Archief voor de 'Wireless' categorie

AES wordt nu wel heel dicht bij de gebroken

30 juli 2009

In eerdere berichten heb ik overlegd wat er mis is met WPA en waarom is het altijd een slecht idee om een standaard rond basis een enkele methode van encryptie, zelfs AES . Bruce Schneier geplaatst op zijn blog vandaag over een nieuwe aanval op AES . Kortom, de krant waar hij naar refereert wordt aangegeven hoe om drastisch verminderen van het aantal raden nodig is om een ​​sleutel te halen. Terwijl zijn niet praktisch vandaag voor een kelder hack om de aanval, zijn nog steeds vervelende dingen uit te voeren.

De aanval in kwestie is wat wordt aangeduid als een verwante sleutel aanval . Dit vereist de aanvaller te hebben een zekere mate van kennis van de platte tekst beveiligd door meerdere gerelateerde sleutels. Met andere woorden, moeten we weten al een beetje van wat er wordt beschermd en waar te zoeken.

Dit is een ernstig probleem als je het over VPN's of draadloos, omdat we gebruiken om IP-verkeer te beveiligen. IP maakt gebruik van een aantal mooie consistente waarden:

  • Byte 0 bevat de IP-versie (meestal 4) en de grootte van de IP-header (meestal 20 bytes)
  • Byte 1 bevat het type service veld (meestal niet gebruikt, zodat ingesteld op 0)
  • Bytes 2 en 3 bevatten de totale lengte veld (een consistente waarde voor het verkeer, zoals ARP-pakketten als je weet dat het besturingssysteem)
  • Byte 8 bevat de TTL (een consistente waarde op een per besturingssysteem basis)
  • 12-15 bytes bevatten het bron-IP-adres (een consistente waarde voor elk specifiek systeem)

En dat is nog maar de IP-header ...

Dus als we het verkeer te beschermen op de draad, kan gerelateerd sleutel aanvallen worden vooral kwaad omdat er veel repeterende waarden om mee te werken.

Dus wat moet je doen? Ik zal terug te vallen op hetzelfde advies dat ik gaf in die vroegere berichten ik hierboven vermelde. Zorg ervoor dat je meer opties dan alleen maar een enkele encryptie-algoritme, voor het geval dat dingen een stuk erger.

Geen reacties »

Geplaatst in een-opkomende landen , VPN , Wireless

Tags:

Waardoor de noodzaak voor WPA In The Enterprise - Deel 2

22 juli 2009

In mijn laatste bericht heb ik de problemen besproken met de implementatie van WPA in een enterprise-omgeving. Laten we eens een back-up een beetje en een lijst waarom wij beveiligde draadloze netwerken:

  • Het toestaan ​​van ongecontroleerde toegang kunnen leiden tot compromis
  • Authenticatie is nodig om de persoon aansluiten in gaan
  • De gegevens kunnen zo worden gesnoven encryptie is nodig voor de bescherming van persoonsgegevens

Pretty straight forward redeneren, maar nu stoppen en te overwegen waarom we veilige remote gebruikers wanneer ze verbinding maken in van het internet:

  • Het toestaan ​​van ongecontroleerde toegang kunnen leiden tot compromis
  • Authenticatie is nodig om de persoon aansluiten in gaan
  • De gegevens kunnen zo worden gesnoven encryptie is nodig voor de bescherming van persoonsgegevens

Let op de redenen zijn hetzelfde. Ik ben groot op root cause analysis, en de reden waarom velen van ons springen al hoepels met WPA is dat we proberen om een ​​vierkante pen past in een rond gat. Met andere woorden, in plaats van te erkennen dat er een draadloos signaal wordt een aparte ongecontroleerde entiteit, we proberen echt moeilijk om klap op een snelle oplossing, zodat het kan worden vertrouwd op hetzelfde niveau als de bedrade segmenten vastgezet achter ons kantoor muren. Niet echt een verrassing, gezien het feit dat het eerste protocol kregen we om draadloze beveiligen heette het Wired Equivalent Privacy (WEP) protocol. Onnodig te zeggen, de naam direct impliceert dat draadloos kan worden gemaakt om zo veilig als een bekabelde switch-poort. Geschiedenis heeft aangetoond, en blijft om te laten zien echter anders.

Beschouw het netwerk tekening in figuur # 1. Merk op dat we het netwerk geconfigureerd om beter aan te pakken de oorzaak problemen met draadloze hebben. Draadloos is niet langer beschouwd als betrouwbaar als een bekabelde switch-poort. Zijn behandeld in een vergelijkbare wijze als zijn naaste matching veiligheidszone, het internet. We gewoon hangen onze access points off van een andere firewall-poort en toepassen van een soortgelijke beveiliging houding.

wireless-vpn

Dus als iemand verbinding maakt met het access point, wat gebeurt er? De verbinding wordt gemaakt in de heldere zonder beveiliging ingeschakeld. Maak verbinding met de juiste SSID en gaan. De lokale DHCP-server handen dan is het systeem een ​​IP-adres. Op dit punt onze opstelling gedraagt ​​zich als enige andere niet-beveiligd netwerk.

Kijk eens wat een draadloos systeem de toegang tot wel krijgt. Door de firewall, het is alleen toegestaan ​​met toegangspunt is de VPN-gateway. Dit is hetzelfde als wanneer de gebruiker verbinding maakt in van het internet. Dus in plaats van aan een security implementatie (WPA) vertrouwen met haar single keuze voor de bescherming van persoonsgegevens (AES), kunt u inzetten wat je voelt de juiste is. De robuustheid en de flexibiliteit van de SSH , SSL en IPSec alle worden mogelijkheden voor het beveiligen van uw datastroom. Terwijl elke oplossing ondersteunt AES voor de bescherming van persoonsgegevens, openen ze een overvloed aan andere, sommige voelen zich beter, opties, zoals Blowfish en Twofish .

Maar wacht, kan een aanvaller geen verbinding met mijn access point en gaan na de laptops die verbinding in? Absoluut. Nogmaals, deze zone heeft hetzelfde beveiligingsniveau als het internet, zodat dezelfde regels gelden. Maar denk na over je standaard draadloze gebruiker. Ze hebben de neiging om weg krijgers, die ook verbinden van het internet. Dit betekent dat hun systeem moet reeds beschikken over de vereiste VPN-software en een persoonlijke firewall-systeem. Dus als de laptop is geconfigureerd om in verbinding van het internet, zijn klaar om te gaan in deze draadloze configuratie ook.

Een van de dingen die ik echt leuk vind aan deze configuratie is dat het niet alleen terug vermindert end administratie (niet meer WPA management), maar help desk support tijd. Gebruikers willen gewoon hun laptop te werken en effectiever zijn als ze kunnen een consistent proces te volgen. Wanneer we hen vertellen "Voer stappen A, dan B, dan C om verbinding te maken vanuit het internet, maar de stappen D, dan is E dan F als u op kantoor", sommigen zullen onvermijdelijkheid in de war raken. Met de installatie boven ze altijd volgens hetzelfde proces-verbinding, ongeacht de fysieke locatie.

Aangezien er geen security oplossing is altijd perfect, er moet wat naar beneden kanten, toch? Eerst zetten we een iets hogere belasting op de firewall. Interne communicatie tussen een draadloos systeem en een server normaal gesproken niet om de firewall, maar nu wel. Dit probleem kan eenvoudig worden opgelost met een tweede firewall echter.

Het tweede probleem is gerelateerd veiligheid, maar is afhankelijk van hoe zetten we de bovenstaande configuratie. In een ideale wereld zouden alle access points worden aangesloten op een enkele geïsoleerde schakelaar. De werkelijkheid in een grote omgeving maar nodig zouden kunnen maken van het gebruik van VLAN's , omdat de access points zijn geografisch verspreid van elkaar. Het gebruik van VLAN's opent de mogelijkheid van de VLAN hopping. Terwijl deze auteur denkt niet dat een aanvaller kan rommelen met DTP via een toegangspunt in om de toegang tot de stam, zijn zeker mogelijk van een rechtstreeks aangesloten systeem, zodat uiteindelijk iemand die slimmer is dan ik kan het uitzoeken krijgen. In het kort, vergeet niet dat deze zekerheid zone hetzelfde vertrouwen niveau als het internet is en dienovereenkomstig mee omgaan. Sluit DTP of een andere auto VLAN onderhandeling vermogen van de verkoper heeft standaard ingeschakeld.

