Anketa

Je to pitoma otazka?

Ano
Ano, ale ze ses to ty, tak ne
Ne
Ne, ale ze ses to ty, tak jo

Bezpečnost WPA2-PSK s „veřejným“ heslem

pepak

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #30 kdy: 03. 11. 2012, 06:49:17 »
Vždyť tady je několik odkazů na airdecap-ng a pan Prýmek tu taky dal nějaký popis.
Pokud to airdecap-ng umí, je to poměrně přesvědčivý důkaz slabiny. Ale nevyplývá z toho, že ten útok funguje v každé konfiguraci, a dále z toho nevyplývá, že jeden autentizační postup dává horší výsledky než jiný (např. není vůbec zřejmé, proč by autentizace přes Radius server měla proti útoku ochránit).

Mně osobně přijde fakt dobře (stručně, ale výstižně) napsaný to, co už jsem odkazoval: http://www.logichotspot.com/index/networks-convenience-security-control/on-wap2-personal-security-from-steve-gibson/
Jo, ale to je interpretace, ne specifikace. A když tam čtu věci jako "When you think about it, there must be an inherent weakness if everyone is using the same well known passphrase: An attacker inherently knows everything that both the access point and the connected clients know.", tak to ve mě zrovna moc důvěry nevzbuzuje. I když to píše S.G.

Citace
Plný text standardu: http://standards.ieee.org/getieee802/download/802.11i-2004.pdf
Je to určitě aktuální dokument? Mě to připadá, že se to zabývá WIFI v době WEP, o WPA tam není ani slovo...

Každopádně se dost nabízí otázka, proč by WPA mělo používat tak idiotský protokol pro vytvoření sdíleného klíče. Považoval bych za úplně samozřejmé, že PSK se použije pouze pro navázání kontaktu (AP pošle nonce, klient ho pomocí PSK zahashuje a pošle zpátky, AP udělá to samé a porovnáním obou hashů zjistí, jestli klient zná PSK) a pro vlastní výměnu klíče se použije třeba Diffie Hellman nebo RSA nebo cokoliv jiného prověřeného...


Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #31 kdy: 03. 11. 2012, 07:14:49 »
např. není vůbec zřejmé, proč by autentizace přes Radius server měla proti útoku ochránit
Samotný Radius ne. Chrání jiný způsob použití klíčů.

Je to určitě aktuální dokument? Mě to připadá, že se to zabývá WIFI v době WEP, o WPA tam není ani slovo...
WPA je asi spíš marketingový pojem, protože "IEEE 802.11i" by se blbě prodávalo :) - viz http://en.wikipedia.org/wiki/IEEE_802.11i-2004

Způsob výměny klíčů je popsaný v 8.5 Keys and key distribution.

Každopádně se dost nabízí otázka, proč by WPA mělo používat tak idiotský protokol pro vytvoření sdíleného klíče. Považoval bych za úplně samozřejmé, že PSK se použije pouze pro navázání kontaktu (AP pošle nonce, klient ho pomocí PSK zahashuje a pošle zpátky, AP udělá to samé a porovnáním obou hashů zjistí, jestli klient zná PSK) a pro vlastní výměnu klíče se použije třeba Diffie Hellman nebo RSA nebo cokoliv jiného prověřeného...
Pokud se mám pustit do úplné spekulace, tipoval bych, že to bude proto, že jenom pomocí sdíleného klíče nic moc lepšího dosáhnout nejde - pokud bych sdílený klíč použil k navázání komunikace, nemám ochranu proti MITM. Čili potom si sice můžu navázat soukromý a bezpečný kanál pomocí DH, ale když si nejsem jist, s kým jsem ho vlastně navázal, tak mi to stejně moc nepomůže... Aby to celé k něčemu bylo, potřebuju stejně certifikáty - a to už jsme u 802.1X...

Na mě to působí, že WPA-PSK je prostě docela rozumný mezi bezpečností a jednoduchostí pro domácí sítě s tím, že všechno stojí a padá s kompromitací PSK...

Jenda

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #32 kdy: 03. 11. 2012, 23:35:10 »
Pokud se mám pustit do úplné spekulace, tipoval bych, že to bude proto, že jenom pomocí sdíleného klíče nic moc lepšího dosáhnout nejde - pokud bych sdílený klíč použil k navázání komunikace, nemám ochranu proti MITM. Čili potom si sice můžu navázat soukromý a bezpečný kanál pomocí DH, ale když si nejsem jist, s kým jsem ho vlastně navázal, tak mi to stejně moc nepomůže... Aby to celé k něčemu bylo, potřebuju stejně certifikáty - a to už jsme u 802.1X...
No to s tím MITM je jasný, ale přece jenom MITM se na wifinu dělá trošku hůř, než když si na mobilu v kapse zapnu sniffer a projdu se okolo.

