Bezpečnostní rizika při importování UPC root CA (UPC wifi free)

m3a

Ahojte,

chcel som sa pripojit na wifi free (wi-free), ale narazil som na podmienku importovat certifikát LGI_Root_CA medzi doveryhodne autority. Toto mi ale zavana moznostou MitM zo strany UPC.

Ako to vnimate vy? Dalo by sa toto riziko eliminovat openVPN tunelom alebo som na nieco zabudol?

Vdaka za konstruktivne odpovede k teme  ;)
« Poslední změna: 02. 10. 2017, 10:07:03 od Petr Krčmář »


Re:Bezpecnostne rizika pri importovani UPC root CA (UPC wifi free)
« Odpověď #1 kdy: 28. 09. 2017, 14:22:48 »
chcel som sa pripojit na wifi free (wi-free), ale narazil som na podmienku importovat certifikát LGI_Root_CA medzi doveryhodne autority. Toto mi ale zavana moznostou MitM zo strany UPC.

Ako to vnimate vy? Dalo by sa toto riziko eliminovat openVPN tunelom alebo som na nieco zabudol?

Je to tak, jak říkáte. Pokud certifikát zařadíte mezi důvěryhodné CA, tak samozřejmě se všemi důsledky. Pokud UPC nevěříte, nedělejte to.

MITM eliminujete tím, že půjdete přes VPN a vzdálenou bránu v ní - pokud VPN vede někam, kde tomu věříte.
Na druhou stranu, certifikát bude v OS stále jako důvěryhodný, takže sice ne MITM, ale zbytek důsledků zůstane.

Osobně bych to neřešil. Pokud chcete bezpečnost, řeší se to stejně jinak.

Jenda

Re:Bezpecnostne rizika pri importovani UPC root CA (UPC wifi free)
« Odpověď #2 kdy: 28. 09. 2017, 15:22:40 »
Já na žádnou podmínku instalovat UPC CA nenarazil. Prostě jsem vytvořil následující soubor
Kód: [Vybrat]
network={
  ssid="UPC Wi-Free"
  key_mgmt=WPA-EAP
  eap=PEAP
  pairwise=TKIP
  group=TKIP
  identity="accounting@nsalitomerice.cz"
  password="nbusr123"
  ca_cert="/root/LGI_Root_CA.cer"
  phase1="peaplabel=0"
  phase2="auth=MSCHAPV2"
  priority=0
}
a pustil na něj wpa_supplicant.

m3a

Re:Bezpecnostne rizika pri importovani UPC root CA (UPC wifi free)
« Odpověď #3 kdy: 28. 09. 2017, 22:54:39 »
@Jenda, diky za odpoved.

skusal som vytvorit podobny config, len s vlastnymi credentials, ale pri

Kód: [Vybrat]
:~$ sudo wpa_supplicant  -i wlan0 -c'/home/user/Software/wi-free.conf' dostanem
Kód: [Vybrat]
wlan1: CTRL-EVENT-DISCONNECTED bssid=XX:XX:XX:XX:XX:XX reason=3 locally_generated=1
a samozrejme povodne som to skusal cez gui network manager, tam to ale vyfailuje a stale si to pyta dookola login/pass a samozrejme ziaden uspech...

zopar grepov zo syslogu..
Kód: [Vybrat]
Sep 01 00:00:00 userspc NetworkManager[5205]: <info>  [1506631084.3287] device (wlan0): state change: config -> failed (reason 'no-secrets') [50 120 7]
Sep 01 00:00:00 userspc NetworkManager[5205]: <warn>  [1506631084.3299] device (wlan0): Activation: failed for connection 'UPC Wi-Free'
Sep 01 00:00:00 userspc NetworkManager[5205]: <info>  [1506631084.3307] device (wlan0): state change: failed -> disconnected (reason 'none') [120 30 0]

Sep 01 00:00:00 userspc wpa_supplicant[1308]: wlan0: CTRL-EVENT-EAP-FAILURE EAP authentication failed
Sep 01 00:00:00 userspc wpa_supplicant[1308]: wlan0: CTRL-EVENT-SSID-TEMP-DISABLED id=0 ssid="UPC Wi-Free" auth_failures=1 duration=10 reason=AUTH_FAILED
Sep 01 00:00:00 userspc gnome-session[1900]: (nm-applet:2083): Gtk-CRITICAL **: gtk_widget_destroy: assertion 'GTK_IS_WIDGET (widget)' failed
Sep 01 00:00:00 userspc gnome-session[1900]: message repeated 3 times: [ (nm-applet:2083): Gtk-CRITICAL **: gtk_widget_destroy: assertion 'GTK_IS_WIDGET (widget)' failed]
Sep 01 00:00:00 userspc wpa_supplicant[1308]: OpenSSL: tls_connection_ca_cert - Failed to load root certificates error:00000000:lib(0):func(0):reason(0)

tipujem, ze bud davam nejaky zly parameter pri wpasupplicante alebo je problem s autentikaciou/root certom..

m3a

Re:Bezpecnostne rizika pri importovani UPC root CA (UPC wifi free)
« Odpověď #4 kdy: 28. 09. 2017, 23:19:41 »
Ok, pozrel som este raz syslog a zmenil eap hodnotu z TTLS na PEAP a uz sa pripojilo bez problemov..

@Miroslav Šilhavý
Defaultne ISP neverim a UPC neverim^2, stacil jeden kontakt s ich zakaznickym servisom :)
Zabezpecenie trafficu planujem riesit via openVPN alebo nejakym inym tunelom. Ak mate nejake skusenosti, kludne sa podelte.

dik