Bezpečnostní rizika při importování UPC root CA (UPC wifi free)

[m3a]

Ahojte,

chcel som sa pripojit na wifi free (wi-free), ale narazil som na podmienku importovat certifikát LGI_Root_CA medzi doveryhodne autority. Toto mi ale zavana moznostou MitM zo strany UPC.

Ako to vnimate vy? Dalo by sa toto riziko eliminovat openVPN tunelom alebo som na nieco zabudol?

Vdaka za konstruktivne odpovede k teme 

[Reklama]

[Miroslav Šilhavý]

chcel som sa pripojit na wifi free (wi-free), ale narazil som na podmienku importovat certifikát LGI_Root_CA medzi doveryhodne autority. Toto mi ale zavana moznostou MitM zo strany UPC.

Ako to vnimate vy? Dalo by sa toto riziko eliminovat openVPN tunelom alebo som na nieco zabudol?

Je to tak, jak říkáte. Pokud certifikát zařadíte mezi důvěryhodné CA, tak samozřejmě se všemi důsledky. Pokud UPC nevěříte, nedělejte to.

MITM eliminujete tím, že půjdete přes VPN a vzdálenou bránu v ní - pokud VPN vede někam, kde tomu věříte.
Na druhou stranu, certifikát bude v OS stále jako důvěryhodný, takže sice ne MITM, ale zbytek důsledků zůstane.

Osobně bych to neřešil. Pokud chcete bezpečnost, řeší se to stejně jinak.

[Jenda]

Já na žádnou podmínku instalovat UPC CA nenarazil. Prostě jsem vytvořil následující soubor

Kód: [Vybrat]

network={
  ssid="UPC Wi-Free"
  key_mgmt=WPA-EAP
  eap=PEAP
  pairwise=TKIP
  group=TKIP
  identity="accounting@nsalitomerice.cz"
  password="nbusr123"
  ca_cert="/root/LGI_Root_CA.cer"
  phase1="peaplabel=0"
  phase2="auth=MSCHAPV2"
  priority=0
}
a pustil na něj wpa_supplicant.

[m3a]

@Jenda, diky za odpoved.

skusal som vytvorit podobny config, len s vlastnymi credentials, ale pri

Kód: [Vybrat]

:~$ sudo wpa_supplicant  -i wlan0 -c'/home/user/Software/wi-free.conf' dostanem

Kód: [Vybrat]

wlan1: CTRL-EVENT-DISCONNECTED bssid=XX:XX:XX:XX:XX:XX reason=3 locally_generated=1
a samozrejme povodne som to skusal cez gui network manager, tam to ale vyfailuje a stale si to pyta dookola login/pass a samozrejme ziaden uspech...

zopar grepov zo syslogu..

Kód: [Vybrat]

Sep 01 00:00:00 userspc NetworkManager[5205]: <info>  [1506631084.3287] device (wlan0): state change: config -> failed (reason 'no-secrets') [50 120 7]
Sep 01 00:00:00 userspc NetworkManager[5205]: <warn>  [1506631084.3299] device (wlan0): Activation: failed for connection 'UPC Wi-Free'
Sep 01 00:00:00 userspc NetworkManager[5205]: <info>  [1506631084.3307] device (wlan0): state change: failed -> disconnected (reason 'none') [120 30 0]

Sep 01 00:00:00 userspc wpa_supplicant[1308]: wlan0: CTRL-EVENT-EAP-FAILURE EAP authentication failed
Sep 01 00:00:00 userspc wpa_supplicant[1308]: wlan0: CTRL-EVENT-SSID-TEMP-DISABLED id=0 ssid="UPC Wi-Free" auth_failures=1 duration=10 reason=AUTH_FAILED
Sep 01 00:00:00 userspc gnome-session[1900]: (nm-applet:2083): Gtk-CRITICAL **: gtk_widget_destroy: assertion 'GTK_IS_WIDGET (widget)' failed
Sep 01 00:00:00 userspc gnome-session[1900]: message repeated 3 times: [ (nm-applet:2083): Gtk-CRITICAL **: gtk_widget_destroy: assertion 'GTK_IS_WIDGET (widget)' failed]
Sep 01 00:00:00 userspc wpa_supplicant[1308]: OpenSSL: tls_connection_ca_cert - Failed to load root certificates error:00000000:lib(0):func(0):reason(0)

tipujem, ze bud davam nejaky zly parameter pri wpasupplicante alebo je problem s autentikaciou/root certom..

[m3a]

Ok, pozrel som este raz syslog a zmenil eap hodnotu z TTLS na PEAP a uz sa pripojilo bez problemov..

@Miroslav Šilhavý
Defaultne ISP neverim a UPC neverim^2, stacil jeden kontakt s ich zakaznickym servisom
Zabezpecenie trafficu planujem riesit via openVPN alebo nejakym inym tunelom. Ak mate nejake skusenosti, kludne sa podelte.

dik

[Reklama]