Archive for the 'Wireless' kategorien

AES er blitt svært nær ødelagt

30 juli 2009

I tidligere innlegg diskuterte jeg hva som er galt med WPA og hvorfor det alltid en dårlig idé å basere en standard rundt en enkelt metode for kryptering, selv AES . Bruce Schneier postet på bloggen sin i dag om et nytt angrep mot AES . Kort sagt, identifiserer papiret han referansene hvordan å dramatisk redusere antall gjetninger som kreves for å hente en nøkkel. Mens det er ikke praktisk i dag for en kjeller hack for å utføre angrepet, dens fortsatt ekle ting.

Angrepet i spørsmålet er det som refereres til som en beslektet nøkkel angrep . Dette krever at angriperen har noen grad av kjennskap til ren tekst sikret med flere relaterte nøkler. Med andre ord, må vi allerede vet litt av hva som blir beskyttet og hvor du skal lete etter den.

Dette er et alvorlig problem når du snakker om VPN eller trådløst, fordi vi bruker det til å sikre IP trafikk. IP bruker noen ganske konsekvent verdier:

  • Byte 0 inneholder IP versjon (vanligvis 4) og størrelsen på IP header (vanligvis 20 byte)
  • Byte 1 inneholder den type tjeneste feltet (vanligvis ikke brukt så satt til 0)
  • Bytes 2 & 3 inneholder den totale lengden feltet (en konsistent verdi for trafikk som ARP pakker hvis du vet OS)
  • Byte 8 inneholder TTL (en enhetlig verdi på en per OS basis)
  • Bytes 12-15 inneholder kildens IP-adresse (en konsistent verdi for hvert enkelt system)

Og det er bare IP header ...

Så når vi beskytte trafikken på ledningen, kan aktuelle tasten angrep være spesielt onde fordi det er mange repeterende verdier å jobbe med.

Så hva skal du gjøre? Jeg skal falle tilbake på det samme rådet jeg ga i de tidligere innleggene jeg referert ovenfor. Kontroller at du har flere alternativer enn bare en enkelt krypteringsalgoritme, i tilfelle ting bli mye verre.

Ingen kommentarer »

Posted in 1-emerg , VPN , Trådløst

Tags:

Eliminerer behovet for WPA In The Enterprise - Del 2

22 juli 2009

I mitt siste innlegg drøftet jeg problemer med distribusjon av WPA i et bedriftsmiljø. La oss tilbake opp litt og liste hvorfor vi sikre trådløse nettverk:

  • Tillater ukontrollert tilgang kan føre til kompromiss
  • Godkjenning er nødvendig for å verifisere at personen koble i
  • Data kan sniffes slik kryptering er nødvendig for personvern

Ganske rett frem resonnement, men nå stoppe opp og vurdere hvorfor vi sikre eksterne brukere når de kobler inn fra Internett:

  • Tillater ukontrollert tilgang kan føre til kompromiss
  • Godkjenning er nødvendig for å verifisere at personen koble i
  • Data kan sniffes slik kryptering er nødvendig for personvern

Merk grunnene er de samme. Jeg er stor på årsaken analyse, og årsaken til at så mange av oss hoppe skjønt hoops med WPA er at vi prøver å passe en firkantet pinne inn i en runde hull. Med andre ord, i stedet erkjenne at et trådløst signal er en egen ukontrollert enhet, vi prøver virkelig hardt å sleng på en rask løsning slik at den kan være klarert på samme nivå som det kablede segmentene sikret bak vårt kontor vegger. Ikke en overraskelse egentlig, gitt at de første protokoll vi fikk til å sikre trådløse ble kalt Wired Equivalent Privacy (WEP) protokoll. Unødvendig å si navnet tilsier direkte at trådløst kan gjøres for å være så sikker som en kablet bryter port. Historien har vist, og fortsetter å vise noe annet likevel.

Tenk nettverket tegningen i figur # 1. Merk at vi har konfigureres nettverket for å bedre adressen årsaken problemer med trådløs. Trådløst er ikke lenger ansett som troverdig som en kablet bryter port. Dens behandlet på en lignende måte til sine nærmeste matchende sikkerhetssone, Internett. Vi bare henge våre aksesspunkter ut av en annen brannmur port og bruke en lignende sikkerhet holdning.

wireless-vpn

Så når noen kobler til tilgangspunktet, hva skjer? Tilkoblingen er gjort i den klare uten sikkerhet aktivert. Bare å koble til riktig SSID og gå. Den lokale DHCP-serveren hender da systemet en IP-adresse. På dette punktet vår oppsettet fungerer som alle andre ikke-sikret nettverk.

Se hva et trådløst system får tilgang til likevel. Gjennom brannmuren, er det kun tillatt tilgangspunkt VPN gateway. Dette er det samme som når brukeren kobler inn fra Internett. Så snarere enn å måtte stole på en enkelt sikkerheten gjennomføring (WPA) med enkelt valg for personvern (AES), kan du distribuere hva du føler er passende. Robusthet og fleksibilitet av SSH , SSL og IPSec alle bli muligheter for å sikre din datastrøm. Mens hver løsningen støtter AES for data personvern, åpne de opp en mengde andre, noen føler seg bedre, alternativer som Blowfish og Twofish .

Men vent, kunne ikke en angriper koble til tilgangspunktet og gå etter bærbare datamaskiner som kobler inn? Absolutt. Igjen har denne sonen samme sikkerhetsnivået som på Internett slik at de samme reglene gjelder. Tenk om dine typiske trådløse brukere imidlertid. De pleier å være på farten, som også kobler inn fra Internett. Dette betyr at deres system skal allerede ha de nødvendige VPN programvare og en personlig brannmur system. Så hvis den bærbare datamaskinen er konfigurert til å koble i fra Internett, dets klar til å gå i dette trådløse konfigurasjonen også.

En av de tingene jeg virkelig liker med denne konfigurasjonen er at det reduserer ikke bare back end administrasjon (ikke mer WPA management), men Help Desk Support tid også. Brukere som bare ønsker seg laptop til arbeid og er mer effektive når de kan følge en konsekvent prosess. Når vi forteller dem "Utfør trinn A, deretter B, deretter C for å koble inn fra Internett, men steg D, deretter E da F hvis du er på kontoret", vil noen uunngåelig bli forvirret. Med oppsettet ovenfor alltid de følger den samme forbindelsen prosessen, uavhengig av fysisk plassering.

Siden ingen sikkerhetsløsning er aldri perfekt, det må være noen ned sider, ikke sant? Først setter vi en litt høyere belastning på brannmuren. Intern kommunikasjon mellom et trådløst system og en server vil normalt ikke innebære brannmuren, men nå gjør. Dette problemet kan lett løses med en annen brannmur imidlertid.

Det andre problemet er sikkerhetsrelaterte, men er avhengig av hvordan vi distribuerer over konfigurasjonen. I en ideell verden alle tilgangspunktene skulle kobles til en enkelt isolert bryter. Reality i et stort miljø imidlertid kan nødvendiggjøre bruk av VLAN fordi tilgangspunktene er geografisk spredt fra hverandre. Bruk av VLAN åpner opp muligheten for VLAN hopping. Mens denne forfatteren ikke tror at en angriper kan rote med DTP gjennom et tilgangspunkt for å få tilgang til stammen, dens absolutt mulig fra en direkte tilkoblet systemet så til slutt noen smartere enn jeg kan finne det ut. Kort sagt, husk at dette sikkerhetssone har samme tillit nivå som Internett og håndtere det deretter. Slå av DTP eller annen auto VLAN forhandling evne leverandøren har slått på som standard.

Endelig rogue tilgangspunkter er fortsatt et problem. Denne løsningen gjør ingenting for å stoppe en sluttbruker fra å bringe på et tilgangspunkt hjemmefra og plugge den i. Du må fortsatt holde et våkent øye for denne aktiviteten. Omtrent det eneste denne løsningen gjør for deg er nå du kjenner noen aksesspunkt koblet til det kablede nettverket er rogue og må tas opp.

Håper dette er nyttig!

C

2 kommentarer »

Posted in 3-err , VPN , Trådløst

Tags:

Eliminerer behovet for WPA In The Enterprise - Del 1

21 juli 2009

Mange av oss som utnytte trådløst i et bedriftsmiljø pliktoppfyllende distribuere trådløs kryptering (WEP eller WPA) i tillegg. Dette er ikke trivielt, ettersom det krever en kontinuerlig innsats av tid og ressurser for å opprettholde systemets integritet. Men er dette utgifter virkelig nødvendig, eller er det en mer effektiv løsning tilgjengelig som de fleste av oss bare overse?

Behovet for å riktig sikre trådløse

De fleste av oss kjenner hvorfor trådløse tilkoblinger trenger å være forsvarlig sikret. Kjøre en vidåpne tilgangspunktet er bare tigget om å få nettverket brutt inn . Wireless er trivielt å snuse og det er tonnevis av verktøy tilgjengelig for å hjelpe deg knekke den. En god trådløs hack vet at nærhet gir lite beskyttelse. Jeg har personlig vært i stand til å komme 802.11 jobber over 5 miles. Med den rette antenner , andre har presset dette så langt som 35 miles.

Hva er galt med WEP og WPA?

De fleste av oss å forstå hvorfor WEP er helt ødelagt. Hvis ikke, er Google din venn . Hvis du ikke forstår hvorfor WEP er dårlig dens verdt tiden å gjøre forskning. Dens et flott eksempel på hvordan du gjør alt galt.

Så aksepterte protokoll dag for trådløs sikkerhet er WPA. På den tiden dette ble skrevet, er WPA vaklende, men ikke fullstendig ødelagt. Forskere har funnet ut hvordan å utføre viktige utvinning i små pakker . Leverandører har funnet ut hvordan å få fart på prosessen med brute tvinge nøkler . Den anbefalte WPA nøkkelen størrelsen i dag er 48 tegn eller større. Dette er altfor stor for sluttbrukerne å huske så uunngåelig verdien er nedskrevet, i klartekst, trolig på flere steder.

Det er ressurskrevende saker her også. Trådløs sikkerhet er en hel infrastruktur system som må forvaltes. Taster og legitimasjon må opprettholdes. Selv om vi tar den enkle veien ut og distribuere EAP-TTLS vi har fortsatt en sunn rekke komponenter for å holde synkronisert. Når ting går galt, kan feilsøking også være en smerte som det kan noen ganger være vanskelig å finne ut om problemet er det trådløse signalet, legitimasjon eller DHCP.

Begrense dataene personvern alternativer

Når du bruker WPA, er bare data personvernalternativ AES. AES er en NIST standard som er utbredte. Mens det har overlevd de siste åtte årene uten en stor sårbarhet, timing angrep har blitt oppdaget sammen med noen bulker i AES sin rustning . Dens aldri en god idé å legge alle eggene i én kurv. Dette er hvorfor vi backup virksomhetskritiske data eller overføre den over redundant ruter. Hvis det verste skjer og AES er funnet å være brutt, er du fullstendig spyles inntil en ny protokoll er valgt og innlemmet av leverandører. Løsningen vil absolutt inkludere erstatte alle tilgangspunkter, som det gjorde da vi flyttet med RC4 henhold WEP til AES i henhold til WPA.

Exec Summary

Så vi absolutt behovet for å sikre trådløse forbindelser, men den nåværende tilgjengelige alternativene er enten litt bedre enn ubrukelig (WEP) eller veldig tungvint (WPA). Klart vi trenger ekstra muligheter som vil redusere administrasjonen samt øke antall valg for personvern. I mitt neste innlegg vil jeg foreslå en mulighet som er umiddelbart levedyktig for utplassering i dagens bedriftsmiljø.

Ingen kommentarer »

Posted in 3-err , VPN , Trådløst

Tags: