Catene di proxy RADIUS

1

RADIUS è un protocollo di autenticazione remota ampiamente distribuito. Sto osservando il suo utilizzo nel roaming wireless. Il protocollo RADIUS consente proxy e catene di proxy:

|CLIENT|<->|Access Point|<=>|RADIUS server|<=>|RADIUS proxy|<=>|RADIUS Server|<->|LDAP|

in cui la richiesta di autenticazione del client viene inoltrata lungo una catena di proxy RADIUS fino a quando non viene soddisfatta dal server principale del client e dalla directory (AD o LDAP). Supponiamo che un client stia utilizzando MSCHAPv2 per l'autenticazione: una scelta non sicura ma non comune. Pertanto, un punto di accesso utilizzerà EAP per negoziare l'autenticazione MSCHAPv2 per il client, inoltrando di nuovo l'autenticazione al server principale dell'utente. Ho delle domande sul rischio di esposizione delle credenziali dell'utente al proxy:

(1) In questo scenario, le credenziali MS-CHAPv2 / EAP del client sono protette end-to-end? Oppure il proxy RADIUS ha accesso non protetto alle credenziali dell'utente e quindi potrebbe montare un Moxie Marlinspike attacca contro il flusso di dati dell'utente?

Lo scenario qui è che un utente malintenzionato ottiene il controllo del server proxy RADIUS e può quindi tentare di violare i flussi di autenticazione che lo attraversano. Se i flussi di autenticazione sono protetti end-to-end, ad esempio in un tunnel crittografato, questo attacco diventa molto più difficile.

(2) Uno scenario correlato è che un proxy RADIUS compromesso non è in grado di accedere ai bit MS-CHAPv2 protetti, ma invece può vedere i nomi degli utenti non protetti e raccoglierli per attacchi offline successivi . È possibile o il proxy RADIUS può vedere solo il dominio ma non il nome utente completo?

Ti sto chiedendo specificamente riguardo ai proxy RADIUS qui. Inoltre, una risposta del tipo "non utilizzare MSCHAPv2" non è utile poiché abbiamo una grande base installata di dispositivi che al momento non hanno un'alternativa; Sto cercando di minimizzare il rischio fino a quando un'alternativa è disponibile.

    
posta Mark Beadles 29.11.2012 - 21:32
fonte

1 risposta

1

(1) EAP-TLS è crittografato solo tra il supplicant e il server RADIUS. La comunicazione tra il server RADIUS e il server di directory è protetta solo da MS-CHAPv2. Quindi, sì, sarebbe vulnerabile a chapcrack nel back-end.

(2) Credo che i proxy RADIUS possano vedere i nomi utente completi perché sono in grado di fare il caching dell'identità. Quando si fornisce il caching dell'identità, utilizzano cache locali di informazioni esterne quando eseguono richieste di non autenticazione (ricerche dell'utente, ecc.).

EDIT: volevo dire che non sono sicuro di tutte le opzioni per proteggere gli archivi di identità esterni, quindi potrebbe essere possibile fornire un secondo tunnel o crittografia tra il server RADIUS e Active Directory facendo qualcosa come LDAPS? Immagino che possa dipendere dal tipo e dalla versione del server RADIUS che hai.

    
risposta data 30.11.2012 - 14:46
fonte

Leggi altre domande sui tag