Krádež eduroam identity a obrana proti ní Jan Tomášek <semik@cesnet.cz> oddělení síťové identity / CESNET Jan Nejman <jan@nejman.cz>
MS-CHAP Nejběžnější způsob ověření v eduroamu - PEAP-MSCHAPv2 heslo není přenášeno v čitelné podobě, přenáší se se challenge a ntresponse oboustranné ověření Bruce Schneier, Mudge: Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2), 1999 the fundamental weakness of the authentication and encryption protocol is that it is only as secure as the password chosen by the user. EFF DES Cracker, 1999 DEF CON 20, 2012 server má čitelnou podobu a nebo NTHASH - MD4(UTF-16-LE(heslo)) https://www.youtube.com/watch?v=qjbhts6bkx4 Ondřej Surý: Rozděl a panuj: hrubou silou na MS-CHAPv2 klíče, Root, 2012
krádež eduroam identity AP + LTE + 37 Wh powerbanka => 18 h freeradius s upravenou konfigurací
krádež eduroam identity
krádež eduroam identity Útok hrubou silou (AMD FX-8150 @ 3.6GHz):
krádež eduroam identity Útok s použitím slovníku: * Nargothrond je elfí město objevující se ve fiktivním světě anglického spisovatele J. R. R. Tolkiena.
krádež eduroam identity A+++ Hacking
krádež eduroam identity RADIUS: Klient: RADIUS: Klient: Umím PEAP, TTLS Pojedeme PEAP Heslo rád ověřuju MSCHAPv2, ale umím taky MD5, GTC, PAP,... Pojedeme MSCHAPv2
krádež eduroam identity RADIUS: Klient: RADIUS: Klient: Umím PEAP, TTLS Pojedeme PEAP Heslo rád ověřuju MSCHAPv2, ale umím taky MD5, GTC, PAP,... Pojedeme MSCHAPv2 RADIUS: Klient: RADIUS: Klient: Umím TTLS, PEAP Pojedeme TTLS Heslo rád ověřuju PAP, ale umím taky MD5, GTC, MSCHAPv2,... Pojedeme PAP
krádež eduroam identity
obrana proti krádeži eduroam identity Co s tím?
obrana proti krádeži eduroam identity Kontrolovat certifikáty serveru!
obrana proti krádeži eduroam identity
obrana proti krádeži eduroam identity
obrana proti krádeži eduroam identity
obrana proti krádeži eduroam identity
obrana proti...: uživatel Manuální konfigurace: stáhnout & nainstalovat certifikát CA RADIUSu kontrolovat hostname RADIUSu, anebo aspoň doménu vnitřní autentizační metoda MSCHAPv2 nikdy nezkoušet ověřím se bez certifikátu? hlásit místa, kde dochází k nabízení neznámého certifikátu
obrana proti...: uživatel Manuální konfigurace: stáhnout & nainstalovat certifikát CA RADIUSu kontrolovat hostname RADIUSu, anebo aspoň doménu vnitřní autentizační metoda MSCHAPv2 nikdy nezkoušet ověřím se bez certifikátu? hlásit místa, kde dochází k nabízení neznámého certifikátu Automatická konfigurace: https://cat.eduroam.org/ Android 4.3+, OS X, ios, Windows Vista+, Linux, Chrome OS
obrana proti...: uživatel
obrana proti...: uživatel
obrana proti...: uživatel
obrana proti...: správce IdP Certifikační autorita pro EAP server: self-sign komerční CA publikovat v dokumentaci! Hostname RADIUSu: nemusí být v DNS stejný hostname na více serverech publikovat v dokumentaci!
obrana proti...: správce IdP, eduroam CAT
obrana proti...: správce IdP, eduroam CAT
obrana proti...: správce IdP, eduroam CAT
obrana proti...: správce IdP, eduroam CAT Aktualní stav 81 registrováno, OK nastaveno 52 registrováno 258-81-52 = 125 nic Registrace do eduroam CAT - požádejte o pozvánku na info@eduroam.cz
obrana proti...: polepšení hříšníci CESNET pwned - 13 c0nfig masterz! - 34-72% polepšení hříšníci + 4 Polepšení hříšníci - 17! 104***@vfn.cz 181***@eduroam.muni.cz 393***@eduroam.muni.cz 46**@uochb.cas.cz ak***@cesnet.cz hpa***@img.cas.cz hulin***@fel.cvut.cz jma***@jcu.cz jurca***@fs.cvut.cz kund***@cesnet.cz mik***@fzu.cz obada***@amu.cz pro***@cesnet.cz soukp***@natur.cuni.cz sti***@cesnet.cz vaib***@ujep.cz xmikv***@czu.cz
demo
Dotazy? Jan Tomášek <semik@cesnet.cz> oddělení síťové identity / CESNET