Tot slot, rogue access points zijn nog steeds een probleem. Deze oplossing doet niets aan een eindgebruiker te weerhouden om in een access point van huis en steek hem binnen Je moet nog een houden oogje in het zeil voor deze activiteit. Over het enige wat deze oplossing voor je doet is nu weet je een access point aangesloten op het kabelnetwerk rogue is en moet worden aangepakt.

Hoop dat dit nuttig is!

C

2 reacties »

Geplaatst in drie-err , VPN , Wireless

Tags:

Waardoor de noodzaak voor WPA In The Enterprise - Deel 1

21 juli 2009

Velen van ons die draadloze hefboom in een enterprise omgeving plichtsgetrouw implementeren draadloze encryptie (WEP of WPA) ook. Dat is niet triviaal, want het vergt een voortdurende inzet van tijd en middelen om het systeem integriteit te handhaven. Maar is deze uitgaven echt nodig, of is er een meer effectieve oplossing beschikbaar dat de meesten van ons gewoon over het hoofd zien?

De noodzaak om goed beveiligde draadloze

De meesten van ons herkennen waarom draadloze verbindingen moeten goed worden beveiligd. Het runnen van een open access point is gewoon bedelen om uw netwerk ingebroken . Draadloos is triviaal om te snuiven en er zijn een ton van tools ter beschikking om u te helpen kraken. Een goede wireless hack weet dat de nabijheid biedt weinig bescherming. Ik heb persoonlijk in staat geweest om 802,11 werken meer dan 5 mijl te krijgen. Met de juiste antennes , anderen hebben geduwd dit tot 35 mijl.

Wat is er mis met WEP en WPA?

De meesten van ons begrijpen waarom WEP is volledig gebroken. Zo niet, Google is je vriend . Als je niet begrijpt waarom WEP is slecht zijn de moeite waard de tijd om het onderzoek te doen. Het is een goed voorbeeld van hoe dat te doen alles verkeerd.

Dus de aanvaard protocol vandaag voor draadloze beveiliging is WPA. Op het moment van dit schrijven, is WPA hapert, maar niet helemaal gebroken. Onderzoeken hebben bedacht hoe presteren de belangrijkste herstel in kleine pakketjes . Leveranciers hebben bedacht hoe te versnellen het proces van het brute dwingen toetsen . De aanbevolen WPA-sleutel grootte van vandaag is 48 karakters of groter. Dit is veel te groot voor eindgebruikers om zo onvermijdelijk denken aan de waarde is opgeschreven, in duidelijke tekst, en waarschijnlijk op meerdere locaties.

Er zijn bron kwesties hier ook. Draadloze beveiliging is een volledige infrastructuur-systeem dat moet worden beheerd. Toetsen en referenties moeten worden gehandhaafd. Zelfs als we de gemakkelijke uitweg en het implementeren van EAP-TTLS hebben we nog een aantal gezonde onderdelen synchroon te houden. Wanneer dingen mis gaan, kan het oplossen van problemen ook een pijn als het kan soms moeilijk zijn om te bepalen of het probleem is het draadloze signaal, referenties of zelfs DHCP.

Het beperken van uw data privacy-opties

Als u WPA gebruikt, je enige privacy van gegevens optie is AES. AES is een NIST-norm die op grote schaal wordt ingezet. Hoewel het heeft overleefd de afgelopen acht jaar zonder een grote kwetsbaarheid, timing aanvallen zijn ontdekt, samen met een paar deuken in harnas AES's . Zijn nooit een goed idee om al je eieren in een mand. Dit is waarom wij bedrijfskritische data back-up of te verzenden het over redundante routes. Als het ergste zich voordoet en AES is gevonden om gebroken te worden, bent u volledig afgespoten tot een nieuw protocol wordt gekozen en verwerkt door de leveranciers. De oplossing zal zeker de vervanging van al uw access points, net als toen we verhuisden met RC4 onder WEP naar WPA AES onder.

Exec Samenvatting

Dus we absoluut nodig om draadloze verbindingen te beveiligen, maar de huidige beschikbare opties zijn ofwel iets beter dan nutteloze (WEP) of zeer omslachtig (WPA). Het is duidelijk dat we behoefte aan extra mogelijkheden die zal verminderen administratie evenals het aantal keuzemogelijkheden voor de bescherming van persoonsgegevens. In mijn volgende post zal ik voorstellen een mogelijkheid dat direct haalbaar is voor inzet in enterprise omgeving van vandaag.

Geen reacties »

Geplaatst in drie-err , VPN , Wireless

Tags: