Re: WiFi авторизация в домене windows
On 2012.06.29 at 00:21:02 +0400, Stanislav Maslovski wrote: On Thu, Jun 28, 2012 at 01:26:34PM +0400, Victor Wagner wrote: В данном случае проверка сертификата это как прививка от оспы. Если 99% населения привиты, непривитый получает бонусы - потому что эпидемии все равно не случится (раз 99% привиты), а вредных последствий прививки он не несёт. В принципе, оное не защищает от атаки, направленной конкретно на этого юзера. Мои представления о характере распространения радиоволн не позволяют представить себе такую атаку на конкретного юзера, которая не затронула бы его соседей по офису. Разве что атакующему точно известно место этого юзера в офисе, и это место обладает определенными свойствами, характерными для 1-2% мест. Сответственно, владелец единственного линуксового ноутбука среди 500 виндовых, на которые сертификат УЦ поставлен доменной политикой, имеет возможность расслабиться, и не добывать этот сертификат из админов с применением терморектального криптоанализа. Как у них все сложно =) С неквалифицированными админами всегда сложно. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120629142034.ga15...@wagner.pp.ru
Re: WiFi авторизация в домене windows
On Fri, Jun 29, 2012 at 06:20:34PM +0400, Victor Wagner wrote: В принципе, оное не защищает от атаки, направленной конкретно на этого юзера. Мои представления о характере распространения радиоволн не позволяют представить себе такую атаку на конкретного юзера, которая не затронула бы его соседей по офису. Разве что атакующему точно известно место этого юзера в офисе, и это место обладает определенными свойствами, характерными для 1-2% мест. Например, время. Мы видим имярека входящим в офис и через 3 минуты врубаем передатчик на 5 минут. Много ли народу будут в это время (допустим, ближе к вечеру) подключаться к сети? А если еще можно выбрать окно... -- Иван Лох -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120629150032.gf9...@nano.ioffe.rssi.ru
Re: WiFi авторизация в домене windows
On Fri, Jun 29, 2012 at 06:20:34PM +0400, Victor Wagner wrote: On 2012.06.29 at 00:21:02 +0400, Stanislav Maslovski wrote: On Thu, Jun 28, 2012 at 01:26:34PM +0400, Victor Wagner wrote: В данном случае проверка сертификата это как прививка от оспы. Если 99% населения привиты, непривитый получает бонусы - потому что эпидемии все равно не случится (раз 99% привиты), а вредных последствий прививки он не несёт. В принципе, оное не защищает от атаки, направленной конкретно на этого юзера. Мои представления о характере распространения радиоволн не позволяют представить себе такую атаку на конкретного юзера, которая не затронула бы его соседей по офису. Разве что атакующему точно известно место этого юзера в офисе, и это место обладает определенными свойствами, характерными для 1-2% мест. Витус. Где ты там увидел знак равенства между направленная атака и направленная антенна? Дальше пояснять, или сам додумаешь? -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120629204051.GA32645@kaiba.homelan
Re: WiFi авторизация в домене windows
On 2012.06.28 at 05:07:14 +0400, Stanislav Maslovski wrote: При условии что у 499 работников из 500 сертификат местного УЦ Ага. И мы приходим к началу разговора, а именно, к тому, что для обеспечения разумного уровня безопасности сертификаты все-таки _надо_ проверять. В данном случае проверка сертификата это как прививка от оспы. Если 99% населения привиты, непривитый получает бонусы - потому что эпидемии все равно не случится (раз 99% привиты), а вредных последствий прививки он не несёт. Сответственно, владелец единственного линуксового ноутбука среди 500 виндовых, на которые сертификат УЦ поставлен доменной политикой, имеет возможность расслабиться, и не добывать этот сертификат из админов с применением терморектального криптоанализа. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120628092633.ga14...@wagner.pp.ru
Re: WiFi авторизация в домене windows
On Thu, Jun 28, 2012 at 01:26:34PM +0400, Victor Wagner wrote: On 2012.06.28 at 05:07:14 +0400, Stanislav Maslovski wrote: При условии что у 499 работников из 500 сертификат местного УЦ Ага. И мы приходим к началу разговора, а именно, к тому, что для обеспечения разумного уровня безопасности сертификаты все-таки _надо_ проверять. В данном случае проверка сертификата это как прививка от оспы. Если 99% населения привиты, непривитый получает бонусы - потому что эпидемии все равно не случится (раз 99% привиты), а вредных последствий прививки он не несёт. В принципе, оное не защищает от атаки, направленной конкретно на этого юзера. Сответственно, владелец единственного линуксового ноутбука среди 500 виндовых, на которые сертификат УЦ поставлен доменной политикой, имеет возможность расслабиться, и не добывать этот сертификат из админов с применением терморектального криптоанализа. Как у них все сложно =) -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120628202102.GA30570@kaiba.homelan
Re: WiFi авторизация в домене windows
Судя по твоему описанию, у них там вот это (man wpa_supplicant): WPA2/EAP-PEAP/MSCHAPv2 спасибо! сертификаты посбили с толку, попробовал - все работает без них -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 10:00:53AM +0400, Dmitry E. Oboukhov wrote: Судя по твоему описанию, у них там вот это (man wpa_supplicant): WPA2/EAP-PEAP/MSCHAPv2 спасибо! сертификаты посбили с толку, попробовал - все работает без них Как я понимаю, _только_ если сертификат сервера подписан известным root CA. В PEAP для обмена credentials используется TLS, поэтому совсем без сертификатов там никак. Если же мое предположение относительно ca_cert неверно (поэкспериментировать нет возможности), и wpa_supplicant принимает любой серверный сертификат без валидации, когда опция ca_cert явно не прописана в конфиге, то это большая дыра в секьюрити. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627071615.GA4@kaiba.homelan
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 01:09:58AM +0400, Stanislav Maslovski wrote: Поскольку скачивать автоматически ca_cert означает подарить свои credentials Васе Пупкину, то я сомневаюсь, что винда-таки его скачивает (скорее, организация заплатила денежку за root CA). Сертификат может принудительно устанавливаться доменной политикой. -- WBR, Dmitry signature.asc Description: Digital signature
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 11:49:57AM +0300, Dmitry Nezhevenko wrote: On Wed, Jun 27, 2012 at 01:09:58AM +0400, Stanislav Maslovski wrote: Поскольку скачивать автоматически ca_cert означает подарить свои credentials Васе Пупкину, то я сомневаюсь, что винда-таки его скачивает (скорее, организация заплатила денежку за root CA). Сертификат может принудительно устанавливаться доменной политикой. Ну это совсем не то же самое, что получение сертификата автоматически ещё _до_ аутентификации в беспроводной сети организации, как предположил OP. Чтобы воспользоваться доменной политикой, сеть должна уже функционировать. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627091941.GA5818@kaiba.homelan
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 01:19:41PM +0400, Stanislav Maslovski wrote: Чтобы воспользоваться доменной политикой, сеть должна уже функционировать. Не должна а должна была когда-то (в том числе пол года назад). -- WBR, Dmitry signature.asc Description: Digital signature
Re: WiFi авторизация в домене windows
On 2012.06.26 at 19:36:17 +0400, Dmitry E. Oboukhov wrote:
есть сеть wifi в которой пользователям винды не выдают ключей, а
только их доменные логины/пароли. типа вайфай тоже в нем же
авторизуется.
Есть несколько вариантов, как такая сеть может быть организована.
Из них поддерживаются wpa-supplicant-ом минимум два.
Например может быть key management IEEE8021X
Когда оно у нас в конторе использовалось, у меня была вот такая секция
в wpa_supplicant.conf
network={
ssid=XX
key_mgmt=IEEE8021X
identity=vitus
password=**
phase2=auth=MSCHAPV2
}
Потом авторизацию в Wifi проапгрейдили до WPA-EAP и стало вот так:
network={
ssid=XX
scan_ssid=1
key_mgmt=WPA-EAP
eap=PEAP
identity=vitus
password=**
}
Там в принципе полагается еще сертификат удостоверяющего центра, которым
подписан сертификат, предъявляемый точкой доступа при коннекте, чтобы быть
уверенным что ты вводишь свой пароль куда надо, а не левому хакеру. Но если
есть уверенность что чужие здесь не ходят, то и без проверки аутентичности
точки доступа все работает.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120627100838.ga18...@wagner.pp.ru
Re: WiFi авторизация в домене windows
On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote: Как я понимаю, _только_ если сертификат сервера подписан известным root CA. В PEAP для обмена credentials используется TLS, поэтому совсем без сертификатов там никак. Ну почему никак? Можно совсем не проверять аутентичность сервера. Если же мое предположение относительно ca_cert неверно (поэкспериментировать нет возможности), и wpa_supplicant принимает любой серверный сертификат без валидации, когда опция ca_cert явно не прописана в конфиге, то это большая дыра в секьюрити. Это зависит от топографии того места, где расположен данный wifi и возможности наличия злонамеренных инсайдлеров с hostapd. В более-менее нормальной конторе среднего размера, расположенной в отдельно стоящем здании посреди обнесенной забором территории с проходной, можно и без валидации сертификатов. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627101131.gb18...@wagner.pp.ru
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote: On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote: Как я понимаю, _только_ если сертификат сервера подписан известным root CA. В PEAP для обмена credentials используется TLS, поэтому совсем без сертификатов там никак. Ну почему никак? Можно совсем не проверять аутентичность сервера. Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в безопасности), но без серверного сертификата (т.е., без public key сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без сертификатов никак нельзя, что и имелось в виду. Если же мое предположение относительно ca_cert неверно (поэкспериментировать нет возможности), и wpa_supplicant принимает любой серверный сертификат без валидации, когда опция ca_cert явно не прописана в конфиге, то это большая дыра в секьюрити. Это зависит от топографии того места, где расположен данный wifi и возможности наличия злонамеренных инсайдлеров с hostapd. В более-менее нормальной конторе среднего размера, расположенной в отдельно стоящем здании посреди обнесенной забором территории с проходной, можно и без валидации сертификатов. Ну это не серьёзно. Направленные антенны ещё никто не отменял. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627104710.GA6862@kaiba.homelan
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 12:35:06PM +0300, Dmitry Nezhevenko wrote: On Wed, Jun 27, 2012 at 01:19:41PM +0400, Stanislav Maslovski wrote: Чтобы воспользоваться доменной политикой, сеть должна уже функционировать. Не должна а должна была когда-то (в том числе пол года назад). Что опять же не подпадает под случай топикстартера, и не соответствует предположению, которое он высказал, и которое мы тут обсуждаем. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627104920.GB6862@kaiba.homelan
Re: WiFi авторизация в домене windows
Stanislav Maslovski - debian-russian@lists.debian.org @ Wed, 27 Jun 2012 14:47:10 +0400: SM Ну это не серьёзно. Направленные антенны ещё никто не отменял. Стоимость секретов типичной Организации По Имитации Бурной Деятельности не окупает направленную антенну... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87sjdhault@wizzle.ran.pp.ru
Re: WiFi авторизация в домене windows
On 2012.06.27 at 14:47:10 +0400, Stanislav Maslovski wrote: On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote: On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote: Как я понимаю, _только_ если сертификат сервера подписан известным root CA. В PEAP для обмена credentials используется TLS, поэтому совсем без сертификатов там никак. Ну почему никак? Можно совсем не проверять аутентичность сервера. Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в безопасности), но без серверного сертификата (т.е., без public key сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без сертификатов никак нельзя, что и имелось в виду. С точки зрения пользователя - можно. Он того сертификата (предъявляемого сервером) не увидит никогда. А является ли блок данных переданный сервером в процессе хэндшейка сертификатом или блоком случайных чисел пользователю в общем-то пофиг. Вот со стороны админа, настраивающего такой доступ - не удастся. Если же мое предположение относительно ca_cert неверно (поэкспериментировать нет возможности), и wpa_supplicant принимает любой серверный сертификат без валидации, когда опция ca_cert явно не прописана в конфиге, то это большая дыра в секьюрити. Это зависит от топографии того места, где расположен данный wifi и возможности наличия злонамеренных инсайдлеров с hostapd. В более-менее нормальной конторе среднего размера, расположенной в отдельно стоящем здании посреди обнесенной забором территории с проходной, можно и без валидации сертификатов. Ну это не серьёзно. Направленные антенны ещё никто не отменял. Направленная антенна, вне здания притворяющаяся точкой доступа и обеспечивающая уровень сигнала выше чем у нормальной точки доступа? При условии что у 499 работников из 500 сертификат местного УЦ установлен и получив сообщение certificate verification failure они побегут к админу с ворпосом что за нафиг?? -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627104710.GA6862@kaiba.homelan -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627123201.ga21...@wagner.pp.ru
Re: WiFi авторизация в домене windows
On Wed, Jun 27, 2012 at 04:32:01PM +0400, Victor Wagner wrote: On 2012.06.27 at 14:47:10 +0400, Stanislav Maslovski wrote: Ну это не серьёзно. Направленные антенны ещё никто не отменял. Направленная антенна, вне здания притворяющаяся точкой доступа и обеспечивающая уровень сигнала выше чем у нормальной точки доступа? Технически в принципе осуществимы и более крутые вещи. А эта-то как раз из разряда осуществимых грамотным студентом профильной специальности. При условии что у 499 работников из 500 сертификат местного УЦ Ага. И мы приходим к началу разговора, а именно, к тому, что для обеспечения разумного уровня безопасности сертификаты все-таки _надо_ проверять. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120628010714.GA14317@kaiba.homelan
Re: WiFi авторизация в домене windows
26 июня 2012 г., 19:36 пользователь Dmitry E. Oboukhov un...@debian.org написал: есть сеть wifi в которой пользователям винды не выдают ключей, а только их доменные логины/пароли. типа вайфай тоже в нем же авторизуется. Так может просто wi-fi не шифруется? вопрос: можно из под линукса как-то такую сеть использовать для доступа в инет? Наверное, можно. Ведь в обычные домены компы на Linux включают без проблем.
Re: WiFi авторизация в домене windows
On Tue, Jun 26, 2012 at 07:36:17PM +0400, Dmitry E. Oboukhov wrote: есть сеть wifi в которой пользователям винды не выдают ключей, а только их доменные логины/пароли. типа вайфай тоже в нем же авторизуется. вопрос: можно из под линукса как-то такую сеть использовать для доступа в инет? Можно. У меня работало когда-то. Это WPA2 Enterprise называется. -- WBR, Dmitry signature.asc Description: Digital signature
Re: WiFi авторизация в домене windows
есть сеть wifi в которой пользователям винды не выдают ключей, а только их доменные логины/пароли. типа вайфай тоже в нем же авторизуется. вопрос: можно из под линукса как-то такую сеть использовать для доступа в инет? Можно. У меня работало когда-то. Это WPA2 Enterprise называется. погуглил везде просят указать пути к ключам и сертификатам. но на венды эти ключи-сертификаты указывать не нужно, она их сама скачивает. никто не натыкался на подробное хауту как это настраивать? или если кто настраивал расскажите поподробнее -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: WiFi авторизация в домене windows
26.06.2012 20:16, Dmitry E. Oboukhov пишет:
есть сеть wifi в которой пользователям винды не выдают ключей, а
только их доменные логины/пароли. типа вайфай тоже в нем же
авторизуется.
вопрос: можно из под линукса как-то такую сеть использовать для
доступа в инет?
Можно. У меня работало когда-то. Это WPA2 Enterprise называется.
погуглил везде просят указать пути к ключам и сертификатам. но на
венды эти ключи-сертификаты указывать не нужно, она их сама скачивает.
никто не натыкался на подробное хауту как это настраивать? или если
кто настраивал расскажите поподробнее
Кусок для wpa_supplicant. Надеюсь из него все очевидно
network={
ssid=SSID
proto=WPA
key_mgmt=WPA-EAP
pairwise=TKIP
# proto=WPA2
# pairwise=CCMP
# group=CCMP
eap=PEAP
identity=login
password=password
phase2=auth=MSCHAPV2
id_str=work
}
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4fea0da8.3040...@darkmike.ru
Re: WiFi авторизация в домене windows
On Tue, Jun 26, 2012 at 08:16:26PM +0400, Dmitry E. Oboukhov wrote:
есть сеть wifi в которой пользователям винды не выдают ключей, а
только их доменные логины/пароли. типа вайфай тоже в нем же
авторизуется.
вопрос: можно из под линукса как-то такую сеть использовать для
доступа в инет?
Можно. У меня работало когда-то. Это WPA2 Enterprise называется.
погуглил везде просят указать пути к ключам и сертификатам. но на
венды эти ключи-сертификаты указывать не нужно, она их сама скачивает.
Судя по твоему описанию, у них там вот это (man wpa_supplicant):
WPA2/EAP-PEAP/MSCHAPv2
network={
ssid=example
proto=WPA2
key_mgmt=WPA-EAP
eap=PEAP
phase2=auth=MSCHAPV2
# ca_cert=/path/to/ca.pem
identity=u...@example.com
password=foobar
}
ca_cert, как я понимаю, нужно указывать, если его нет в
/etc/ssl/certs, т.е., в случае самостийного CA.
Поскольку скачивать автоматически ca_cert означает подарить свои
credentials Васе Пупкину, то я сомневаюсь, что винда-таки его
скачивает (скорее, организация заплатила денежку за root CA).
--
Stanislav
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120626210958.GA5630@kaiba.homelan
