MS-protokoll för WPA2 knäckt

Byt till vad?

Läskigt, eftersom att oavsett vad man har för säkerhet för inloggning och liknande så verkar den kunna crackas? Så kör man WPA2 med RADIUS-authensering med CHAPv2 kan man fortfarande vara såbar, som jag förstår det?

Någon som vet vilket protokoll Pfsense använder? EAP kanske? Jag har en Cisco Aironet 1231G AP och där väljer man authenseringsprotokoll som är EAP som standard om jag inte minns fel.

Jobbigt för företag, vanligt folk kör inte RADIUS eller PPTP med MS-CHAPv2 iaf.

Känns lite som att de som använder MS-CHAPv1 eller MS-CHAPv2 lite får skylla sig själv, även om det säkert används av kompabilitetsskäl ibland.
Det är långt ifrån en särskilt stark CHAP variant.

Så mitt WPA-2+AES @Asus RT-N66U är inte längre säkert? Risken att någon hackar det är dock ganska liten?

Vad ni verkligen skall göra är att se till at WPS är fullständigt avaktiverat i era routrar, det brukar vara på som standard.

http://code.google.com/p/reaver-wps/

MS-CHAPv2 har ju betraktats som osäkert länge, så det är väl knappast att betrakta som spektakulärt att det nu finns enkla verktyg att forcera det. För konsumentprodukter som använder WPA2-PSK är detta helt irrelevant.

Åååååh fuuuuck! Nu måste man ju byta lite då här hemma.

*edit*
Kör faktiskt ms-chapv2 på både auth på trådlösa och vpntunneln! Aja, dags att få ork för lite hemmapyssel!

Vi har inte trådlöst överhuvudtaget på jobbet pga säkerhetsriskerna. Det är kabel som gäller.

Dåså, tack.

Det är förvisso en omöjlig tanke för många idag, det vet jag, men kör med nätverkskabel om du kan. I skrivande stund hittar jag två starka anledningar till nätverkskabelns favör:

Fördelar:
> Hög säkerhet
> Väldigt låg förlust av bandbredd

Förutsättningarna för kabelburen trafik minskar drastiskt om fler ska dela på samma uppkoppling. Det blir ju omständigt att dra kabel till höger & vänster. Idag ställer vi högre krav på tillgänglighet än tidigare och nätverkskabeln tappar därmed i populäritet. För bärbara datorer och avancerade telefoner blir istället kabeln en stor akilleshäl. Det är nästan lite "osexigt" med trådbunden trafik idag då man hellre kan sitta med trådlös uppkoppling var som helst; det ger ju fler möjligheter. Å andra sidan ökar risken för intrång, spioneri och den personliga integriteten kan sättas på spel. Friheten betyder allt - men den har ett pris.

Undrar varför så många får panik över att någon ska hacka deras trådlösa?

1) Slå av WPS i routern. (Det är alltid det första jag gör på varje router jag konfigurerar.)

2) Kör WPA2 Personal med AES-kryptering.

3) Välj ett hyfsat långt lösenord (det är förvisso fullständig overkill men jag kör ett slumpmässigt lösenord på 45 stora och små bokstäver, siffror och specialtecken) som du byter någon gång om året.

4) Surfa lugnt.

Vill någon objuden gäst ta sig in någonstans så går man, precis som inbrottstjuven, efter den lägst hängande frukten, dvs de som kör med ett fabriksinställt SSID och svag (WEP=att be om att bli hackad) eller ingen kryptering på sina nätverk. Om man inte har tillräckligt med koll och inte absolut har ett behov av det, så finns det ingen anledning att börja pilla med egna lösningar som ex. WPA2 Enterprise (+ RADIUS), gömma sitt SSID (vilket tvärtom kan ställa till mer problem än det löser och dessutom: om någon har kunskap/resurser/vilja nog att knäcka ditt wifi så har dom också tillräckliga kunskaper och mjukvara för att kunna hitta ditt dolda SSID) eller annat hyss.

Bor mitt inne i stan med massor av folk som bor i närheten och passerar mitt fullt synliga nätverk varje dag, har rätt hyfsad koll på mina routerloggar och har aldrig någonsin råkat ut för ens ett enda hack-försök trots att jag kört trådlöst i 3-4 års tid och alltid har min router igång 24 timmar om dygnet.

Som shenjin redan svarat: nej.

Se bara till att WPS är avstängt i routern och att du använder WPA2-Personal med AES-kryptering, ett unikt SSID (signalerar om inte annat en ev. angripare att du har tagit dig tiden och mödan att ändra från fabriksinställningarna i din router vilket bara det avskräcker) och ett hyfsat starkt lösenord.

För er som är mer insatta - om man använder WPA2 Enterprise med authensering mot en RADIUS-server på Linux/Unix - är man "drabbad" då? Eller handlar det bara om man kör själva RADIUS-authenseringen med MSCHAPv2 mot en Microsoft RADIUS-server? Eller har jag fått allt om bakfoten?

Attacken är mot protokollet i sig själv så platformen som RADIUS autensieringen kör på är helt irrelefant.
Kör du MS-CHAPv2 eller ännu värre MS-CHAPv1 så är du rökt so to speak.
Men som flera pekat ut redan, MS-CHAPv2 är ett väldigt gammalt protokoll och har blivit bevisat svagt flera gånger tidigare av bl.a bruce schneier med kollegor.

För att ge lite perspektiv, det introducerades i samband med NT 4.0 SP4, och fanns som en uppdatering för Win 95/98. Det är GAMMALT

Edit:
Lite bokstäver som fattades lol

Det beror på vilken metod du använder.
Med PEAP-MSCHAPv2 och ett riktigt certifikat så körs MSCHAPv2 inne i en TLS-tunnel så då är man safe.
Kör du EAP-MSCHAPv2 som inte använder TLS så kommer du vara sårbar.