Verktyg Visningsval
2012-07-31, 08:08   #1

Pappy

Medlem

Pappys avatar

Plats: LKPG

Registrerad: feb 2003

MS-protokoll för WPA2 knäckt


Microsofts protokoll för WPA2-kryptering är knäckt.
Undvik.
Nu är ju inte MS kända för säkerhet så det är kanske ingen som använder, men kan vara värt att titta över om du har ett trådlöst nätverk.
Byt.

http://threatpost.com/en_us/blogs/ne...sswords-073012
__________________
Whisky kan drickas på 3 sätt:
1. Utan vatten. 2. Med vatten. 3. Som vatten.

Workstation.Server
Pappy är inte uppkopplad
2012-07-31, 09:35   #2

ozo64

Medlem

Registrerad: dec 2005

Byt till vad?
ozo64 är inte uppkopplad
2012-07-31, 09:45   #3

Kr^PacMan

Hedersmedlem

Kr^PacMans avatar

Plats: QuakeNet

Registrerad: jul 2001

Läskigt, eftersom att oavsett vad man har för säkerhet för inloggning och liknande så verkar den kunna crackas? Så kör man WPA2 med RADIUS-authensering med CHAPv2 kan man fortfarande vara såbar, som jag förstår det?

Någon som vet vilket protokoll Pfsense använder? EAP kanske? Jag har en Cisco Aironet 1231G AP och där väljer man authenseringsprotokoll som är EAP som standard om jag inte minns fel.
__________________
SWECLOCKERS.COM
WS: Asus P9X79 :: Core i7 3820 @ X.X GHz :: 32 GB Corsair Dominator @ 1xxx MHz :: Corsair H80 :: Samsung 830 256 GB :: Samsung Syncmaster S27A950D
If Quake was done today :: Blogg :: Apache-Pong med Logstalgia :: Nytt serverrum (under uppbyggnad)
Kr^PacMan är inte uppkopplad
2012-07-31, 09:45   #4

muppens

Medlem

Plats: Stockholm

Registrerad: aug 2007

Jobbigt för företag, vanligt folk kör inte RADIUS eller PPTP med MS-CHAPv2 iaf.
__________________
Citera om du vill ha svar.
muppens är inte uppkopplad
2012-07-31, 09:47   #5

shenjin

Medlem

Plats: I mitt cluster

Registrerad: okt 2008

Känns lite som att de som använder MS-CHAPv1 eller MS-CHAPv2 lite får skylla sig själv, även om det säkert används av kompabilitetsskäl ibland.
Det är långt ifrån en särskilt stark CHAP variant.
__________________
"Riktig fakta? kolla ut genom fönstret på snön och all jävlighet där har du riktig fakta, eller de som går där i kylan, idioter, det är riktig fakta" -- Ett fyllo på bussen, ganska trevlig ändå :)
shenjin är inte uppkopplad
2012-07-31, 09:51   #6

azz0n^

Medlem

azz0n^s avatar

Plats: Garang

Registrerad: dec 2011

Ska testa programmet på grannens nät.
__________________
Beyerdynamic DT770 Pro 80 Ω
CM Storm QuickFire TK Brown
Mionix Naos 5000
azz0n^ är uppkopplad nu
2012-07-31, 09:59   #7

Firkraag

Medlem

Firkraags avatar

Plats: Göteborg

Registrerad: jul 2002

Så mitt WPA-2+AES @Asus RT-N66U är inte längre säkert? Risken att någon hackar det är dock ganska liten?
__________________
Dator: Intel 3570K :: 8GB DDR3 :: GeForce GTX 670 :: Asus Xonar Essence ST :: Intel SSD 330 120GB
Kring : Dell U2312HM :: Sennheiser HD598 :: Ducky G2Pro TKL MX Brown PBT :: Razer Deathadder 3.5
:: StarCraft 2 Profil :: Steam Profil ::
Firkraag är uppkopplad nu
2012-07-31, 10:04   #8

shenjin

Medlem

Plats: I mitt cluster

Registrerad: okt 2008

Citat:
Ursprungligen inskrivet av Firkraag Visa inlägg
Så mitt WPA-2+AES @Asus RT-N66U är inte längre säkert? Risken att någon hackar det är dock ganska liten?
Om du inte har en RADIUS server så behöver du inte bry dig, det här handlar om att använda vad vissa tillverkare kallar för WPA2-Enterprise med en extern autensieringserver för WLan.
Du lär bara hitta det hos företag och kanske en och annan säkerhetsentusiast/paranoid människa.

