?

Log in

No account? Create an account
Рабинович напел, или почувствуйте разницу - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Рабинович напел, или почувствуйте разницу [Jul. 31st, 2012|03:13 pm]
ArkanoiD
[Tags|, , ]

Блог Мокси:

Enterprises who are depending on the mutual authentication properties of MS-CHAPv2 for connection to their WPA2 Radius servers should immediately start migrating to something else.

Журнал для детей Ксакеп и многочисленные перепевки, как англо- так и русскоязычные:

Провайдеры беспроводного доступа, которые используют WPA2 Enterprise с аутентификацией MS-CHAPv2, тоже должны перейти на альтернативные протоколы.

типовой твит:

Companies with WIFI deployments that use WPA2 Ent. security with MS-CHAPv2 auth should also switch to an alternative

ну и прочее "WPA2 поломали, ААА МЫВСЕУМРЕМ"
linkReply

Comments:
(Deleted comment)
[User Picture]From: arkanoid
2012-07-31 11:20 am (UTC)
Ты не понял -- идея в том, что при нормально настроенном радиусе и клиенте ты до этого хэндшейка, как и раньше, не доберешься.

А если доберешься, то как и раньше, 80% хэшей отдаются с минимального перебора :-) То есть изменилось кое-что, но с практической точки зрения немного. Вот pptp придется выкинуть.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 11:21 am (UTC)
"MS-CHAPv2 for connection to their WPA2 Radius servers"

вот за одно это, этого мокси надо на конюшню и пороть, пороть, пороть.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-07-31 11:26 am (UTC)
ну речь про базовую защиту от mitm, которая в нем имплементирована, он вполне корректно выражается.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 11:28 am (UTC)
он хуйню порет.
для соединения с radius сервером используется протокол radius, работающий по udp.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 11:38 am (UTC)
ну так и что? если отключить проверку сертификатов, получишь проблему.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 11:40 am (UTC)
что?
чего?
кто отключить, где? ничего не понял.
может ты окно перепутал?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 11:56 am (UTC)
если у тебя PEAP не проверяет, с нормальным ли радиус-сервером ты разговариваешь, то от кражи пароля ты защищен чахлыми средствами MSCHAPv2, и это есть проблема. Что не так?

(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 11:59 am (UTC)
PEAP не проверяет ничего -- он же памятник!
не так то, что для соединения с RADIUS сервером используется протокол radius, работающий повер протокола UDP, а не mschapv2.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 01:00 pm (UTC)
клиент проверяет.

если клиент не проверяет, то в середине этого бутерброда протоколов оказывается уязвимая мякотка mschapv2.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 01:25 pm (UTC)
так правильно, но это не влияет на то, что для соединения с RADIUS сервером используется протокол radius, работающий поверх протокола UDP, а не mschapv2.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 01:40 pm (UTC)
Ты зануда.

Мокси написал, что если вы надеетесь, что защита паролей, которая есть внутри mschapv2 (названная в контексте mutual authentication, в том смысле, что не позволяет кагбе третьей стороне содержательно вклиниться в обмен и подсунуть слабый челлендж), который внутри радиуса, который поверх udp, вам поможет, то вы неправы. Незначимую часть предложения опустил за ненадобностью и очевидность контекста.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 01:43 pm (UTC)
ну так и все остальные тоже самое написали, а ты занудничаешь.
так что либо трусы, либо крестик
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 01:57 pm (UTC)
Остальные написали, что MSCHAPv2 вообще надо выкинуть потому что ужас-ужас.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 02:02 pm (UTC)
я не вижу разницы между этими двумя искажениями действительности.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 02:08 pm (UTC)
Она принципиальна с практической точки зрения.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 02:09 pm (UTC)
первая точно так же принципиальна с практической точки зрения
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 02:11 pm (UTC)
Huh? К каким практическим выводам она ведет с твоей точки зрения?
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 02:14 pm (UTC)
невозможность настроить реальную систему.
невозможность ее отладить.
вообще непонимание как она работает.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-07-31 02:15 pm (UTC)
*facepalm*
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-07-31 02:28 pm (UTC)
мне тоже за тебя стыдно
(Reply) (Parent) (Thread)
[User Picture]From: 5_1surround
2012-07-31 03:54 pm (UTC)
то есть, Personal - тоже поломали? и куда ползти крайнему юзверю?
(Reply) (Thread)
[User Picture]From: arkanoid
2012-07-31 05:44 pm (UTC)
да personal это скучно. брутфорси как умеешь.
(Reply) (Parent) (Thread)
[User Picture]From: 5_1surround
2012-07-31 07:24 pm (UTC)
гыгы
заходи кто хочешь, бери что хочешь
(Reply) (Parent) (Thread)