Hlavní navigace

Vlákno názorů k článku Bezpečnost WLAN podle IEEE od Dan Lukes - Mimochodem, uz jiz tak zatim pomerne chatrnou bezpecnost...

Článek je starý, nové názory již nelze přidávat.

  • 23. 4. 2002 14:16

    Dan Lukes (neregistrovaný)
    Mimochodem, uz jiz tak zatim pomerne chatrnou bezpecnost bezdratove site se nekteri (neda se rict nic lepsiho nez totalne na hlavu padli) vyrobci pokousi primo torpedovat - rekneme napriklad tim, ze centralni jednotky mivaji moznost dalkoveho ovladani - obvykle chraneneho nejakou formou hesla - no a nekteri vyrobci maji ve svych zarizenich zabudovani hardwired pevne heslo, cimz se jednotka stava pomerne snadno vzdalene napadnutelna, prekonfigurovatelna - a z bezpecnostniho hlediska totalne "naha". Abych uvedl alespon jeden konkretni pripad, tak BreezeNET (ne, necekejte, ze o teto "feature" je nejaka zminka v dokumentaci). Jak je na tom vyse zmineny AS2000 nevim ...
  • 23. 4. 2002 17:14

    Tomáš Kapler (neregistrovaný)
    Všechny AP od Avaye/Agere/Lucentu (za které mohu hovořit já) mají samozřejmě možnost dálkové správy, ale heslo není pevně dané, můžete jej měnit a hlavně se dá nastavit SNMP zabezpečení, aby přijímal heslo pouze přes určité rozhraní pouze z určité IP adresy, tj. můžete nastavit, že spravovat (monitorovat) může pouze stroj s danou IP adresou (+MAC u radius serveru) sedící pouze za Ethernetem a s daným heslem (a ještě dvě úrovně - read a write).
  • 23. 4. 2002 19:35

    MK (neregistrovaný)
    Zrovna nedavno tu byl moc hezky clanek o systemovych nedostatcich SNMP (verze nizsi nez 3) :-)
  • 23. 4. 2002 20:45

    Dan Lukes (neregistrovaný)
    Netvrdim, ze to neni pravda, nicmene, neodpustim si male rypnuti - vychazite z firemni dokumentace a informaci vyrobce, nebo z nejakeho bezpecnejsiho zdroje informaci ?
  • 24. 4. 2002 7:41

    Jan Kral (neregistrovaný)
    U Lucent zarizeni je mozne tuto moznost, ktera potlacuje moznost SNMP spravy vyzkouset, ze funguje, samozrejme, ze neni mozne vyzkouset napr. pevne zadratovane heslo, ktere je navic.
    Moje rypnuti na vas zni, kde je tedy popsana eventualita, kterou jste zminoval u BreezeNetu, tj. pevne heslo a jak je to verohodny zdroj? Docela by me to zajimalo.
  • 24. 4. 2002 9:17

    Tomáš Kapler (neregistrovaný)
    Samozřejmě všichni víme, že SNMP je velmi nezabezpečený protokol se spoustou chyb a kdo by chtěl něco spravovat přes SNMP, tak by měl vědět, že třeba jeho hesla a userid putuje volně po drátech a každý to může odchytnout, stejně jako třeba u FTP.
    Právě proto je tam ta možnost zabezpečení, kdy si nastavíte odkuď pouze je možný management. Tj. i kdyby někdo věděl vaše hesla, tak by mu to bylo naprd, protože by musel sedět třeba na vašem drátu s vaší IP adresou.
    A navíc je možné posílat i SNMP trapy, tj. kdyby to někdo jen zkoušel a vy jste měli udělaný dobrý management, tak by vám chodily třeba na mobil SMS typu "Neplatný pokus o přihlášení, uživatel 'Karel', IP 123.156.189.254, neplatné heslo".
  • 24. 4. 2002 9:17

    Tomáš Kapler (neregistrovaný)
    Pracuji přes 3 roky u autorizovaného distributora a jsem certifikovaná technická podpora pro tyto systémy. Vycházím tedy jak z informací od výrobce (včetně té nutné podrobné k certifikaci), tak z feedbacku našich klientů.
  • 24. 4. 2002 9:24

