Arkisto ajaksi 'Wireless' Category

AES on tulossa hyvin lähellä rikki

30 heinäkuu 2009

Aiemmissa viestiä Keskustelin mitä vikaa WPA ja miksi sen aina huono idea perustaa standardin noin yhden salauksen, vaikka AES . Bruce Schneier lähetetty blogissaan tänään suhteen uusi hyökkäys AES . Lyhyesti sanottuna, paperi hän viittaukset tunnistaa, miten dramaattisesti vähentää arvauksia tarvitaan noutaa avaimen. Vaikka sen ei käytännössä tänään kellarissa hakata suorittaa hyökkäyksen, sen vielä ikäviä juttuja.

Hyökkäys Kyseessä on mitä kutsutaan näihin liittyvät tärkeät hyökkäys . Tämä edellyttää hyökkääjä on jonkin verran tietoa tekstimuodossa vakuutena useita liittyviä avaimia. Toisin sanoen meidän täytyy jo tietää vähän mitä on suojattu, ja mistä etsiä sitä.

Tämä on vakava ongelma, kun puhut VPN tai langaton, koska käytämme sitä turvallisen IP-liikennettä. IP käyttää joitakin melko yhdenmukaisia ​​arvoja:

  • Tavu 0 on IP versio (yleensä 4) ja koko IP-otsikko (yleensä 20 tavua)
  • Tavu 1 sisältää tyyppistä palvelua kentässä (yleensä ei käytetä niin asetettu 0)
  • Bytes 2 & 3 sisältävät kokonaispituus kenttä (johdonmukainen arvo liikenteelle kuten ARP-paketteja, jos tiedät OS)
  • Tavu 8 sisältää TTL (johdonmukainen arvo per käyttöjärjestelmä perusteella)
  • Bytes 12-15 sisältävät lähde IP osoite (johdonmukainen arvo kunkin erityisohjelman järjestelmä)

Ja tämä on vain IP-otsikko ...

Kun siis suojata liikenteen johto, näihin liittyvät tärkeät hyökkäykset voidaan erityisen paha, koska on olemassa monia toistuvia arvoja työskennellä.

Joten mitä pitäisi tehdä? Minä putoaa takaisin samoja neuvoja annoin nämä aikaisemmat viestit Olen viitattu edellä. Varmista, että olet enemmän vaihtoehtoja kuin vain yhden salausalgoritmi, vain jos asiat saada paljon pahempi.

Ei kommentteja »

Posted in 1-kehittyvillä , VPN , Wireless

Tunnisteet:

Poistaa tarpeen WPA yrityksessä - Osa 2

22 heinäkuu 2009

Minun viimeinen viesti Olen keskustellut ongelmista käyttöön WPA yritysympäristössä. Katsotaanpa varmuuskopioida hieman ja luettelo miksi turvalliset langattomat verkot:

  • Salliminen hallitsematon pääsy voi sortua kompromisseihin
  • Authentication on tarkastettava henkilö Yhdistetään
  • Tiedot voidaan sieraimiin niin salausta tarvitaan tietosuoja

Melko yksinkertaista päättelyä, mutta nyt pysähtyä ja miettiä, miksi me turvallisten etäyhteyksien käyttäjille, kun he Connect Internetistä:

  • Salliminen hallitsematon pääsy voi sortua kompromisseihin
  • Authentication on tarkastettava henkilö Yhdistetään
  • Tiedot voidaan sieraimiin niin salausta tarvitaan tietosuoja

Huom syyt ovat samat. Olen iso syy analyysi, ja syy niin monet meistä hypätä vaikka hoops kanssa WPA on se, että yritämme sovittaa neliskulmainen palikka pyöreään reikään. Toisin sanoen, sen sijaan tunnustaa, että langaton signaali on erillinen hallitsematon kokonaisuus, yritämme todella vaikea isku pikaratkaisua joten se voi luottaa samalla tasolla kuin langallinen segmentit turvattu takana Office seinät. Ei yllätys todella, että ensimmäisessä pöytäkirjan saimme turvaamaan langattoman kutsuttiin Wired Equivalent Privacy (WEP)-protokollaa. Tarpeetonta sanoa nimen suoraan sitä, että langaton voidaan tehdä niin turvallinen kuin langallinen kytkinportin. Historia on osoittanut, ja jatkaa muuten osoittaa kuitenkin.

