Arkiv för 'Wireless' kategorin

AES blir mycket nära trasiga

30 juli 2009

I tidigare inlägg diskuterade jag vad som är fel med WPA och varför det alltid en dålig idé att basera en standard kring en enda metod för kryptering, med AES . Bruce Schneier skrev till sin blogg idag om en ny attack mot AES . Kort sagt, identifierar de papper han referenserna hur dramatiskt att minska antalet gissningar som krävs för att hämta en nyckel. Även det är inte praktiskt idag för en källare hack för att utföra attacken, dess fortfarande elaka saker.

Attacken i fråga är vad som kallas en motsvarande knapp attack . Detta kräver angriparen att ha en viss nivå av kunskap om vanlig text fast med flera relaterade nycklar. Med andra ord behöver vi redan vet lite vad som skyddas och var du ska leta efter det.

Detta är ett allvarligt problem när du talar om VPN eller trådlösa, eftersom vi använder det för att säkra IP-trafik. IP använder några ganska konsekventa värden:

  • Bitgruppen 0 innehåller den IP-version (vanligtvis 4) och storleken på den IP-huvudet (vanligtvis 20 bytes)
  • Byte 1 innehåller typ av tjänst fält (vanligtvis inte använts så inställd på 0)
  • Bytes 2 & 3 innehåller den totala längden fältet (en konsekvent värde för trafik som ARP-paket om du känner till OS)
  • Byte 8 innehåller TTL (en konsekvent värde på en per os basis)
  • Bytes 12-15 innehåller källans IP-adress (en konsekvent värde för varje specifik system)

Och det är bara IP-huvudet ...

Så när vi skyddar trafiken på tråden, kan nyckeltal attacker vara särskilt onda eftersom det finns många repetitiva värden att arbeta med.

Så vad ska du göra? Jag faller tillbaka på samma råd jag gav i dessa tidigare inlägg jag refererade ovan. Kontrollera att du har fler alternativ än bara en enda krypteringsalgoritm, utifall det blir en hel del värre.

Inga kommentarer »

Posted in 1-emerging markets , VPN , Trådlöst

Tags:

Eliminerar behovet av WPA In The Enterprise - Del 2

22 juli 2009

I mitt sista inlägg jag diskuterade problemen med att distribuera WPA i en företagsmiljö. Låt oss backa upp lite och lista varför vi säkra trådlösa nätverk:

  • Att tillåta okontrollerad tillgång kan leda till kompromissa
  • Autentisering krävs för att kontrollera personen ansluter i
  • Data kan sniffas så kryptering behövs för dataskydd

Ganska rakt fram resonemang, men nu stanna upp och fundera över varför vi säkra på distans användare när de ansluter in från Internet:

  • Att tillåta okontrollerad tillgång kan leda till kompromissa
  • Autentisering krävs för att kontrollera personen ansluter i
  • Data kan sniffas så kryptering behövs för dataskydd

Notera orsakerna är desamma. Jag är stor på grundorsaksanalys och anledningen till att så många av oss hoppar även bågar med WPA är att vi försöker att passa en fyrkantig pinne i ett runt hål. Med andra ord, snarare än att inse att en trådlös signal är en separat okontrollerad enhet, försöker vi verkligen svårt att smälla på en snabb lösning så att den kan lita på samma nivå som de trådbundna segmenten säkerhet bakom våra kontor väggar. Inte en överraskning egentligen, med tanke på att det första protokollet fick vi för att säkra trådlösa kallades Wired Equivalent Privacy (WEP) protokollet. Självfallet namnet direkt innebär att trådlöst kan göras för att vara så säker som ett trådbundet switch port. Historien har visat och fortsätter att visa något annat dock.

Tänk på nätet ritningen i figur # 1. Observera att vi har konfigurerats i nätverket för att bättre ta itu med problemen rot sak med trådlöst. Trådlös inte längre anses lika trovärdig som en fast switch port. Det behandlas på ett liknande sätt som dess närmaste matchande säkerhetszonen, Internet. Vi hänger helt enkelt våra accesspunkter bort av en annan brandvägg port och tillämpa en liknande säkerhetstillstånd.

wireless-vpn

Så när någon ansluter till accesspunkten, vad händer? Anslutningen görs i det klara utan säkerhet aktiverad. Anslut bara till rätt SSID och gå. Den lokala DHCP-servern överlämnar sedan systemet en IP-adress. Vid denna tidpunkt vårt inställning fungerar precis som alla andra icke-skyddade nätverket.

Titta vad ett trådlöst system får tillgång till dock. Genom brandväggen, är den enda tillåtna ingång VPN-gateway. Det här är densamma som när användaren ansluter i från Internet. Så i stället för att lita på en enda säkerhet genomförande (WPA) med sin enda valet för dataskydd (AES), kan du distribuera vad du tycker är lämpligt. Robusthet och flexibilitet SSH , SSL och IPSec blir alla möjligheter för att skydda ditt Datastream. Även om varje lösning stödjer AES för datasekretess öppnar de upp en mängd andra, en del mår bättre, alternativ som Blowfish och Twofish .

Men vänta, kunde inte en angripare att ansluta till min åtkomstpunkt och gå efter de bärbara datorer som ansluter in? Absolut. Återigen har denna zon samma säkerhetsnivå som Internet så att samma regler gäller. Tänk på din typiska trådlösa användare dock. De tenderar att vara väg krigare, som också ansluter in från Internet. Detta innebär att deras system redan bör ha erforderlig VPN programvara och en personlig brandvägg system. Så om den bärbara datorn är konfigurerad för att ansluta in från Internet, den är färdig att gå i den trådlösa konfigurationen också.

En av de saker som jag verkligen tycker om denna konfiguration är att det inte bara minskar bakdelen administration (inte mer WPA management), men hjälp gången desk support också. Användarna vill bara sin bärbara dator att arbeta och är mer effektiva när de kan följa en konsekvent process. När vi säger till dem "Utför stegen A, sedan B, sedan C för att ansluta in från Internet, men steg D, sedan E så F om du är på kontoret", en del kommer oundviklighet bli förvirrad. Med installationen ovanstående de alltid följer samma anslutningsprocessen, oberoende av fysisk plats.

Eftersom ingen säkerhetslösning är någonsin perfekt, det måste finnas ner sidorna, eller hur? Först lägger vi en något högre belastning på brandväggen. Den interna kommunikationen mellan en trådlös och en server normalt inte innebära brandväggen, men nu gör det. Detta problem kan lätt lösas med en andra brandvägg dock.

Den andra frågan är säkerhetsrelaterade, men är beroende av hur vi distribuerar ovanstående konfiguration. I en idealisk värld alla kopplingspunkter som skulle vara ansluten till ett enda isolerat omkopplare. Verkligheten i en stor miljö men kan kräva användning av VLAN eftersom åtkomstpunkter är geografiskt spridda från varandra. Användningen av VLAN-nätverk öppnar upp för möjligheten av VLAN hopping. Även denna författare inte tror att en angripare kan bråka med DTP via en åtkomstpunkt för att få tillgång till stammen, dess förvisso möjligt från en direktansluten system så småningom att någon smartare än jag kan räkna ut det. Kort sagt, kom ihåg att detta säkerhetszon har samma förtroende nivå som Internet och hantera det därefter. Stäng DTP eller någon annan auto VLAN förhandling kapacitet säljaren har aktiverad som standard.

Slutligen, otillåtna åtkomstpunkter är fortfarande ett problem. Denna lösning gör ingenting för att stoppa en slutanvändare från att i en kopplingspunkt hem och plugga i. Du måste fortfarande hålla ett vakande öga för denna verksamhet. Om enda lösningen gör för dig är nu du vet åtkomstpunkt ansluten till det trådbundna nätverket är oseriösa och måste åtgärdas.

Hoppas detta är till hjälp!

C-

2 kommentarer »

Posted in 3-fel , VPN , Trådlöst

Tags:

Eliminerar behovet av WPA In The Enterprise - Del 1

21 Jul 2009

Många av oss som utnyttjar trådlöst i en företagsmiljö använda plikttroget trådlös kryptering (WEP eller WPA) också. Detta är inte trivialt, eftersom det kräver en kontinuerlig engagemang av tid och resurser för att upprätthålla systemets integritet. Men är dessa utgifter verkligen är nödvändigt, eller är det en mer effektiv lösning tillgänglig som de flesta av oss helt enkelt glömma?

Behovet av att korrekt säkra trådlösa

De flesta av oss inser varför trådlösa anslutningar måste ordentligt. Köra en vidöppen åtkomstpunkt är bara tigger att få ditt nätverk delas upp i . Wireless är trivialt att sniffa och det finns en massor av verktyg som finns tillgängliga för att hjälpa dig knäcka det. En bra trådlös hack vet att närhet ger dåligt skydd. Jag har personligen kunnat komma 802,11 arbetar över 5 miles. Med rätt antennerna , andra har drivit detta så långt som 35 miles.

Vad är fel med WEP och WPA?

De flesta av oss förstår varför WEP är helt bruten. Om inte, är Google din vän . Om du inte förstår varför WEP är dåligt det värt tiden att göra forskningen. Dess ett bra exempel på hur att göra allt fel.

Så erkänt protokoll dag för trådlös säkerhet är WPA. Vid tidpunkten detta skrivs, är WPA vacklar men inte helt bruten. Forskare har listat ut hur man genomför nyckeln återhämtning i små paket . Leverantörer har listat ut hur man kan snabba upp processen med oskäliga tvingar nycklar . Den rekommenderade WPA nyckel storlek är i dag 48 tecken eller större. Det är alldeles för stor för slutanvändare att komma ihåg så naturligtvis värdet skrivs ned, i klartext, förmodligen på flera platser.

Det finns resursfrågor här. Trådlös säkerhet är en hel infrastruktur system som behöver hanteras. Knappar och meriter måste upprätthållas. Även om vi tar den enkla vägen ut och distribuera EAP-TTLS vi har fortfarande en sund antal komponenter för att hålla i synk. När saker går fel, kan felsökning också vara en smärta som kan det ibland vara svårt att avgöra om problemet är den trådlösa signalen, referenser eller till och med DHCP.

Begränsa dina alternativ dataskydd

När du använder WPA, är din enda datasekretess alternativet AES. AES är en NIST standard som i stor utsträckning distribueras. Även om det har överlevt de senaste åtta åren utan större sårbarhet, timing attacker har upptäckts tillsammans med några bucklor i AES s rustning . Det aldrig en bra idé att lägga alla dina ägg i en korg. Det är därför vi säkerhetskopiera kritiska data eller skicka den över redundanta vägar. Om det värsta inträffar och AES visar sig brytas, är du helt spolas fram ett nytt protokoll väljs och införlivas med leverantörer. Lösningen kommer med största sannolikhet innehålla ersätta alla dina kopplingspunkter, som det gjorde när vi flyttade med RC4 i WEP för att AES i WPA.

Exec Sammanfattning

Så vi måste helt säkra trådlösa anslutningar men de nuvarande alternativen är antingen något bättre än värdelös (WEP) eller mycket besvärligt (WPA). Klart att vi behöver ytterligare möjligheter som kommer att minska administrationen samt öka antalet val för dataskydd. I mitt nästa inlägg jag kommer att föreslå en möjlighet att omedelbart lönsam för användning i dagens företagsmiljö.

Inga kommentarer »

Posted in 3-fel , VPN , Trådlöst

Tags: