fio oculto?

Este é um problema de hardware (ou um problema de software com alguns fornecedores de hardware). Eu sofri esse problema nas minhas redes sem fio. Eu também corro uma das minhas redes sem fio com um "SSID oculto" e tive alguns problemas com isso. Eu sei que nossas antigas máquinas Mac OS X baseadas em G4 / G5 não ficarão conectadas a uma rede SSID oculta. Eu também experimentei o problema com algumas placas wireless mais antigas da Linksys em várias versões do Windows. Outras placas e PCs não têm nenhum problema com isso. Eu tenho várias máquinas que funcionaram perfeitamente sem problemas. A maioria é de máquinas mais novas da Dell ou possui placas de rede sem fio mais novas, incluindo os novos cartões Linksys (o que me leva a acreditar que é provavelmente um problema de chipset sem fio, mas não tenho o suficiente para provar isso).

Eu tive problemas com um roteador D-Link onde escondi o SSID quando levei para casa meu primeiro laptop com Vista. Todos os dias eu tinha que adicionar a rede e no dia seguinte não a encontrava novamente e assim por diante. Então eu pesquisei isso. Uma das coisas que encontrei é um argumento que não é apenas "SSID oculto" nem mesmo uma pequena melhoria de segurança, é na verdade um grande problema de segurança.

Este é o conteúdo do link :

Why Non-broadcast Networks are not a Security Feature

Wireless security consists of two main elements: authentication and encryption. Authentication controls access to the network and encryption ensures that malicious users cannot determine the contents of wireless data frames. Although having users manually configure the SSID of a wireless network in order to connect to it creates the illusion of providing an additional layer of security, it does not substitute for either authentication or encryption.

A non-broadcast network is not undetectable. Non-broadcast networks are advertised in the probe requests sent out by wireless clients and in the responses to the probe requests sent by wireless APs. Unlike broadcast networks, wireless clients running Windows XP with Service Pack 2 or Windows Server® 2003 with Service Pack 1 that are configured to connect to non-broadcast networks are constantly disclosing the SSID of those networks, even when those networks are not in range.

Therefore, using non-broadcast networks compromises the privacy of the wireless network configuration of a Windows XP or Windows Server 2003-based wireless client because it is periodically disclosing its set of preferred non-broadcast wireless networks. When non-broadcast networks are used to hide a vulnerable wireless network—such as one that uses open authentication and Wired Equivalent Privacy—a Windows XP or Windows Server 2003-based wireless client can inadvertently aid malicious users, who can detect the wireless network SSID from the wireless client that is attempting to connect. Software that can be downloaded for free from the Internet leverages these information disclosures and targets non-broadcast networks.

This behavior is worse for enterprise wireless networks because of the number of wireless clients that are periodically advertising the non-broadcast network name. For example, an enterprise wireless network consists of 20 wireless APs and 500 wireless laptops. If the wireless APs are configured to broadcast, each wireless AP would periodically advertise the enterprise’s wireless network name, but only within the range of the wireless APs. If the wireless APs are configured as non-broadcast, each of the 500 Windows XP or Windows Server 2003-based laptops would periodically advertise the enterprise’s wireless network name, regardless of their location (in the office, at a wireless hotspot, or at home).

For these reasons, it is highly recommended that you do not use non-broadcast wireless networks. Instead, configure your wireless networks as broadcast and use the authentication and encryption security features of your wireless network hardware and Windows to protect your wireless network, rather than relying on non-broadcast behavior.

Na minha experiência, o problema mais comum para problemas de conectividade contra SSIDs ocultos é erros de digitação na configuração de conexão do cliente. A diferenciação de maiúsculas e minúsculas costuma ser minha causa.

Pode não ter a ver com os SSIDs. Você pode querer dar uma olhada no próprio controlador sem fio. Em um lugar onde trabalhei, rodamos duas redes sem fio do mesmo controlador, uma para os hóspedes e uma segura para os usuários. O que descobrimos foi que haveria perdas aleatórias de conexões ou, às vezes, uma das redes desapareceria. Eventualmente, nós demos a cada rede seu próprio controlador dedicado e os problemas foram resolvidos. É verdade que isso pode não ser a melhor solução, mas pode ser algo que você gostaria de analisar.

Tornar um SSID "oculto" apenas impede que ele seja transmitido no beacon; então eu não esperaria problemas de conectividade.

Verifique possíveis fontes de interferência, tente mudar de canal, etc.

Deixando o discurso inteiro do Security by Obscurity para o lado ... o que acontece se você revelar o SSID por tempo suficiente para usá-lo por quanto tempo levar para os clientes terem problemas de conectividade? Se funcionar bem quando não estiver oculto, mas tiver problemas quando estiver oculto, você terá seu culpado. Se você ainda tiver problemas de conectividade quando estiver oculto, seu problema estará em outro lugar.

Uma "rede fechada" significa que o SSID não está incluído nos quadros de sinalização. Quadros de beacon ainda são enviados periodicamente porque são importantes para a operação da rede, portanto, você não verá nenhuma alteração na quantidade de tráfego ou em qualquer aspecto de desempenho da operação de uma rede sem fio 802.11.

Do ponto de vista de segurança, o SSID ainda estará visível nas solicitações de sondagem e nas solicitações de associação, portanto, não é muito um recurso de segurança. Mas como você está falando sobre usá-lo para seus administradores de rede, acho que é uma opção de usabilidade decente - você está impedindo seus usuários comuns de ver mais uma opção em sua lista de redes sem fio às quais eles poderiam se associar.

Como outros já disseram, uma desvantagem é que as pessoas precisam lembrar exatamente como digitar. Com uma versão mais antiga do Windows e algum software de driver, se você digitar o nome de um SSID que não existe, você acabará criando uma rede ad-hoc com o nome incorreto que outros usuários podem tentar aderir você volta a ter usuários finais que estão tentando entrar na rede errada.

Suponho que alguns drivers mais antigos possam ter problemas para se associar a redes com SSIDs ocultos, mas esse "recurso" do 802.11 é realmente antigo, então ficaria surpreso se ele realmente causasse problemas de conexão.

Cada BSSID adicional que você adicionar (que é como os APs e controladores mais modernos criam novos SSIDs) adicionará uma certa quantidade de sobrecarga em beacons e tráfego de gerenciamento à sua rede, independentemente de o SSID ser anunciado ou não. Se você puder realizar alguma outra maneira de dar aos administradores o acesso extra que eles precisam (atribuição de VLAN baseada em RADIUS, aplicação de políticas baseada em função no controlador, etc.) sem criar um novo SSID, você pode pensar nisso. Mas provavelmente não haverá muita diferença na prática.

Alguns instrumentos de finalidade especial e sistemas embarcados mostram todas as "redes disponíveis" por meio de uma lista de SSIDs transmitidos, mas agora são cada vez mais poucos e distantes entre si. Eu acho que a única outra coisa a considerar é o que foi mencionado acima, sobre a verificação de interferência e talvez fazer uma varredura de todas as redes sem fio na área para uma possível sobreposição. Com SSIDs ocultos, você pode nunca ter uma empresa de rede XBOX360, com certeza;)

Eu questionaria qual benefício de segurança é obtido com a ocultação dos beacons do SSID, em vez da dor de cabeça dos clientes mal implementados.

Todos os dados de clientes autenticados ainda são transmitidos pelo ar com o SSID estampado em texto sem formatação. Esses identificadores provavelmente serão vistos por terceiros, levando mais do que uma olhada rápida em redes protegidas na área.