главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Если у вас в компании проведена корпоративная беспроводная локальная сеть, поспешу вас огорчить. Есть все основания полагать, что ваша корпоративная сеть легко уязвима для сетевых атак с целью хищения аутентификационной информации, что может серьёзно повлиять не только на работу внутренней сети, но и на управление доступом к серверам.

    Ни использование надёжных идентификационных протоколов типа PEAP, EAP-FAST или EAP-TTLS, ни применение алгоритмов шифрования типа AES не смогут защитить от взлома, поскольку причина уязвимости кроется в некачественно разработанном клиенте для управления беспроводной сетью. Известные клиенты от Microsoft, Apple и Funk позволяют пользователям вовремя обнаружить начинающуюся атаку, но предоставляют очень незначительную информацию. Это очень серьёзный недостаток в клиентской конфигурации TLS.

    Главная проблема протокола LAN EAP для аутентификации в беспроводной среде заключается в отсутствии естественного и интуитивного метода определения соответствия имени в цифровом сертификате с именем SSID. В частности, в поле «subject» - «название» (именуемое также CN "Common Name" или DN - "Designated Name") цифрового сертификата сервера можно ввести что угодно. Большинство организаций, по крайней мере, вводят в это поле часть названия компании, а если сертификат выдаётся коммерческим центром, в конце поля обязательно присутствует имя домена.

    Это проблема не касается HTTP-клиентов (веб-браузеров), так как они автоматически сверяют имя домена из URL-адреса с информацией из поля «subject» цифрового сертификата. То есть, когда пользователь входит в безопасную зону SSL/TLS сайта https://secure.mybank.com, и в поле «subject» прописано secure.mybank.com, на экране появляется небольшая иконка в виде замка, уведомляющая владельца сертификата (например VeriSign или Entrust) о том, что он находится в безопасной зоне сервиса secure.mybank.com. Но в беспроводных клиентах, использующих основанный на TLS протокол аутентификации EAP, всё происходит гораздо сложнее. Если такая сеть имеет SSID-имя «МояКомпания», то в поле названия сертификата наверняка будет прописано: «зашифрованное.название.какой-то.там.компании», что, как видите, не имеет ничего общего с именем SSID.

    Клиентские системы Microsoft Windows XP SP2 и Vista, управляемые средствами Групповой политики (Group Policy), предоставляют самый высокий уровень настроек аутентификации, если, конечно, администратор знает, что именно нужно настраивать. С другой стороны, автономно настраиваемый клиент беспроводной сети Microsoft не позволяет просматривать имя сертификата. Если пользователь получает новый сертификат, и всё, что может увидеть администратор - это «VeriSign trust network» (одобрено VeriSign), тогда как имя сертификата «хакер.из.любой.точки.мира» скрыто от просмотра, могут возникнуть серьёзные сбои в соединении.

    Тем не менее, Windows XP SP2 и Vista позволяют запретить пользователю выполнять соединение к фальшивым RADIUS-серверам, однако это зависит от правильной конфигурации системы пользователя, что встречается далеко не всегда. На изображении ниже можно увидеть, какие опции следует включить администратору. О том, как настраивать эти и другие параметры вручную и автоматически, можно узнать из моего руководства по безопасности беспроводных локальных сетей.

    Новая утилита поможет проникнуть в большинство корпоративных беспроводных сетей


    Самое главное, удостовериться в том, что:

    1. Включена (enabled) проверка сертификата сервера (Validate server certificate).

    2. Поле «Connect to these servers» (Подключён к следующим серверам) определяет соответствующее поле «subject» цифрового сертификата X.509 (также известного, как CN или DN)). Не пугайтесь. Имена добавочных серверов можно вводить через точку с запятой. В своём руководстве по обеспечению безопасности локальных сетей я не определяю это поле, его можно оставлять пустым в определённых ситуациях. Если, к примеру, у вас есть частный сертификат, заблокировали возможность проверки сертификатов и не извещаете пользователей о новых серверах и сертификатах, данное поле заполнять не нужно. Но если сертификат общий, этот параметр необходимо включить и заполнить соответствующее поле.

    3. Для параметра CA (certificate authority) нужно указать тип ключа: общий или частный.

    4. Опция «do-not-prompt user to authorize new servers or trusted certificate authorities» («не позволять пользователю авторизироваться на новых серверах и получать подтверждения от доверенных центров сертификации») является главным нововведением в беспроводных клиентах Windows. Клиент Funk Odyssey также снабжён этой защитной функцией, но она отсутстствует в других беспроводных клиентах, например, в Mac OS X. Возможность пользователей обращаться в дополнительные центры сертификации несёт в себе самую большую опасность.

    Чтобы решить эту проблему программисты Джошуа Райт и Брэд Антониевич создали утилиту FreeRADIUS-WPE, использующую созданную разработчиками уязвимость для проникновения в сеть. Зачем они это сделали? Чтобы администраторы могли самостоятельно проверить состояние своих сетей и убедиться в том, что проблема существует. Без этой программы её можно решить пусть менее удобными, но не менее эффективными методами. Но похоже, что в настоящее время мало кому есть до этого дело. Теперь, когда общество узнало о создании такой утилиты, у администраторов есть шанс использовать FreeRADIUS-WPE для пробного проникновения в собственные сети, пока злоумышленники не сделали это раньше них.


    Автор: George Ou
    Версия на английском: blogs.zdnet.com
    Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.

    Page copy protected against web site content infringement by Copyscape



    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Развертывание промежуточных сертификатов с помощью групповой политики
  • Создание сертификатов SSL для Exchange 2007 и ISA Server 2006
  • Протоколы безопасности беспроводных сетей в Windows Vista
  • Пошаговое руководство по расширенному управлению сертификатами
  • Защищаем свою домашнюю беспроводную сеть.
    1. #1

      Спасибо за утилитку. Пойду протести am рую рабочие сети на проф. пригодность и безопасность bully

      Так держать am




    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет семь плюс пять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+