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #33 kdy: 03. 11. 2012, 23:46:35 »
No to s tím MITM je jasný, ale přece jenom MITM se na wifinu dělá trošku hůř, než když si na mobilu v kapse zapnu sniffer a projdu se okolo.
K tomu projiti se okolo bys ale musel znat to heslo :)

No nic na tom nevymyslíme, prostě to je, jak to je. Děkuju všem za reakce, rady a podněty.

Ales Hakl

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #34 kdy: 04. 11. 2012, 02:22:21 »
Každopádně se dost nabízí otázka, proč by WPA mělo používat tak idiotský protokol pro vytvoření sdíleného klíče. Považoval bych za úplně samozřejmé, že PSK se použije pouze pro navázání kontaktu (AP pošle nonce, klient ho pomocí PSK zahashuje a pošle zpátky, AP udělá to samé a porovnáním obou hashů zjistí, jestli klient zná PSK) a pro vlastní výměnu klíče se použije třeba Diffie Hellman nebo RSA nebo cokoliv jiného prověřeného...
Pokud se mám pustit do úplné spekulace, tipoval bych, že to bude proto, že jenom pomocí sdíleného klíče nic moc lepšího dosáhnout nejde - pokud bych sdílený klíč použil k navázání komunikace, nemám ochranu proti MITM. Čili potom si sice můžu navázat soukromý a bezpečný kanál pomocí DH, ale když si nejsem jist, s kým jsem ho vlastně navázal, tak mi to stejně moc nepomůže... Aby to celé k něčemu bylo, potřebuju stejně certifikáty - a to už jsme u 802.1X...

Na mě to působí, že WPA-PSK je prostě docela rozumný mezi bezpečností a jednoduchostí pro domácí sítě s tím, že všechno stojí a padá s kompromitací PSK...

Ono to s perfect-forward-secrecy udelat lze. Existuji vselijake variace na DH, ktere budto pouzivaji pro autentizaci protistran nejake sdilene tajemstvi, nebo autentizuji porovnanim vysledku DH samostatnym kanalem (jmenujme ZRTP). Pokud se pustime do oblasti "specifikace povoluje, implementace v jedne pohadce byla a i fungovala", tak se da pouzivat shared key s WPA-Enterprise a napr. EAP-EKE. Duvod proc to tak nefunguje u WPA-PSK bych hledal v HW narocnosti, typicke AP z doby vzniku WPA zrovna neoplyva vypocetnim vykonem, a public-key kryptografie na kterou tohle vede toho vykonu nepotrebuje uplne malo, oproti tomu kryptograficke operace co AP provadi pri PSK key exchange jsou tak vicemene identicke jako pri prebalovani EAP z wifi do radiusu pri WPA-Enterprise a v obou pripadech vcelku zanedbatelne.


Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #35 kdy: 04. 11. 2012, 08:41:50 »
Ono to s perfect-forward-secrecy udelat lze. Existuji vselijake variace na DH, ktere budto pouzivaji pro autentizaci protistran nejake sdilene tajemstvi, nebo autentizuji porovnanim vysledku DH samostatnym kanalem (jmenujme ZRTP).
No jo, jenže stejně bysme v dané situaci (AP komunikuje s klientem jenom vzduchem) stejně museli skončit u nějakého typu certifikátu, který by dokazoval autenticitu protistrany, ne?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #36 kdy: 04. 11. 2012, 11:38:54 »
BTW, pokud se ti nezda to, ze vsichni budou znat klic a treba ho nekde vykecaji a pak se nebude vedet, kdo to byl, jeste se to da udelat jinak. WiFi nechat uplne otevrene a dat tam VPN. Tady s Linuxem: http://wiki.robotz.com/index.php/Secure_Wireless_Using_Iptables_and_OpenVPN . Tady s BSD: http://archive09.linux.com/articles/49990 . BSD reseni ma navic autentikaci pres ssh. Asi by se to podobne dalo udelat i na Linuxu, ale nedari se mi vygooglovat, jestli to uz nekdo vymyslel, aby to clovek jenom oprasknul. Akorat jsem si vzpomnel, ze jsem kdysi cetl o takovem reseni s BSD. Ale tady by se nedala pouzit jen nejaka krabicka z kramu, chce to obetovat pocitac.

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #37 kdy: 04. 11. 2012, 11:45:13 »
BTW, pokud se ti nezda to, ze vsichni budou znat klic a treba ho nekde vykecaji a pak se nebude vedet, kdo to byl, jeste se to da udelat jinak. WiFi nechat uplne otevrene a dat tam VPN.
O VPN jsem hned v prvním příspěvku psal, že nepřichází v úvahu. Kromě toho vykecání hesla se dá ošetřit i webovou autentizací (to umí sám ten Mikrotik).

Nejde o síť, kde by bylo nějak zvlášť potřeba řešit odposlouchávání. Pokud se nešifrovaná wifi ukáže jako nejschůdnější varianta, zvolí se pravděpodobně tohle řešení (+ webová autentizace).

M

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #38 kdy: 05. 11. 2012, 09:25:20 »
Je třeba si uvědomit, zda se bavíme o WPA nebo WPA2. WPA vznikla jako nouzovka, když se provalily slabiny WEP. Očekávalo se, že se výrobci chytnou za nos a dodají do svých krabic uprade firmware s WPA podporou, kde se to celé bude hroutit v CPU, takže se volil kompromis, aby to ještě fungovlo a zlepšil se stav WEP. Takže WPA neodolá dnešním možnostem ani v režimu pasivním.
U WPA2 je to trošku lepší, ale pokud znám dané sdílené heslo pro ověření, tak jsem schopen dešifrovat i komunikaci jiných, protože není implementován PFS princip.
To je u WPA/WPA2-PSK verze. Fakticky WPA zlomíte jen pasivním odposlechem, u WPA2-PSK je třeba už určitého zasahování nebo znalost toho sdíleného hesla.
Dané heslo slouží jako podklad pro klíč sloužící k ověření a vyjednání hesla pro spojení. (zadané heslo se vezme spolu s SSID, provádí se několik hash permutací a tím vznikne sdílený klíč pro ověření a vyjednání klíče spojení plus předání klíče skupinového). Vlasntí komunikace se pak šifruje klíčem spojení a data multicast/broadcast dalším sdíleným skupinovým klíčem, který znají všichni připojení. Čas od času se vyvolá překlíčovaní (dle nastavení AP mezi 5 min až 24 hod obvykle).

Pokud je použita enterprise verze, tak WPA2 se dá považovat za OK, pokud je v 802.1x použito něco, co je samo odolné, což znamená EAP-TLS (a klient ověřuje správně certifikát Radius serveru) nebo pokud se trvá na jméně/hesle, tak PEAP (aka EAP-TTLS a v něm tunelované obvykle MS-CHAPv2) a klient opět korektně ověřuje správnost ceritfikátu pro TLS tunel.

Pokud si tazazel ujasnil, že PSK mu stačí (WPA2-PSK samozřejmě, s výslověně zakázaným WPA) ve verzi s tím, že dá každému jiné heslo, ať nemusí uživatel obtěžovat s konfigurací 802.1x, tak u Mikrotiku postupuje cca následovně:
V  /interface wireless security-profiles si udělá pro každého uživatele bezpečnostní profil plus jeden navíc sdílený, který nikomu nepoví. Ten sdílený profil nastavit přímo k wlan1 interface v /interface wireless set wlan1 security-profile=... A jednotlivé profily pro uživatele mlátím do connect listu, kdy je přistrkuji k mac adresám koncáků (můžu dát jeden profil k víc mac, pokud má notes, mobil, tablet) /interface wireless connect-list add mac-address=XXXXX security-profile=YYY.
Pokud je nad schopnosti koncáka sdělit jaké má MAC adresy na krabičkách má, tak postupuju tak, že vytvořený profil pro daného člověka prvně nastavím přímo na wlan1 interface, řejnu mu, ať se připojí všema krabičkama co má a jak tam je, tak si dám jeho MAC adresy zkopírovat z registration listu do connect listu a jen doklikám příslušný profil a následně na wlan1 dám zase ten vyhrazený profil.

Re:Bezpečnost WPA2-PSK s „veřejným“ heslem
« Odpověď #39 kdy: 05. 11. 2012, 11:15:04 »
Díky moc za postup. WPA2-PSK určitě stačí - oproti enterprise verzi bude jednodušší konfigurace na klientovi a menší pravděpodobnost, že by se našel klient, který by to nepodporoval.