xvalex27 янв в 10:15

WPA-Enterprise: инструкция по выживанию

Средний

24 мин

Системное администрирование *

Из песочницы

Комментарии 8

gotch 27 янв в 10:38

Можно обсудить 802.1x с аналогичной аутентификацией? Допустим у нас EAP-TLS, у клиента сертификат. Есть здесь риски при отказе от валидации сертификата NPS/Radius?

xvalex 27 янв в 19:39

Хорошая задачка. С проводным 802.1x дела не имел, поэтому чисто теоретически. Если рассматривать риск, что атакующий может вклиниться между конечным устройством и сетевым портом, то проверка нужна. Но в таком случае обязательно и шифрование трафика (macsec, ipsec), без шифрования возможна и прослушка и инъекция трафика. Если защищать порты от подключения неизвестных устройств без учета MITM - то проверка не обязательна.

gotch 28 янв в 13:29

1) если кто-то между клиентом и коммутатором, можно назначить любую сеть без аутентификации и клиенту будет ОК.

2) Между коммутатором и NPS - надо знать radius secret, иначе коммутатор не будет с вами общаться.

Склонен считать, что при аутентификации сертификатом в EAP-TLS закрытый ключ клиента никуда не передается, а верификация сертификата NPS не несет каких-то преимуществ.

xvalex 28 янв в 14:12

Между клиентом и коммутатором. https://habr.com/ru/companies/jetinfosystems/articles/564238/.

gotch 28 янв в 14:25

Описана атака на mschap v2, а у нас EAP-TLS. В этом случае суппликант даже и не знает пароль от учётной записи, которой аутентифицируется.

Ну ок, не будем спорить на пустом месте, допускаю что есть негативные сценарии с подменой сертификата.

Что же касается mac bypass, обычно принтеры попадают в такую сеть, из которой нет выхода. Можно разве что на соседние принтеры попечатать и бумагу извести. Тоже атака.

xvalex 28 янв в 14:32

Ключи не передаются, но если клиент не проверяет сертифиат сервера, то настоящий ключ сервера и не нужен, т.е. возможно подключение клиента к атакующему. Если не рассматривать это как самостоятельный риск - то ок.

gotch 28 янв в 14:39

Клиента к атакующему и так не проблема подключить. Когда у вас на интерфейсе не проходит аутентификация, стек tcp/ip на это не обращает особого внимания. Легитимный коммутатор при не прохождении проверки может вас поместить в карантинный vlan, где клиент, например, может только обновить сертификат или зайти на портал техподдержки. Так же и злоумышленник может сделать для вашей машины p2p подключение с своим dhcp сервером, никак не реагировать на пакеты eap, а клиент не пройдя аутентификацию, всё равно станет доступен ему по сети.

xvalex 28 янв в 14:58

> Когда у вас на интерфейсе не проходит аутентификация, стек tcp/ip на это не обращает особого внимания.

Не знал. Странно и нелогично.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий