Vlákno názorů k článku BackTrack, Kali Linux a prolomení zabezpečení Wi-Fi sítě od Pavel - Pekny clanek, diky za nej. Zajimalo by me,...
-
Pavel (neregistrovaný)
Pekny clanek, diky za nej. Zajimalo by me, jak bezpecna je metoda, kdy je wifi pripojeni bez zabezpeceni (sit je open), ale pak pri pokusu o pristup na Internet dojde k presmerovani na web stranku, kde se zada jmeno a heslo. Tento system pouziva dnes jiz hodne hotspotu. Planujete napsat i o tomto systemu?
-
Tomu se říká captive portál a je to hrůza největší. Důvodů je několik: internet není jen web, takže si toho často nemusí uživatel všimnout, pokud spustí rovnou po připojení konkrétní newebovou aplikaci. Dále některá zařízení (herní konzole, IP telefony...) třeba vůbec prohlížeč nemají, takže nemají jak zobrazit výzvu na heslo.
Problém taky je, že ta stránka je nestandardní, takže se nedá vyplňovat automaticky, musíte pokaždé znovu a znovu vkládat jméno a heslo. Psal jsem o tom celém před časem na blogu: Proč nemám rád captive portály aneb internet není jen web.
A bezpečné to není vůbec, heslo putuje vzduchem a dá se odposlechnout. Mnohem lepší je použít protokol 802.1X (označovaný jako WPA2-Enterprise), který používá třeba Eduroam. Tam vše probíhá standardizovaně, bezpečně a automaticky. Do klienta jednou vložíte potřebné informace a on se autentizuje sám na síťové vrstvě (funguje to i po kabelu).
-
(w) (neregistrovaný)
Nedávno jsem se na jedné „free“ WiFi setkal s opravdu „skvělým“ captive portálem. Nejen že chtěl horu údajů (jméno, e-mail, datum narození, bydliště, ...), ale ještě bylo nutné zhlédnout nějaké reklamní video, celé. Jinak net nechodil. To už bývá problém i na některých starších přístrojích, kde je prohlížeč celkem v pohodě schopný obsloužit tu část s vyplňováním, ale přes to video (typicky vlastní flashový přehrávač) často nejede vlak. Takový systém si zalouží nejen hackout, ale rovnou shodit.
-
OMG (neregistrovaný)
Petre, v CR tomu mozna tak neni, ale v zahranici je odpovednost za data tekouci internetovou pripojkou na majiteli pripojky. Je logicke, ze hotel prostrednictvim captive portalu zobrazi podminky uzivani dane sluzby... Jak tohle chcete resit 802.1X? Hotelu je u zadele ze tahle captive stranka je over http...
-
Samozřejmě tohle 802.1X řeší naprosto elegantně, protože tam právě každý uživatel má svoje jméno a heslo. Rozdíl je v tom, že je to na síťové vrstvě a standardně uložené ve vašem správci připojení k Wi-Fi. Takže jakmile tu síť uvidíte, hned se do ní automaticky přihlásíte jménem a heslem. Funguje to krásně (viz zmíněný Eduroam).
-
BobTheBuilderStříbrný podporovatelAle když 802.1x nefunguje, tak je často netriviální problém vyřešit - viz zmíněný Eduroam. Nehledě na zařízení, která 802.1x nepodporují (třeba Kindle 3). Proto taky snad všude, kde je Eduroam, je ještě druhá, otevřená WiFi s autentizací přes prohlížeč. Sice primitivní, leč účinné.
-
OMG (neregistrovaný)
Petre, jeste jednou si prectete prosim to co jsem napsal: " hotel prostrednictvim captive portalu zobrazi podminky uzivani dane sluzby". Tohle 802.1X neresi. Jak chcete resit elegantne zobrazeni a akceptovani podminek pouziti dane sluzby? Tisteny formular na recepci a jeho podepsani hostem?
Pak jeste jedna nevyhoda 802.1X reseni: pokud zadate heslo spatne, pak by default Windows ignoruji 20 minut 802.1X autentizacni zadosti. Ano, existuje patch, ale budete si neco nekde patchovat kvuli hotelove siti? Ne. Captive portal je jednoduch reseni daneho problemu a pokud hodne cestujete po svete, pak se s timhle setkavate bezne.
-
haxor007 (neregistrovaný)
Podpisany formular na recepcii je imho jediny spravny sposob a to bez ohladu na to, ci je pouzity captive portal alebo 802.1x. Treba si dobre uvedomit, co tym prevadzkovatel chce dosiahnut. Pokial sa tu bavime o akejkolvek pravnej zodpovednosti, tak ziaden "zobrazeny text" na stranke captive portalu toto vobec neriesi. Ziadne tlacidlo typu "suhlasim s podmienkami" nie je a ani nemoze byt pravne zavazne, z viacerych dovodov.
Ako by ste ako prevadzkovatel WiFi siete v pripade legalnych opletaciek dokazali, ze v case ked sa tam vas zakaznik prihlasoval, tam bol "zobrazeny" text, ktory tvrdite ze tam bol (nejake tie vase podmienky pouzivania sluzby)? Toto nemate ako dokazt.
Dalsia vec je, ze ten clovek to nemusel vobec vidiet, precitat, odsuhlasit vedome, atd... Napr. z roznych technickych dovodov, jemu sa ten text nemusel zobrazit (pouzival iny prehliadac). Tu je tolko priestoru, staci sa len zamysliet. V pripade, ze sa clovek neprizna, nie je mozne nic dokazat.
Preto, formular podpisany na recepcii je jedine riesenie tak ci tak.
-
To co pises je naprosty nesmysl. Ruzne varianty click-wrap, click-through, browse-wrap smluv jsou samozrejme bezne uznavane a nejsou o nic mene zavazne nez smlouvy klasicke a pro tyto ucely naprosto dostacujici. V pripade sporu se bude uvazovat klasicke chovani portalu pri pripojeni a dukazni bremeno, ze se podminky smlouvy nezobrazily napriklad z duvodu technicke chyby, bude plne na uzivateli a nikoliv provozovateli.
-
xurfa (neregistrovaný)
Ano, 802.11x funguje to krásně, dokud zařízení kontroluje certifikáty. Např. Well ST-100 sice má "podporu" pro "WPA(2) Enterprise", ale nikde nemá možnost ten certifikát do zařízení vložit. :-) A předpokládám, že takových zařízení bude víc.
A bez toho je to úplně k ničemu, stačí hloupý MITM útok a celé zabezpečení jest v prde*i.
-
Ano, to je pravda, řada captive portálů přesměrovává na doménové jméno s platným SSL certifikátem. Neřeší to ale třeba problém, kdy dnes většina prohlížečů automaticky otevírá stránku s HTTPS (třeba Google), což nefunguje. Buď musíte podvrhnout nevalidní certifikát (v čemž vám zase zabrání HSTS) nebo prostě neděláte nic a uživatel se nedostane nikam, dokud nenačte stránku bez SSL. Nepomůže vám ani DNS spoofing, protože stejně nemáte certifikát od Google.
Prostě broken by design. Captive portály jsou špatné a bohužel rozšířené.
-
xxmarv (neregistrovaný)
No OK. Souhlasím s vámi. Nicméně pokud potřebujete mít otevřený systém a po té authorizovat uživatele je bohužel nejlepší Captive portál. Nezadáváte heslo ale přilogujete se k systému pod svým jménem bez toho abyste něco musel znát. Vyplníte údaje a zadáte si heslo. Druhá strana je eap-sim, ale to již musí podporovat operátor...
-
Jenda (neregistrovaný)
Protože bys musel povolit ještě DNSSEC, OCSP, perspectives… a podobnou validaci, což už v podstatě znamená povolit celý Internet.
Mimochodem je super, že se uživatel přihlásil přes HTTPS, ale pak už identifikace visí jenom na MAC adrese, takže pro útočníka samozřejmě není problém.
-
Petr (neregistrovaný)
Mně se docela i stávalo, že se mi po otevření webového prohlížeče neotevřela ta stránka, takže jsem se nedostal nikam. Ale hlavně mi dlouho trvalo, než jsem vůbec zjistil, že mám nějaký prohlížeč vůbec pouštět, protože ho na mobilu skoro vůbec nepoužívám. Nemám tohle řešení rád.
