Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Про систему контроля доступа Wi-Fi, вопрос администраторам
 
Здравствуйте, не могли бы вы подсказать будет ли работать отслеживание местоположения пользователей сетей WLAN в случае если злоумышленник пассивно сканирует эфир? И даже спокойно это делает на охраняемом периметре?

И еще хотелось бы узнать что произойдет в случае если сотрудник вынесет ноутбук из помещения где настроена WLAN с радиус сервером.  Например сможет ли он подключиться к неавторизированной ТД если она имеет такой же SSID и ключ как и легальная. И при каких условиях? Можно ли как то извлечь сертификат с рабочего места?

Можно ли слив прошивку с авторизированной точки доступа воспользоваться в ее в корыстных целях? К примеру если старого админа уволили и у него был доступ к оборудованию?
Изменено: Trinity - 03.03.2010 12:50:27
 
Очень распространённая ситуация - приближаясь к цели и не понимая масштабы территории отслеживания WIDS, злоумышленник позабыл отключить WZC из-за чего попадёт в учёты раньше времени, прежде чем запускать пассивные инструменты анализа (Kismet есть и под Windows, держит адаптер Airpcap).

Другой вопрос, если он действительно профессиональный, владеет представлениями о том, что необходимым будет являться снизить выходную мощность беспроводного адаптера (некоторые карты это сделать позволяют), знает периметр, а так же сразу же включает адаптер в monitor mode. Выявить его в таких условиях на практике - практически невозможно, так как находясь в таком режиме беспроводной адаптер ничего в эфир не вещает.

Может. Например, если не происходит проверка подлинности сертификата ("When connecting: Validate server certificate)" в настройках Protected EAP Properties. Злоумышленник разворачивает такую же беспроводную инфраструктуру, FreeRADIUS, хранилище, выписывает соответствующий серт, после чего после устанавливает связь с жертвой принудительной диссоциацией или в других обстоятельствах.  

Можно, если речь о Radius Shared-Key, то его хэш дампит локально Cain, про сертификат - не понял.

Насколько я помню, описание подобных видов атак на беспроводные сети есть в книге С.Гордейчика и ЗАРАЗы :)
Изменено: Андрей Комаров - 03.03.2010 15:57:29
 
"сможет ли он подключиться к неавторизированной ТД если она имеет такой же SSID и ключ как и легальная": системы защиты обычно обрабатывают это как пример для тревоги и вы явно это заметите...
насчёт сертификатов, если правильно я понимаю, всегда есть возможность импорта и экспорта сертификата на тот случай когда система сноситься...
и как заметил Андрей Комаров: "Можно, если речь о Radius Shared-Key, то его хэш дампит локально Cain", побалуйтесь Cain`ом, он ещё и не то может :)
 
Ребят, а где хранится этот файл сертификата? в какой папочке? доступен ли он программно, а если писать прикладную утилитку и запускать ее с правами администратора на локальной машине. А поясните что значит локально дампит, т.е нада запускать данную утилиту Cain непосредственно с машины включенной в эту беспроводную сеть и имеющей сертификат и он извлекет его? так?

Андрей, спасибочки вы меня не раз выручаете  :{}

[mad]Mega, а если сигнал неавторизованой ТД не виден средствам контроля сети, используется например узкая диаграмма направленности ?
 
Почитала, там с линуксами муть, а под винду есть что-нибудь понятное.
 
Ау, куда все подевались  :)  

Ребят вопрос!! Например, есть сеть которая защищена протоколом WPA-2 + EAP-TLS Free Radius на базе Windows Server 2008 R

По сети передается информация, злоумышленник имеет ключ к сети и сертификат извлеченный на одном из компьютеров разгильдяя пользователя. Сможет ли он расшифровать то что передается по сети?
 
Я хотел понаблюдать развитие топика :)

Цитата
Ребят, а где хранится этот файл сертификата? в какой папочке? доступен ли он программно, а если писать прикладную утилитку и запускать ее с правами администратора на локальной машине. А поясните что значит локально дампит, т.е нада запускать данную утилиту Cain непосредственно с машины включенной в эту беспроводную сеть и имеющей сертификат и он извлекет его? так?

