Vlákno názorů k článku Roamingová síť eduroam: připojení po celém světě od peci1 - Muzu potvrdit, ze problem s fake AP je...
-
peci1Stříbrný podporovatelMuzu potvrdit, ze problem s fake AP je realny. Byl jsem ted v lete na University of Oulu ve Finsku, a tam presne tohle nekdo taky delal. Nastesti to byl (alespon v urcitych ohledech) amater a svuj fake router nespojil s internetem, takze se lidi divili, proc pres eduroam nemuzou na net... A tak se ho podarilo vystopovat.
Myslim, ze jedna z velkych prekazek k tomu, aby lidi RADIUS servery meli nastavene, je to, ze v Linuxu to nejde do Network Manageru "graficky" nastavit. Diky za odkaz na system CAT, to jsem neznal (mozna i proto, ze veleslavny FEL CVUT tam proste nedodal sve informace). Nebo i jen to, ze na eduroam.feld.cvut.cz clovek jmeno spravneho radius serveru nezjisti. Admini maji jeste mezery...
-
peci1Stříbrný podporovatel
Omlouvam se, jmena RADIUS serveru jsem ted na webu FELu nasel, tak jsem jen spatne hledal... Nicmene na strance ( http://www.fel.cvut.cz/cz/user-info/eduroam/eduroam.html ) chybi odkaz na certifikat autority, nebo i jen jeji jmeno.
-
Honza (neregistrovaný)
Pokud by někoho zajímaly detaily problematických míst, tj. možnosti napadení WPA2 enterprise (802.1x), (tedy i toho co je použito pro eduroam) mohu odkázat na serii 4 článků. Dneska jsem vydal první část na:
https://www.linkedin.com/pulse/can-wpa2-enterprise-8021x-cracked-minutes-jan-nejmanV první části je spíše jen teoretický úvod, který je nutný k pochopení problematické části implementace
a je tam už začátek praktického dekódování uživatelského hesla. V druhé části bude dokončení možností získání hesla. Třetí část se bude zaobírat kódem a systémem pro dekódování. A poslední část pak ochranou uživatele s analýzou kolika uživatelů se tento problém týká, předem mohu prozradit, že bohužel se týka hodně uživatelů ;-( -
Peter FodrekZlatý podporovatelTo snáď už neplatí. v navodí ch to stále je
http://wifi.stuba.sk/sk/ubuntu.shtmlNajskôr ten certifikát prestal platiť a platil https certifikát AIS.
Potom ho začal posielať pri pripojení (keďže máme certifikačnú autoritu tak self-signed) Teraz je aspoň podpísaný autoritou default prítomnou v Ubuntu...
Heslá máme generované pi prihlásení sa do AIS a sú iné ako do AIS. ale zobrazuje ich po stlačení generátora aj v http, aj našťastie používam len https.. -
Honza (neregistrovaný)
Tak, jak je návod na stránkách, tak to není rozhodně dostatečné. Důležité je nejen ověřovat certifikát radius serveru, ale i jméno radius serveru! V případě, že jako klient ověřujete pouze certifikát, tak jakýkoliv jiný radius server, (který bude mít taktéž instalovaný certifikát podepsaný stejným CA) bude váš klient akceptovat... Tedy chybí tam doplnit jména radius serverů.
Nynější situace je ještě horší, než jak píšete kdysi, protože nyní věříte všem serverům co se prokáží certifikátem od nějaké CA, která má svůj root certifikát v běžné distribuci. Tedy požadavek na ověření jména radius serveru je o to nutnější!!! -
Ondřej CaletkaZlatý podporovatelPrávě z důvodu, že ověření jména RADIUS serveru je problematické, je doporučováno raději používat privátní CA, která vydá certifikát pouze pro RADIUS server dané organizace. Problém je, že uživatelé Windows se pak nepřipojí bez pokročilé konfigurace (tu za ně ale ochotně udělá CAT).
Dalším negativním vedlejším účinkem je, že spousta OS takovou privátní autoritu vnímá jako absolutně důvěryhodnou a to i pro autentizaci webových stránek. Její držitel tak teoreticky může provádět MitM útoky na šifrovaná spojení.