    Tomáš Kapler (neregistrovaný)
    malá pozn.: Lucent už bezdráty nedělá, ä distribuci bezdrátů předal do své "odnože" firmy Avaya
    Co se týče BreezeNetu, jakožto konkurenční firmy se nebudu vyjadřovat jako zástupce Anixteru, ale jako osoba: pokuď vím, opravdu byly v BreezeNETech pevná hesla (co vím, tak se k nim dalo dostat pročtením flashky nebo firmware), a šlo pomocí jich nadálku zařízení "odpálit" tak, že se musely posílat nazpátek do Izraele. Pokuď ale vím, tak novější typy, které byly vydány loni již tuto díru nemají.
  • 24. 4. 2002 12:55

    PaJaSoft (neregistrovaný)
    Cloviku, Vy toho o bezpecnosti na urovni sitoveho protokolu moc nevite, ze? Neberte to jako vysmech, ale spolehat se na to, ze kdyz mam omezeny pristup z nekolika 'svych' IP adres, ze nikdo jiny se neni schopen prihlasit v pripade, ze odchyti heslo... - doslova jste napsal: i kdyby někdo věděl vaše hesla, tak by mu to bylo naprd. Pokud tomuto verite a chcete dal managovat svoje zarizeni, velmi Vam doporucuji zabyvat se jakymi metodami a jakym zpusobem se provadi napadani (cracking)... - serioznich informaci a literatury je hodne a toto Vase tvrzeni mne utvrzuje v tom, ze jste do ni zrejme nikdy nezabrousil...
  • 24. 4. 2002 13:15

    Tomáš Kapler (neregistrovaný)
    človíčku vy jste zřejmě nečetl můj příspěvek. Jde o to, že můžete nastavit i z JAKÉHO ROZHRANÍ se ten dotyčný připojí. Tj. i když bude mít jméno a heslo, ale nebude mít fyzický přístup k ethernetovému rozhraní (když nastavíte přístup pouze přes něj), nebo k sériovému portu, tak je mu to naprd.
    samozřejmě vím že se dají falšovat IP adresy, MAC adresy atd. ale fyzické rozhraní prostě virtuálně nezměníte.
    P.S.: nebudu vysvětlovat které knihy o bezpečnosti a školení jsem měl, to je mimo rámec této diskuse.
  • 24. 4. 2002 13:45

    PaJaSoft (neregistrovaný)
    Mam za to, ze jsme se bavili o vzdalene sprave... A zde Vami zminovane seriove rozhranni tezko vyuzijete (navic, jak byste chtel chytat heslo po seriovem kabelu, kdyz na celou drahu vidite?), napada mne pouze dvoji moznost, resp. 3 - ethernet (ala SNMP apod.), GSM brana, specialni pozadavek dorucovany pres vzduch... - mozna jsou dalsi, necham se rad poucit. Kazdopadne vzdalena sprava je o tom, ze na zarizeni nevidim, nemohu s nim mit fyzicky kontakt a pro ovladani musim vyuzit nejake nepratelske uzemi - vsechny mnou (3) jmenovane metody ovladani jsou natolik 'bezpecne', ze utocnik znajici autentizacni informaci ma plny pristup odpovidajici urovni teto informace.

    Samozrejme pokud zakazete pristup k nekterym funkcnim z urcitych rozhranni je Vam znalost teto autentizacni informace naprosto k nicemu (ovsem i tyto OS maji sve mouchy a chyby :->). Na druhou stranu si troufam prohlasit, ze moznostmi ohledne tohoto managementu vzpominana zarizeni (BreezNET, WaveLAN apod.) prilis neoplyvaji, stejne jako jine managovatelnelne sitove prvky bezne dodavane na komercni trh. A tudiz si stojim za tim, ze zisk autentizacni informace vede v temer 100% pripadu k plnemu ovladnuti zarizeni.

    Mimochodem jak byste chtel vybudovat dohledove centrum, kdyz byste nemel moznost vzdalene spravy? To ke kazdemu zarizeni (stozaru apod.) postavite cloveka?

  • 24. 4. 2002 14:02

    MK (neregistrovaný)
    Verte, ze existuji trivialni techniky, ktere i ten drobny zadrhel resi na urovni TCP/IP :-)
  • 24. 4. 2002 14:19

    Tomáš Kapler (neregistrovaný)
    Nevím jestli znáte topologie bezdrátových sítí, zkusím vysvětlit tu nejčastější
    ISP má jeden až několik AP, kterými napájí vzdálená (vyvýšená a vhodně rozmístěná) místa - přístupové body, kde jsou další AP. U Avaya Wireless/Orinoco se na to používá Outdoor Router produktů - nabízí speciální protokoly pro venkovní sítě (tj. menší ztrátovost a vyšší kvalita a rychlost linky), větší bezpečnost a komunikují v něm pouze dané přístupové body (zjednodušeně)
    Ty jsou propojeny Ethernetem na další AP (případně se využívá druhého bezdrátového slotu u outdoor router), které slouží pro připojení klientů.
    Tj. jestliže nastavíte, že ty klientské AP jdou spravovat pouze přes Ethernet, znamená to, že je můžete spravovat vzdáleně přes ty Outdoor Router linky. A nikdo bez fyzického přístupu k AP nebo k vám se prostě na ten management nedostane.
    Mimochodem - celé je to značně offtopic, bezpečnost managementu je stejně ve vztahu ke klientům nedůležitá. Jestli chce někdo bezpečný přenos dat, stejně se nemůže spoléhat na šifrování na fyzické a síťové vrstvě, stějně se to na prvním průchozím bodu zase odšifruje. Proto tu jsou VPN a šifrování na prezentační. Jediné proč je důležité zabezpečit síť je proto, aby se vám nepřipojoval nikdo bez placení (a k tomu stejně nejsou sítě IEEE 802.11 určeny, ty jsou navrhnuté pro vnitřní pokrytí)
  • 24. 4. 2002 14:31

    PaJaSoft (neregistrovaný)
    Dve poznamky:

    1. mam-li potrebnou autentizacni informaci (v tu chvili zrejme mam i informaci odkud je spoj propustny), co mi brani si vystavit vlastni AP (treba i za cenu ruseni s puvodnim, technicky to proveditelne prece je) a tvarit se, ze jsem z Outdoor routeru...? BTW okolo prave Wavelanu bylo dost 'proflaknutych' veci...:-) (BreezNET na tom neni o nic lepe, ale zase v jinych smerech)

    2. VPN neni sifrovani na prezentacni vrstve. Pokud jste misto 'a' myslel 'nebo', mate pravdu, jinak ne...

  • 24. 4. 2002 14:49

    Dan Lukes (neregistrovaný)
    Ve firmware toho BreezeNETu - a to je take misto, kde ho muzete zmenit nebo odstranit (nezapomenout, ovsem, ze cely firmware ma kontrolni soucet). Je primo kod, ktery to heslo kontroluje dostatecne duveryhodny zdroj informace ?

    A mimochodem, co se tyce duveryhodnosti zdroje - na potvrzeni zpravy rikajici, ze zarizeni XY ma pevne zabudovane heslo AB duveryhodny zdroj nepotrebujete - uvedene heslo proste vyzkousite - a pokud funguje, pak uz duveryhodnost informace zkoumat nemusite (a pokud nefunguje tak take ne). U tvrzeni, ze takove heslo neexistuje to ale takhle nejde - tam uz otazka po duveryhodnosti informace svuj smysl ma.

    Predem bych ale rad uvedl, ze neodpovim nikomu na otazku jake konkretni heslo to je. Nedokazu zabranit tomu, aby si ho nekdo nalezl na internetu, nedokazu zabranit tomu, aby si ho kazdy z toho firmware precetl sam (je tam videt i prostym okem, pokud je alespon trochu navykle koukat do "rozsypaneho caje"), ale nemusim tu informaci sirit i tem, kteri ji sami schopni ziskat nejsou a tim pocet moznych utocniku zbytecne rozsirovat, navic o velmi rizikovou skupinu laiku (casto teenageru, kteri zatim jeste nemaji plne vyvinute svedomi a docela obycejne moralni zabrany).

  • 24. 4. 2002 14:59

    Tomáš Kapler (neregistrovaný)
    ad 1. Outdoor Router používají jiné protokoly a jiné zabezpečení a tak tam jen tak nějaké AP nevložíte. SNMP heslo a heslo pro komunikaci outdoor router není stejné, takže znalost SNMP hesla vám nepomůže a outdoor router heslo nikde neputuje, používá to CHAP. (ad profláknuté věci - neznám žádný případ průniku krom případů kdy někdo používá default hesla, "otevřený systém", atd., nevím o ničem "profláknutém", každý rok dělám několik technických školení pro odběratele a říkám jim všechny varianty a možnosti.)
    ad 2. omlouvám se, jestli jsem se vyjádřil nesrozumitelně, bylo to samozřejmě myšleno tak, že jsou zde možnosti VPN "a" šifrování na prezentační, tj. dvě rozdílné možnosti.

    Mimochodem pro nezasvěcené - to co popisujete v bodu jedna je právě ve článku zmiňovaný útok session hijacking, případně když to ještě vylepšíte a maskujete se na obě strany a děláte jen průchozí bod, tak je to ten zmiňovaný man-in-the-middle.
  • 24. 4. 2002 15:22

    PaJaSoft (neregistrovaný)
    Myslim si, ze ve vyse zminenych vecech se shodneme. Ovsem nakolik bezpecna jsou tato reseni si netroufam soudit, protoze neznam podrobnosti (spise znam uspesna prorazeni zminenych 'vlastnosti') a je jen dobre, ze i bezpecnost po teto strance se vyrazne zlepsuje - to ze to na zacatku (mysleno budovani bezdratu u nas) vice nez spartanske se doufam shodneme...
  • 24. 4. 2002 15:46

    Tomáš Kapler (neregistrovaný)
    souhlas. U WaveLAN/Orinoco produktů jsou všechny tyto možnosti už pěkných pár let, v minulém roce pouze přibyla autentifikace pomocí radius serveru, 802.1x zabezpečení a záplata na objevenou chybu ve WEP a programy typu AirSnort.
    Hlavně ale servisní konečně začínají (čest výjimkám, které to již dělali předloni) těchto vlastností využívat a nenechávají defaultní hesla a nastavují i SNMP zabezpečení a trapy.
  • 24. 4. 2002 18:42

    Kral Jan (neregistrovaný)
    Jen na upresneni, trapy to sice posila, v nich je vsak jen upozorneni na neplatne heslo, zadna IP, zadne jmeno.
    Hovorim o zarizenich Lucent OR1000 a AP1100 a 500. Jeste k te IP - vubec nemusim sedet na dratu, staci interface, jestli bude vase IP za bezdratovym, tak ji lze jednoduse nastavit u klienta primo pripojeneho a zarizeni bude odpovidat i pres nastavenou ochranu SNMP Access listu
  • 24. 4. 2002 19:00

    Tomáš Kapler (neregistrovaný)
    Tu SMS jsem viděl na vlastní oči, takže to zřejmě nějak lze, možná to dělali přes nějaký dotaz na zdrojovou adresu nebo tak něco.
    Tu další část nechápu, SNMP access list slouží pouze k SNMP managementu, tj. nehlídá přístup k médiu a volit lze ze 3 rozhraní (+ všechny či žádné) a adresu či rozsah.
    ale abychom tady z toho nedělali support fórum pro Orinoco bezdráty, prosím v případě dotazů mě kontaktujte mailem či 02/72111105
  • 23. 10. 2002 8:05

    froid (neregistrovaný)
    bohuzel musim potvrdit. staci ve znamem vyhledavaci zadat tri slovicka a hned se objevi odkaz na seznam tzv. Manufacturers default Passwords a nejde o nijak kratky seznam ! bud si kupte model , o kterem se jeste nevi co ma za heslo :) anebo zamente firmware.