Файл сертификата - это файл расширения .crt, который подписывается корневым (серверным, тот, что в хранилище). Как правило, на Windows - привычнее видеть сертификат в формате PKCS#12. Cдампить его можно программно, документированными методами в случае, если он помечен как экспортируемый :) Не только беспроводную.

Код
а если сигнал неавторизованой ТД не виден средствам контроля сети, используется например узкая диаграмма направленности ?


Реассоциации клиентов отслеживаются многими WIDS.

Цитата
Например, есть сеть которая защищена протоколом WPA-2 + EAP-TLS Free Radius на базе Windows Server 2008 R. По сети передается информация, злоумышленник имеет ключ к сети и сертификат извлеченный на одном из компьютеров разгильдяя пользователя. Сможет ли он расшифровать то что передается по сети?

Да.

Советую ознакомиться с:
http://www.ixbt.com/comm/prac-wpa-eap_3.shtml
http://www.ixbt.com/comm/prac-wpa-eap_4.shtml
 
Цитата
Андрей Комаров пишет:
Я хотел понаблюдать развитие топика  
Злодей  :{}  :oops: я наверно тут веселю всех своей глупостью  :)
Спасибо за помощь, пошла читать  :o
 
Цитата
Андрей Комаров пишет:
Реассоциации клиентов отслеживаются многими WIDS.
А ассоциация? например пришла я с обеда включаю свой ноутбук, а он присоединяется к неавторизованной точке доступа, сигнал которой невиден WIDS в виду своей узкой направленности например под определенным углом к клиенту который находится на краю охраняемого периметра.
Изменено: Trinity - 05.03.2010 01:19:01
 
Кроме WIDS, существуют ещё и персональные средства защиты, вроде Hotspot Shield / HotSpot (Defense) Kit (забыл про второе, как точно называется, делала группа Shmooo в рамках одного из докладов), которые это контролируют (могут контроллировать).
Изменено: Андрей Комаров - 05.03.2010 10:38:11 (Опечатка)
 
А разве в корпоративных сетях ставят подобный софт? :o

Кстате эта штуковина работает так? клиент(РС пользователя) + VPN агент -> интернет -> VNP Server -> инкапсуляция -> запрос интернет(сайт) ->  запрос обработан -> VPN сервер -> VPN агент клиента -> браузер (РС пользователя)
Изменено: Trinity - 05.03.2010 13:15:34
 
Случается - например приведу пример ещё, Motorola AirDefense Personal Lite (есть триалка), можно изучить.

То, что вы написали - это использование VPN-туннеля, если о сравнимости - наверное похоже.
Изменено: Андрей Комаров - 05.03.2010 14:32:58
 
Андрей, а как если вкратце описать механизм,  как она защищает трафик если используется ноутбук из корпоративной сети в личных целях, при работе через Hot-Spot.
Изменено: Trinity - 05.03.2010 14:50:25
 
человеки, будет время зайдите, пожалуйста, еще сюда http://www.securitylab.ru/forum/forum29/topic49761/
 
тут интереснее =)
 
5 причин отрубания вай-фай:
1. идиот (как тот который настраивал его человек, так и тот который нечайно нагой задевает точку доступа, или тот которые выключает его потому что ему не нравиться что у него возле компа лампочка мигает)
2. чайник (как тот который настраивал его человек, так и электрочайник который жрёт 2кВт и опускает напряжение до минимума,а ваше точка доступа питается от старого БП, или пролитый на вайфай некогда кемто чай который недавно высох)
3. оплошность (как того человека который настраивал его, так и того кто делает уборку вытерает его мокрой тряпочкой)
4. оплата (как тому кто должен был настраивать его, так и конторы которая не хочет платить за качественное оборудование)
5. растояние (как от рук до попы настраивавшего человека, так и от точки до устройства)
З.Ы. всё это в шутку, но в целом ваши слова выглядят приблизительно так: "у меня не работает компьютер, что делать". Опишите проблему более подробно и что вы уже проверили и каковы результаты.
 
Действительно мы не имеем представления не о модели беспроводного роутера ни о его настройках, и о том какая система стоит на рабочих станциях проверены ли они на вирусы и т.д. Тут телепатов вроде нет, хотя очень очень умные мальчики сидят. Обожаю такую компанию.
Страницы: 1
Читают тему