Problemi di sicurezza dell'autenticazione server / workstation basata su RADIUS

0

Quindi utilizzo WPA2-EAP da alcuni anni con il server FreeRadius. E va bene, voglio dire, non considero l'accesso wifi come una rottura critica così super-duper perché è abbastanza limitato comunque su altri livelli, quindi ho accettato qualsiasi rischio potenziale (che è ancora significativamente inferiore a PSK). Ma mi sono sempre chiesto ... Che ne dici dell'autenticazione server o workstation? Quanto è sicuro il client RADIUS < > la connessione al server è davvero e quanto è facile implementare un server RADIUS canaglia che autentica tutti in tutto?

Concentriamoci su due scenari che mi vengono in mente per primi:

  1. Cattiva connessione tra server e server radius:

    [server] -> [switch] -> [evil dude] -> [switch] -> [RADIUS server]
    
  2. Postazione utente esterna alla rete aziendale con VPN disabilitata:

    [workstation] -> [dodgy hotspot] -> [evil dude]
    

Le domande sono le seguenti: nel 1 ° caso è possibile iniettare RADIUS canaglia permettendo l'accesso al server con credenziali come root:abc123 ?

Il secondo caso è equivalente alla workstation senza credenziali utente e accesso amministratore illimitato? Che cosa è necessario per installare RADIUS canaglia e può essere mitigato da un'accurata autenticazione tra server e client RADIUS?

Non considero l'accesso ai dati disponibili sul problema reale del server RADIUS perché se qualcuno ha accesso ad esso, allora è comunque il gioco. Ma sono un po 'preoccupato per la sicurezza dell'utilizzo del segreto per il client RADIUS < > connessione al server e non sono sicuro se sia una preoccupazione valida dal punto di vista dello sfruttamento. I certificati sempre mi hanno reso più sicuro in questo campo rispetto a PSK.

    
posta Lapsio 23.03.2018 - 18:27
fonte

1 risposta

2

Se ti aiuta a sentirti meglio, il 99% delle nostre comunicazioni crittografate utilizza la crittografia simmetrica (come le PSK). Utilizziamo solo crittografia asimmetrica (certificati) per trasferire chiavi simmetriche e firmare gli hash.

La situazione 1 è completamente possibile in tre condizioni:

  1. Il "cattivo tizio" ha presenza sulla rete tra i due interruttori (nella maggior parte dei casi, per rimuoverlo, in realtà dovrebbe essere tra di loro e usare un MITM

  2. Avrebbe già dovuto compromettere il PSK (non è un'impresa semplice, e se fosse stato in grado di tirarlo fuori, probabilmente avrebbe potuto fare di peggio mentre ci stava.)

  3. Il tuo server RADIUS si autentica con un protocollo non protetto.

Se il tuo server RADIUS si autentica con la crittografia basata su certificato, anche se estraggono 1 e 2, hanno anche bisogno della chiave privata del server di autenticazione per estrarre il MITM.

Quindi, tecnicamente possibile, ma se le tue chiavi sono compromesse, hai comunque problemi più grandi.

La situazione 2 è uno dei motivi per cui abbiamo VPN in primo luogo. Considera una VPN sempre attiva per ridurre il rischio di lasciare la VPN disattivata e MAI SEMPRE MAI fare clic su una pagina Web che contrassegna la funzione di sicurezza del browser.

Unsafe significa UNSAFE.

    
risposta data 23.03.2018 - 19:50
fonte

Leggi altre domande sui tag