Harkitse verkko piirustus kuvassa # 1. Huomaa, että olemme jäsennetään verkko voisi paremmin vastata juuri aiheuttaa ongelmia langattoman. Langaton ei enää pidetä luotettavana kuin langallinen kytkinportin. Sen kohdeltaisiin samalla tavalla kuin sen lähin matching suojausvyöhykkeeseen, Internet. Me yksinkertaisesti roikkua meidän tukiasemat pois toisen palomuurin portin ja soveltaa samanlaista turvallisuutta ryhti.

wireless-vpn

Joten kun joku muodostaa yhteyden tukiasemaan, mitä tapahtuu? Liitäntä tehdään selväksi ilman suojausta käytössä. Vain kytkeä oikea SSID ja mennä. Paikallisia DHCP-palvelin sitten kädet järjestelmän IP-osoitteen. Tässä vaiheessa meidän setup toimii kuin mikään muu ei-suojattuun verkkoon.

Katsokaa, mitä langaton järjestelmä saa käyttöönsä kuitenkin. Palomuurin läpi, ainoa sallittu yhteyspiste on VPN-yhdyskäytävä. Tämä on sama kuin silloin, kun käyttäjä yhdistää vuonna Internetistä. Joten sen sijaan luottaa yhden vakuuden täytäntöönpanosta (WPA) ja sen yksittäinen valinta tietosuoja (AES), voit käyttää mitä ikinä sinusta tuntuu, on tarkoituksenmukaista. Luotettavuus ja joustavuus SSH , SSL ja IPSec kaikki tulevat mahdollisuudet turvata oma Datastream. Vaikka jokainen ratkaisu tukee AES tietojen yksityisyyttä, ne avaavat lukuisia muita, jotkut tuntevat paremmin, vaihtoehtoja, kuten Blowfish ja Twofish .

Mutta hetkinen, ei hyökkääjä muodosta yhteyttä tukiasemaan ja mennä sen jälkeen kannettavat tietokoneet, jotka ovat liität vuonna? Ehdottomasti. Tämäkin alue on sama suojaustaso kuin internetissä, jolloin samat säännöt. Mieti tyypillinen langaton käyttäjä kuitenkin. He pyrkivät olemaan tie sotureita, jotka myös Connect Internetistä. Tämä tarkoittaa heidän järjestelmässä pitäisi jo olla tarvittavat VPN-ohjelmisto ja henkilökohtainen palomuuri-järjestelmän. Joten jos kannettava tietokone on määritetty muodostamaan yhteys vuonna Internetistä, sen valmis menemään tämän langattoman yhteyden samoin.

Yksi niistä asioista, pidän todella tästä kokoonpanosta on, että se ei ainoastaan ​​vähennä loppupäätä hallinto (ei enempää WPA hallinta), mutta asiakaspalvelutukia aikaa. Käyttäjät haluavat vain kannettavan töihin ja ovat tehokkaampia, kun ne voivat seurata johdonmukainen prosessi. Kun me sanomme heille "Suorita vaiheet, sitten B, sitten C Connect Internetistä, mutta vaiheet d, niin E sitten F Jos olet toimistossa", jotkut väistämättömyys tulla sekava. Kun setup edellä he aina noudata samaa yhteyttä prosessi, riippumatta fyysisestä sijainnista.

Koska mikään tietoturvaratkaisu ei koskaan täydellinen, siellä on joitakin alas puolin, eikö? Ensinnäkin olemme toteuttamassa hieman kuormitusta palomuuri. Sisäisen viestinnän välillä langaton järjestelmä ja palvelin ei normaalisti liity palomuurin, mutta nyt se ei. Tämä ongelma voitaisiin helposti ratkaista toinen palomuuri kuitenkin.

Toinen asia on turvallisuus liittyvät toisiinsa, mutta riippuu siitä, kuinka me käyttää edellä kokoonpano. Ihanteellisessa maailmassa kaikki tukiasemat olisi liitetty yhteen eristetty kytkin. Todellisuus isossa ympäristössä kuitenkin saattaa joutua käyttämään VLAN koska tukiasemat ovat maantieteellisesti hajallaan toisistaan. Käyttö VLAN avaa mahdollisuuden VLAN hopping. Vaikka tämä kirjoittaja ei usko hyökkääjä voi sotkea DTP kautta tukiaseman saadakseen pääsyn runko, sen varmasti mahdollista kytketty suoraan järjestelmään niin lopulta joku fiksumpi voisin tajuta se. Lyhyesti sanottuna, muista, että tämä suojausvyöhykkeeseen on sama luottamus tasolla kuin Internetiä ja käsitellä sen mukaisesti. Sammuta DTP tai muu auto VLAN neuvottelu valmiudet myyjä on oletusarvoisesti käytössä.

Lopuksi Rogue-tukiasemat ovat edelleen ongelma. Tämä ratkaisu ei mitään estääkseen loppukäyttäjälle tuomasta in tukiaseman kotoa ja liittää se sisään Sinun silti täytyy pitää silmällä tätä toimintaa. Oikeastaan ​​ainoa asia tämä ratkaisu ei sinulle nyt tiedät tahansa tukiasema kytketty langalliseen verkkoon on rogue ja siihen on puututtava.

Toivottavasti tämä on hyödyllinen!

C

2 kommenttia »

Lähetetty 3-öh , VPN , Wireless

Tunnisteet:

Poistaa tarpeen WPA yrityksessä - Osa 1

21 heinäkuu 2009

Monet meistä, jotka hyödyntää langatonta yritysympäristössä velvollisuudentuntoisesti käyttöön langaton salaus (WEP tai WPA) samoin. Tämä ei ole vähäpätöinen, sillä se vaatii jatkuvaa sitoutumista aikaa ja resursseja, jotta voidaan säilyttää järjestelmän eheys. Mutta onko tämä menot todella tarpeen, vai onko tehokkaampi ratkaisu, että useimmat meistä vain unohtaa?

Täytyy oikein turvalliset langattomat

Useimmat meistä tunnistavat miksi langattomia yhteyksiä on kunnolla kiinnitetty. Running auki tukiasema on vain kerjääminen on verkkoon murtauduttu . Langaton on triviaali haistella ja on olemassa tonnia työkaluja , joiden avulla voit crack sitä. Hyvä langaton hakata tietää, että läheisyys tarjoaa hieman suojaa. Olen henkilökohtaisesti ollut mahdollisuus saada 802,11 työskentelee yli 5 kilometriä. Kun oikea antennit , toiset ovat ajaneet tätä niin paljon kuin 35 mailia.

Mitä vikaa WEP-ja WPA?

Useimmat meistä ymmärtää, miksi WEP on täysin rikki. Jos ei, Google on ystäväsi . Jos et ymmärrä miksi WEP on huono sen arvoinen aikaa tehdä tutkimusta. Sen loistava esimerkki siitä miten tehdä kaiken väärin.

Joten hyväksytyn protokollan tänään langaton turvallisuus on WPA. Tuolloin tätä kirjoitettaessa, WPA on horjuvaa, mutta ei täysin rikki. Tutkijat ovat tajunnut, miten tehdä avain elpyminen on pienissä pakkauksissa . Toimittajat ovat tajunnut, miten nopeuttaa prosessia raakaa pakottaa avaimia . Suositellaan WPA avain koko päivän on 48 merkkiä tai enemmän. Tämä on aivan liian iso loppukäyttäjille muistaa niin väistämättä arvonalennus, selväkielisinä, luultavasti eri paikoissa.

On Voimavarat myös täällä. Langaton turvallisuus on koko infrastruktuuri, joka on hoidettava. Näppäimet ja valtakirjat on säilytettävä. Vaikka otamme helposti ulos ja ottaa käyttöön EAP-TTLS meillä on edelleen terve komponenttien määrä pitää synkronoituna. Kun asiat menevät pieleen, vianetsintä voi myös olla kipua, koska se voi joskus olla vaikea määrittää, onko ongelma langattoman signaalin, valtakirjaa tai edes DHCP.

Rajoitat tietosuoja vaihtoehtoja

Kun käytät WPA, ainoa tietosuoja vaihtoehto on AES. AES on NIST-standardin , joka on laajalti käytössä. Vaikka se on säilynyt viimeiset kahdeksan vuotta ilman suurta haavoittuvuutta, ajoitus hyökkäyksiä on havaittu sekä muutama lommoja AES haarniskaan . Sen koskaan hyvä idea laittaa kaikki munat samaan koriin. Siksi varmuuskopiointi kriittiset tiedot tai lähettää sen yli tarpeeton reittejä. Jos pahin tapahtuu ja AES on todettu olevan rikki, olet täysin huuhdella kunnes uusi protokolla on valittu ja sisällytetty myyjät. Ratkaisu varmasti myös korvaa kaikki tukiasemat, kuten se teki, kun muutimme kanssa RC4 alle WEP AES alle WPA.

Exec Yhteenveto

Meidän on siis ehdottomasti tarpeen turvata langattomien yhteyksien mutta nykyiset vaihtoehdot ovat joko hieman parempi kuin hyödytön (WEP) tai erittäin hankalia (WPA). Selvästi tarvitsemme lisää mahdollisuuksia, jotka vähentävät hallinnon sekä lisätä määrää valintoja tietosuojaa. Minun ensi postitse Aion ehdottaa yksi mahdollisuus, joka on heti kannattavaa käyttöönottoa nykypäivän yritysympäristössä.

Ei kommentteja »

Lähetetty 3-öh , VPN , Wireless

Tunnisteet: