On 21/10/2014 17:33, Piero Cavina wrote: > Su una rete wifi aziendale protetta con 802.1x con PEAP, riscontro > degli sporadici tentativi falliti di autenticazione causa nome utente > sconosciuto tipo "123455" o altre stringhe più o meno casuali. > La copertura si estende fino all'esterno, quindi potrebbe trattarsi > sia di dipendenti come di uno che passa per la strada. > Ora potrebbe trattarsi di qualcuno che prova ad entrare in questa > rete, senza sapere neppure cosa sia l'autenticazione enterprise; ma > una cosa strana è che "123455" si è ripetuto varie volte in una > giornata, mi aspetterei che uno lasci subito perdere. > Può darsi che esistano dei dispositivi che provano automaticamente ad > autenticarsi alla cieca per qualche motivo che mi sfugge? > E' possibile tentare di autenticarsi con utente/password senza > disporre del nostro certificato? >
Dal mio punto di vista PEAP non e' il massimo della sicurezza per i seguenti motivi: 1) Non usa una vera strong authentication ma si appoggia a qualcosa di esterno, nella maggior parte dei casi un Active directory: questo permette a qualsiasi dispositivo, anche non aziendale, di tentare di cottennersi alla rete aziendale. 2) Durante l'handshake il client invia in "chiaro" un pacchetto EAPOL Indentity Response in cui e' possibile leggere la username (basta wireshark); questo permette di raccogliere un buon numero di utenze in un arco di tempo non troppo lungo; dipende da quanto e' usata la rete wireless. A questo punto, invece di provare username e password a caso ci si puo' concentrare sul brute force delle utenze rastrellate. E qui sorge un ulteriore problema: la possibilita' di dare disservizio lockando le utenze, dipende dalle policy che si e' scelto di implementare. Per tornare al tuo problema: e' probabile che i log che vedi siano generati da un tuo utente che abbia un dispositivo (smartphone?) configurato male e che nel corso della giornata tenti in automatico di autenticarsi; a meno di coincidenze astrali vedo complicato che un passante abbia il vostro stesso SSID e wpa2 PEAP. Per completezza, leggo da qualche parte che e' possibile usare PEAP in associazione a EAP-TLS quindi unendo l'autenticazione dei certificati a quella sull'Active Directory. Onestamente non ne ho mai incontrato configurazioni del genere anche se MS ne parla: http://support.microsoft.com/kb/814394 Ivan ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
