Khi 802.1x / PEAP / EAP-TTLS là Tệ hơn hơn Không có bảo mật không dây
bạn có thể biện hộ tuyên bố rằng 802.1x với PEAP hoặc EAP-TTLS có thể tồi tệ hơn không dây mở với không có chứng thực hoặc mã hóa? Ghi thi Cisco LEAP cũ đó là dễ bị tổn thương để ẩn tấn công brute-force do gửi của người sử dụng MS CHAP v2 thách thức / phản ứng bên ngoài của một kết nối an toàn? Joshua Wright đã ghi chi tiết này và thậm chí còn viết một công cụ rất phổ biến, ASLEAP để khai thác vấn đề. ASLEAP chụp MS CHAP v2 cặp thách thức / phản ứng và / hoặc có thể được sử dụng để crack mật khẩu của người sử dụng thông qua các cuộc tấn công từ điển hay thậm chí brute-lực lượng khi kết hợp với các công cụ như John The Ripper (JTR).
Một mạng không dây đó là mở không xác thực hoặc mã hóa cung cấp một kẻ tấn công một điều: Truy cập mạng. Nó thuộc vào kẻ tấn công sau đó sử dụng truy cập mạng để làm những gì họ muốn làm. Đó là đủ xấu, nhưng một mạng chạy LEAP mà không có một chính sách đủ phức tạp và thi hành thống nhất mật khẩu phức tạp lưới kẻ tấn công hai điều:
Truy cập mạng
Người sử dụng khai thác (s) thông tin, thường là Active Directory
Vì vậy đủ về LEAP; thế giới chuyển qua LEAP và vào EAP khác biến thể như PEAP, EAP-TTLS, và EAP-TLS là "bảo vệ" xác thực EAP bên trong phiên SSL / TLS. Yay, SSL tiết kiệm trong ngày. Chắc chắn, SSL cung cấp mã hóa, nhưng mã hóa là những gì có giá trị nếu bạn đang thực sự kết nối với một kẻ tấn công và không đích đến hợp pháp của mình? Đó là lý do tại sao SSL sử dụng chuỗi sự tin tưởng và các mối quan hệ để cung cấp. SSL hỗ trợ người sử dụng để xác thực máy chủ với giấy chứng nhận khách hàng, nhưng đó không phải là những gì tôi đang nói về. Tôi đang nói về máy chủ để xác thực khách hàng, mà là để nói, "Tôi thực sự máy chủ bạn có ý định để kết nối và đây là chứng chỉ để chứng minh điều đó."
máy của bạn có một kho lưu trữ chứng giấy chứng nhận từ cơ quan chứng chỉ tin cậy, công nhất, một số có thể là nội bộ hay trung gian. Các ứng dụng sử dụng SSL có thể được cấu hình để tin tưởng tất cả hoặc một số cơ quan chức năng trong cửa hàng. Đúng cấu hình ở cả cấp độ máy chủ và khách, 802.1x với PEAP hoặc EAP-TTLS là rắn. Cấu hình không đúng, 802.1x sử dụng PEAP hoặc EAP-TTLS có thể cung cấp cho một kẻ tấn công truy cập nội bộ vào mạng của bạn từ bên ngoài tòa nhà của bạn cùng với thông tin người dùng để thực sự đăng nhập vào tài nguyên mạng nội bộ.
Dưới đây là cách làm:
Một kẻ tấn công thiết lập một giả (tốt, thực sự cho những kẻ tấn công) dụ RADIUS. Trong trường hợp này, FreeRADIUS - Wireless Pwnage Edition được sử dụng, đó là hoàn toàn xấu hổ để nói như vậy, tôi sẽ nói sử dụng FreeRADIUS WPE từ bây giờ. FreeRADIUS WPE là một miếng vá cho FreeRADIUS để cấu hình nó tự động cho phép thực hiện chứng thực (AP) từ tất cả các dãy địa chỉ tin, tự động chấp nhận bất kỳ EAP-loại, tự động chấp nhận bất kỳ thông tin người dùng, và tự động đăng nhập thách thức và phản ứng MS CHAP v2.
Những kẻ tấn công thiết lập một AP giả mạo mà hỗ trợ xác thực 802.1x và điểm nó đến máy chủ RADIUS giả. Những kẻ tấn công có thể mạo danh một SSID mục tiêu hoặc tìm kiếm thăm dò SSID với công cụ giám sát như airodump-ng, kismet, kismac, NetStumbler, và vv để nhắm mục tiêu SSID nghi ngờ 802.1x. Những kẻ tấn công có thể giả mạo địa chỉ MAC AP hợp pháp nếu họ muốn hay không.
Những kẻ tấn công thiết lập tại một địa điểm gần người sử dụng mạng không dây và chờ đợi cho khách hàng để xác thực với AP giả mạo và máy chủ RADIUS.
Những kẻ tấn công có được tên người dùng và MSCHAPv2 cặp thách thức / phản ứng.
Các vết nứt kẻ tấn công mật khẩu người sử dụng nạn nhân bằng cách sử dụng nhiều phương pháp.
Những kẻ tấn công đã không chỉ truy cập mạng nội bộ, từ xa nhưng rất có thể có mục thông tin tích cực từ một số người dùng. Đây có thể làm việc trên các trang web bên ngoài, VPN truy cập từ xa, OWA, chia sẻ tập tin nội bộ, vv
Đây là lý do tại sao:
chứng chỉ SSL tự gán không được tin cậy của khách hàng không dây thường được cài đặt trên các máy chủ RADIUS trong môi trường 802.1x. khách hàng không dây được thì buộc phải tin tưởng bất kỳ chứng chỉ trình bày cho họ.
người van 802.1x (khách hàng không dây) thường được cấu hình để không xác nhận chứng chỉ máy chủ RADIUS.
người van 802.1x thường được cấu hình để tin tưởng CA công cộng mà từ đó kẻ tấn công có thể có được một giấy chứng nhận giả.
người van 802.1x thường nhắc nhở người dùng về việc liệu một chứng RADIUS là đáng tin cậy. Rời nó lên cho người sử dụng không bao giờ là một cược thắng.
Phải làm gì?
Nếu bạn ok với và sự hiểu biết về các nguyên cần thiết của việc quản lý giấy chứng nhận của khách hàng, thực hiện EAP-TLS là nó không phải là dễ bị các loại tấn công.
Cài đặt một chứng chỉ của một CA nội bộ được tin tưởng bởi người dùng di động trên máy chủ RADIUS.
Tránh sử dụng giấy chứng nhận RADIUS chữ ký của CA công cộng.
Thực thi hợp lệ giấy chứng nhận RADIUS và tự chọn CA nội bộ được tin cậy. Làm điều này trực thuộc Trung ương, thông qua các công cụ như Active Directory Group Wireless Chính sách nếu có thể. Đảm bảo nhân viên giúp đỡ-bàn và người sử dụng không có khả năng thay đổi cấu hình này vì nó có một cách để trở nên vô hiệu khi mọi người đang khắc phục sự cố các vấn đề không dây.
Như mọi khi, đảm bảo rằng một chính sách mật khẩu phức tạp mạnh được áp dụng thống nhất cho tất cả người sử dụng, không có ngoại lệ.
https://depthsecurity.com/blog/when-802-1x-peap-eap-ttls-is-worse-than-no-wireless-security
Một mạng không dây đó là mở không xác thực hoặc mã hóa cung cấp một kẻ tấn công một điều: Truy cập mạng. Nó thuộc vào kẻ tấn công sau đó sử dụng truy cập mạng để làm những gì họ muốn làm. Đó là đủ xấu, nhưng một mạng chạy LEAP mà không có một chính sách đủ phức tạp và thi hành thống nhất mật khẩu phức tạp lưới kẻ tấn công hai điều:
Truy cập mạng
Người sử dụng khai thác (s) thông tin, thường là Active Directory
Vì vậy đủ về LEAP; thế giới chuyển qua LEAP và vào EAP khác biến thể như PEAP, EAP-TTLS, và EAP-TLS là "bảo vệ" xác thực EAP bên trong phiên SSL / TLS. Yay, SSL tiết kiệm trong ngày. Chắc chắn, SSL cung cấp mã hóa, nhưng mã hóa là những gì có giá trị nếu bạn đang thực sự kết nối với một kẻ tấn công và không đích đến hợp pháp của mình? Đó là lý do tại sao SSL sử dụng chuỗi sự tin tưởng và các mối quan hệ để cung cấp. SSL hỗ trợ người sử dụng để xác thực máy chủ với giấy chứng nhận khách hàng, nhưng đó không phải là những gì tôi đang nói về. Tôi đang nói về máy chủ để xác thực khách hàng, mà là để nói, "Tôi thực sự máy chủ bạn có ý định để kết nối và đây là chứng chỉ để chứng minh điều đó."
máy của bạn có một kho lưu trữ chứng giấy chứng nhận từ cơ quan chứng chỉ tin cậy, công nhất, một số có thể là nội bộ hay trung gian. Các ứng dụng sử dụng SSL có thể được cấu hình để tin tưởng tất cả hoặc một số cơ quan chức năng trong cửa hàng. Đúng cấu hình ở cả cấp độ máy chủ và khách, 802.1x với PEAP hoặc EAP-TTLS là rắn. Cấu hình không đúng, 802.1x sử dụng PEAP hoặc EAP-TTLS có thể cung cấp cho một kẻ tấn công truy cập nội bộ vào mạng của bạn từ bên ngoài tòa nhà của bạn cùng với thông tin người dùng để thực sự đăng nhập vào tài nguyên mạng nội bộ.
Dưới đây là cách làm:
Một kẻ tấn công thiết lập một giả (tốt, thực sự cho những kẻ tấn công) dụ RADIUS. Trong trường hợp này, FreeRADIUS - Wireless Pwnage Edition được sử dụng, đó là hoàn toàn xấu hổ để nói như vậy, tôi sẽ nói sử dụng FreeRADIUS WPE từ bây giờ. FreeRADIUS WPE là một miếng vá cho FreeRADIUS để cấu hình nó tự động cho phép thực hiện chứng thực (AP) từ tất cả các dãy địa chỉ tin, tự động chấp nhận bất kỳ EAP-loại, tự động chấp nhận bất kỳ thông tin người dùng, và tự động đăng nhập thách thức và phản ứng MS CHAP v2.
Những kẻ tấn công thiết lập một AP giả mạo mà hỗ trợ xác thực 802.1x và điểm nó đến máy chủ RADIUS giả. Những kẻ tấn công có thể mạo danh một SSID mục tiêu hoặc tìm kiếm thăm dò SSID với công cụ giám sát như airodump-ng, kismet, kismac, NetStumbler, và vv để nhắm mục tiêu SSID nghi ngờ 802.1x. Những kẻ tấn công có thể giả mạo địa chỉ MAC AP hợp pháp nếu họ muốn hay không.
Những kẻ tấn công thiết lập tại một địa điểm gần người sử dụng mạng không dây và chờ đợi cho khách hàng để xác thực với AP giả mạo và máy chủ RADIUS.
Những kẻ tấn công có được tên người dùng và MSCHAPv2 cặp thách thức / phản ứng.
Các vết nứt kẻ tấn công mật khẩu người sử dụng nạn nhân bằng cách sử dụng nhiều phương pháp.
Những kẻ tấn công đã không chỉ truy cập mạng nội bộ, từ xa nhưng rất có thể có mục thông tin tích cực từ một số người dùng. Đây có thể làm việc trên các trang web bên ngoài, VPN truy cập từ xa, OWA, chia sẻ tập tin nội bộ, vv
Đây là lý do tại sao:
chứng chỉ SSL tự gán không được tin cậy của khách hàng không dây thường được cài đặt trên các máy chủ RADIUS trong môi trường 802.1x. khách hàng không dây được thì buộc phải tin tưởng bất kỳ chứng chỉ trình bày cho họ.
người van 802.1x (khách hàng không dây) thường được cấu hình để không xác nhận chứng chỉ máy chủ RADIUS.
người van 802.1x thường được cấu hình để tin tưởng CA công cộng mà từ đó kẻ tấn công có thể có được một giấy chứng nhận giả.
người van 802.1x thường nhắc nhở người dùng về việc liệu một chứng RADIUS là đáng tin cậy. Rời nó lên cho người sử dụng không bao giờ là một cược thắng.
Phải làm gì?
Nếu bạn ok với và sự hiểu biết về các nguyên cần thiết của việc quản lý giấy chứng nhận của khách hàng, thực hiện EAP-TLS là nó không phải là dễ bị các loại tấn công.
Cài đặt một chứng chỉ của một CA nội bộ được tin tưởng bởi người dùng di động trên máy chủ RADIUS.
Tránh sử dụng giấy chứng nhận RADIUS chữ ký của CA công cộng.
Thực thi hợp lệ giấy chứng nhận RADIUS và tự chọn CA nội bộ được tin cậy. Làm điều này trực thuộc Trung ương, thông qua các công cụ như Active Directory Group Wireless Chính sách nếu có thể. Đảm bảo nhân viên giúp đỡ-bàn và người sử dụng không có khả năng thay đổi cấu hình này vì nó có một cách để trở nên vô hiệu khi mọi người đang khắc phục sự cố các vấn đề không dây.
Như mọi khi, đảm bảo rằng một chính sách mật khẩu phức tạp mạnh được áp dụng thống nhất cho tất cả người sử dụng, không có ngoại lệ.
https://depthsecurity.com/blog/when-802-1x-peap-eap-ttls-is-worse-than-no-wireless-security
Comments
Post a Comment