Jag repeterar, detta påverkar inte vanliga WPA2, som vissa kallar för WPA2-Personal, för de använder inte MS-CHAP alls och använder en helt annan autensieringsmetod än denna artikel är fokuserad på att knäcka.
__________________
"Riktig fakta? kolla ut genom fönstret på snön och all jävlighet där har du riktig fakta, eller de som går där i kylan, idioter, det är riktig fakta" -- Ett fyllo på bussen, ganska trevlig ändå :)
shenjin är inte uppkopplad
2012-07-31, 10:09   #9

anden12

Medlem

Plats: Stockholm

Registrerad: jun 2005

Citat:
Ursprungligen inskrivet av Pappy Visa inlägg
Microsofts protokoll för WPA2-kryptering är knäckt.
Undvik.
Nu är ju inte MS kända för säkerhet så det är kanske ingen som använder, men kan vara värt att titta över om du har ett trådlöst nätverk.
Byt.

http://threatpost.com/en_us/blogs/ne...sswords-073012
Oh really? Vilka är kända för säkerhet i din värld då?

MS-CHAPv2 är lixom 15 år gammalt.. vilket nog får anses som en hyfsat okej livslängd för ett välanvänt autentiseringsprotokoll. (dock är detta knappast första säkerhetsbristen som uppdagats med MS-CHAPv2..)
__________________
i2500k@4.6GHz, 8gb, 7970@1.131V/1125/6000
Citera om du skriver till mig. Annars läser jag troligtvis INTE.
anden12 är inte uppkopplad Folding
2012-07-31, 10:20   #10

Xermalk

Medlem

Plats: Helsingborg

Registrerad: aug 2010

Vad ni verkligen skall göra är att se till at WPS är fullständigt avaktiverat i era routrar, det brukar vara på som standard.

http://code.google.com/p/reaver-wps/
Xermalk är inte uppkopplad
2012-07-31, 10:22   #11

kdid

Medlem

kdids avatar

Registrerad: jan 2005

MS-CHAPv2 har ju betraktats som osäkert länge, så det är väl knappast att betrakta som spektakulärt att det nu finns enkla verktyg att forcera det. För konsumentprodukter som använder WPA2-PSK är detta helt irrelevant.
kdid är inte uppkopplad
2012-07-31, 10:23   #12

Pewtah

Medlem

Pewtahs avatar

Plats: Kalmar

Registrerad: mar 2010

Citat:
Ursprungligen inskrivet av shenjin Visa inlägg
Du lär bara hitta det hos företag och kanske en och annan säkerhetsentusiast/paranoid människa.

Jag repeterar, detta påverkar inte vanliga WPA2, som vissa kallar för WPA2-Personal, för de använder inte MS-CHAP alls och använder en helt annan autensieringsmetod än denna artikel är fokuserad på att knäcka.
Åååååh fuuuuck! Nu måste man ju byta lite då här hemma.

*edit*
Kör faktiskt ms-chapv2 på både auth på trådlösa och vpntunneln! Aja, dags att få ork för lite hemmapyssel!
Pewtah är inte uppkopplad Folding
2012-07-31, 10:27   #13

ozo64

Medlem

Registrerad: dec 2005

Vi har inte trådlöst överhuvudtaget på jobbet pga säkerhetsriskerna. Det är kabel som gäller.
ozo64 är inte uppkopplad
2012-07-31, 10:59   #14

Firkraag

Medlem

Firkraags avatar

Plats: Göteborg

Registrerad: jul 2002

Citat:
Ursprungligen inskrivet av shenjin Visa inlägg
Om du inte har en RADIUS server så behöver du inte bry dig, det här handlar om att använda vad vissa tillverkare kallar för WPA2-Enterprise med en extern autensieringserver för WLan.
Du lär bara hitta det hos företag och kanske en och annan säkerhetsentusiast/paranoid människa.

Jag repeterar, detta påverkar inte vanliga WPA2, som vissa kallar för WPA2-Personal, för de använder inte MS-CHAP alls och använder en helt annan autensieringsmetod än denna artikel är fokuserad på att knäcka.
Dåså, tack.
__________________
Dator: Intel 3570K :: 8GB DDR3 :: GeForce GTX 670 :: Asus Xonar Essence ST :: Intel SSD 330 120GB
Kring : Dell U2312HM :: Sennheiser HD598 :: Ducky G2Pro TKL MX Brown PBT :: Razer Deathadder 3.5
:: StarCraft 2 Profil :: Steam Profil ::
Firkraag är uppkopplad nu
2012-07-31, 11:48   #15

Hokulv

Medlem

Hokulvs avatar

Plats: Göteborg

Registrerad: nov 2006

Aldrig får man vara säker någonstans


Det är förvisso en omöjlig tanke för många idag, det vet jag, men kör med nätverkskabel om du kan. I skrivande stund hittar jag två starka anledningar till nätverkskabelns favör:

Fördelar:
> Hög säkerhet
> Väldigt låg förlust av bandbredd

Förutsättningarna för kabelburen trafik minskar drastiskt om fler ska dela på samma uppkoppling. Det blir ju omständigt att dra kabel till höger & vänster. Idag ställer vi högre krav på tillgänglighet än tidigare och nätverkskabeln tappar därmed i populäritet. För bärbara datorer och avancerade telefoner blir istället kabeln en stor akilleshäl. Det är nästan lite "osexigt" med trådbunden trafik idag då man hellre kan sitta med trådlös uppkoppling var som helst; det ger ju fler möjligheter. Å andra sidan ökar risken för intrång, spioneri och den personliga integriteten kan sättas på spel. Friheten betyder allt - men den har ett pris.
Hokulv är inte uppkopplad
2012-07-31, 13:41   #16

fb0r

Medlem

fb0rs avatar

Registrerad: nov 2008

Undrar varför så många får panik över att någon ska hacka deras trådlösa?

1) Slå av WPS i routern. (Det är alltid det första jag gör på varje router jag konfigurerar.)

2) Kör WPA2 Personal med AES-kryptering.

3) Välj ett hyfsat långt lösenord (det är förvisso fullständig overkill men jag kör ett slumpmässigt lösenord på 45 stora och små bokstäver, siffror och specialtecken) som du byter någon gång om året.

4) Surfa lugnt.

Vill någon objuden gäst ta sig in någonstans så går man, precis som inbrottstjuven, efter den lägst hängande frukten, dvs de som kör med ett fabriksinställt SSID och svag (WEP=att be om att bli hackad) eller ingen kryptering på sina nätverk. Om man inte har tillräckligt med koll och inte absolut har ett behov av det, så finns det ingen anledning att börja pilla med egna lösningar som ex. WPA2 Enterprise (+ RADIUS), gömma sitt SSID (vilket tvärtom kan ställa till mer problem än det löser och dessutom: om någon har kunskap/resurser/vilja nog att knäcka ditt wifi så har dom också tillräckliga kunskaper och mjukvara för att kunna hitta ditt dolda SSID) eller annat hyss.

Bor mitt inne i stan med massor av folk som bor i närheten och passerar mitt fullt synliga nätverk varje dag, har rätt hyfsad koll på mina routerloggar och har aldrig någonsin råkat ut för ens ett enda hack-försök trots att jag kört trådlöst i 3-4 års tid och alltid har min router igång 24 timmar om dygnet.

Citat:
Ursprungligen inskrivet av Firkraag Visa inlägg
Så mitt WPA-2+AES @Asus RT-N66U är inte längre säkert? Risken att någon hackar det är dock ganska liten?
Som shenjin redan svarat: nej.

Se bara till att WPS är avstängt i routern och att du använder WPA2-Personal med AES-kryptering, ett unikt SSID (signalerar om inte annat en ev. angripare att du har tagit dig tiden och mödan att ändra från fabriksinställningarna i din router vilket bara det avskräcker) och ett hyfsat starkt lösenord.
fb0r är inte uppkopplad
2012-07-31, 15:54   #17

Kr^PacMan

Hedersmedlem

Kr^PacMans avatar

Plats: QuakeNet

Registrerad: jul 2001

För er som är mer insatta - om man använder WPA2 Enterprise med authensering mot en RADIUS-server på Linux/Unix - är man "drabbad" då? Eller handlar det bara om man kör själva RADIUS-authenseringen med MSCHAPv2 mot en Microsoft RADIUS-server? Eller har jag fått allt om bakfoten?
__________________
SWECLOCKERS.COM
WS: Asus P9X79 :: Core i7 3820 @ X.X GHz :: 32 GB Corsair Dominator @ 1xxx MHz :: Corsair H80 :: Samsung 830 256 GB :: Samsung Syncmaster S27A950D
If Quake was done today :: Blogg :: Apache-Pong med Logstalgia :: Nytt serverrum (under uppbyggnad)
Kr^PacMan är inte uppkopplad
2012-07-31, 16:51   #18

shenjin

Medlem

Plats: I mitt cluster

Registrerad: okt 2008

Citat:
Ursprungligen inskrivet av Kr^PacMan Visa inlägg
För er som är mer insatta - om man använder WPA2 Enterprise med authensering mot en RADIUS-server på Linux/Unix - är man "drabbad" då? Eller handlar det bara om man kör själva RADIUS-authenseringen med MSCHAPv2 mot en Microsoft RADIUS-server? Eller har jag fått allt om bakfoten?
Attacken är mot protokollet i sig själv så platformen som RADIUS autensieringen kör på är helt irrelefant.
Kör du MS-CHAPv2 eller ännu värre MS-CHAPv1 så är du rökt so to speak.
Men som flera pekat ut redan, MS-CHAPv2 är ett väldigt gammalt protokoll och har blivit bevisat svagt flera gånger tidigare av bl.a bruce schneier med kollegor.

För att ge lite perspektiv, det introducerades i samband med NT 4.0 SP4, och fanns som en uppdatering för Win 95/98. Det är GAMMALT

Edit:
Lite bokstäver som fattades lol
__________________
"Riktig fakta? kolla ut genom fönstret på snön och all jävlighet där har du riktig fakta, eller de som går där i kylan, idioter, det är riktig fakta" -- Ett fyllo på bussen, ganska trevlig ändå :)
shenjin är inte uppkopplad
2012-07-31, 22:09   #19

ZerxXxes

Medlem

Plats: Västerås

Registrerad: dec 2008

Citat:
Ursprungligen inskrivet av Kr^PacMan Visa inlägg
För er som är mer insatta - om man använder WPA2 Enterprise med authensering mot en RADIUS-server på Linux/Unix - är man "drabbad" då? Eller handlar det bara om man kör själva RADIUS-authenseringen med MSCHAPv2 mot en Microsoft RADIUS-server? Eller har jag fått allt om bakfoten?
Det beror på vilken metod du använder.
Med PEAP-MSCHAPv2 och ett riktigt certifikat så körs MSCHAPv2 inne i en TLS-tunnel så då är man safe.
Kör du EAP-MSCHAPv2 som inte använder TLS så kommer du vara sårbar.
__________________
Cisco-certifierad nätverksspecialist
www.best-practice.se
ZerxXxes är inte uppkopplad Folding
Sök jobb