Comments 10
Можно обсудить 802.1x с аналогичной аутентификацией? Допустим у нас EAP-TLS, у клиента сертификат. Есть здесь риски при отказе от валидации сертификата NPS/Radius?
Хорошая задачка. С проводным 802.1x дела не имел, поэтому чисто теоретически. Если рассматривать риск, что атакующий может вклиниться между конечным устройством и сетевым портом, то проверка нужна. Но в таком случае обязательно и шифрование трафика (macsec, ipsec), без шифрования возможна и прослушка и инъекция трафика. Если защищать порты от подключения неизвестных устройств без учета MITM - то проверка не обязательна.
1) если кто-то между клиентом и коммутатором, можно назначить любую сеть без аутентификации и клиенту будет ОК.
2) Между коммутатором и NPS - надо знать radius secret, иначе коммутатор не будет с вами общаться.
Склонен считать, что при аутентификации сертификатом в EAP-TLS закрытый ключ клиента никуда не передается, а верификация сертификата NPS не несет каких-то преимуществ.
Между клиентом и коммутатором. https://habr.com/ru/companies/jetinfosystems/articles/564238/.
Описана атака на mschap v2, а у нас EAP-TLS. В этом случае суппликант даже и не знает пароль от учётной записи, которой аутентифицируется.
Ну ок, не будем спорить на пустом месте, допускаю что есть негативные сценарии с подменой сертификата.
Что же касается mac bypass, обычно принтеры попадают в такую сеть, из которой нет выхода. Можно разве что на соседние принтеры попечатать и бумагу извести. Тоже атака.
Ключи не передаются, но если клиент не проверяет сертифиат сервера, то настоящий ключ сервера и не нужен, т.е. возможно подключение клиента к атакующему. Если не рассматривать это как самостоятельный риск - то ок.
Клиента к атакующему и так не проблема подключить. Когда у вас на интерфейсе не проходит аутентификация, стек tcp/ip на это не обращает особого внимания. Легитимный коммутатор при не прохождении проверки может вас поместить в карантинный vlan, где клиент, например, может только обновить сертификат или зайти на портал техподдержки. Так же и злоумышленник может сделать для вашей машины p2p подключение с своим dhcp сервером, никак не реагировать на пакеты eap, а клиент не пройдя аутентификацию, всё равно станет доступен ему по сети.
Пробовал разворачивать похожую вещь. Но столкнулся с проблемами Windows 11, там что-то перемудрили с политиками и насколько понял небезопасный ms-chapv2 выпилен (отключен). Частично вопрос решается отключением device guard, но не всегда помогает. И вроде как EAP-TLS должен точно работать. Так как центр сертификации у нас свой есть, попробовал...и ничего не выходит. Может есть где толковая статья, как это правильно настроить (с учетом последних нововведений от MS)?
WPA-Enterprise: инструкция по выживанию