Discussion:
Tentativi di autenticazione wireless falliti
(too old to reply)
Piero Cavina
2014-10-21 15:33:09 UTC
Permalink
Su una rete wifi aziendale protetta con 802.1x con PEAP, riscontro
degli sporadici tentativi falliti di autenticazione causa nome utente
sconosciuto tipo "123455" o altre stringhe più o meno casuali.
La copertura si estende fino all'esterno, quindi potrebbe trattarsi
sia di dipendenti come di uno che passa per la strada.
Ora potrebbe trattarsi di qualcuno che prova ad entrare in questa
rete, senza sapere neppure cosa sia l'autenticazione enterprise; ma
una cosa strana è che "123455" si è ripetuto varie volte in una
giornata, mi aspetterei che uno lasci subito perdere.
Può darsi che esistano dei dispositivi che provano automaticamente ad
autenticarsi alla cieca per qualche motivo che mi sfugge?
E' possibile tentare di autenticarsi con utente/password senza
disporre del nostro certificato?
--
Ciao,
P.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Massimo Baschieri
2014-10-21 17:47:58 UTC
Permalink
Post by Piero Cavina
Può darsi che esistano dei dispositivi che provano automaticamente ad
autenticarsi alla cieca per qualche motivo che mi sfugge?
Alla cieca mi sembra improbabile, o è un tool o è qualcuno nel raggio di
copertura il cui dispositivo ogni tanto prova ad agganciarsi alla rete e gli
presenta il popup di autenticazione.
Post by Piero Cavina
E' possibile tentare di autenticarsi con utente/password senza disporre del
nostro certificato?
Assolutamente si, con PEAP sta al client decidere se fidarsi di qualunque
certificato gli mandi il server radius o controllarlo, in quest'ultimo caso
serve ovviamente il certificato radice, ma come dicevo prima si tratta di
una impostazione del client.

Ciao,
Massimo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ivan Verri
2014-10-21 18:40:04 UTC
Permalink
Post by Piero Cavina
Su una rete wifi aziendale protetta con 802.1x con PEAP, riscontro
degli sporadici tentativi falliti di autenticazione causa nome utente
sconosciuto tipo "123455" o altre stringhe più o meno casuali.
La copertura si estende fino all'esterno, quindi potrebbe trattarsi
sia di dipendenti come di uno che passa per la strada.
Ora potrebbe trattarsi di qualcuno che prova ad entrare in questa
rete, senza sapere neppure cosa sia l'autenticazione enterprise; ma
una cosa strana è che "123455" si è ripetuto varie volte in una
giornata, mi aspetterei che uno lasci subito perdere.
Può darsi che esistano dei dispositivi che provano automaticamente ad
autenticarsi alla cieca per qualche motivo che mi sfugge?
E' possibile tentare di autenticarsi con utente/password senza
disporre del nostro certificato?
Dal mio punto di vista PEAP non e' il massimo della sicurezza per i
seguenti motivi:

1) Non usa una vera strong authentication ma si appoggia a qualcosa di
esterno, nella maggior parte dei casi un Active directory: questo
permette a qualsiasi dispositivo, anche non aziendale, di tentare di
cottennersi alla rete aziendale.
2) Durante l'handshake il client invia in "chiaro" un pacchetto EAPOL
Indentity Response in cui e' possibile leggere la username (basta
wireshark); questo permette di raccogliere un buon numero di utenze in
un arco di tempo non troppo lungo; dipende da quanto e' usata la rete
wireless.

A questo punto, invece di provare username e password a caso ci si puo'
concentrare sul brute force delle utenze rastrellate.
E qui sorge un ulteriore problema: la possibilita' di dare disservizio
lockando le utenze, dipende dalle policy che si e' scelto di implementare.

Per tornare al tuo problema: e' probabile che i log che vedi siano
generati da un tuo utente che abbia un dispositivo (smartphone?)
configurato male e che nel corso della giornata tenti in automatico di
autenticarsi; a meno di coincidenze astrali vedo complicato che un
passante abbia il vostro stesso SSID e wpa2 PEAP.

Per completezza, leggo da qualche parte che e' possibile usare PEAP in
associazione a EAP-TLS quindi unendo l'autenticazione dei certificati a
quella sull'Active Directory. Onestamente non ne ho mai incontrato
configurazioni del genere anche se MS ne parla:
http://support.microsoft.com/kb/814394

Ivan




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Massimo Baschieri
2014-10-22 22:00:01 UTC
Permalink
Post by Ivan Verri
2) Durante l'handshake il client invia in "chiaro" un pacchetto EAPOL
Indentity Response in cui e' possibile leggere la username (basta
wireshark); questo permette di raccogliere un buon numero di utenze in un
arco di tempo non troppo lungo; dipende da quanto e' usata la rete
wireless.
Vero, ma da seven in poi l'utente che gira in chiaro può essere fittizio.
Indubbiamente però il fatto di usare delle semplici credenziali lo espone ai
problemi legati alla gestione delle credenziali.
Post by Ivan Verri
Per tornare al tuo problema: e' probabile che i log che vedi siano generati
da un tuo utente che abbia un dispositivo (smartphone?) configurato male e
che nel corso della giornata tenti in automatico di autenticarsi
Inserendo degli username a caso?
Post by Ivan Verri
a meno di coincidenze astrali vedo complicato che un passante abbia il
vostro stesso SSID e wpa2 PEAP.
Se il ssid è in broadcast l'access point comunica il tipo di sicurezza e il
tipo di autenticazione, quindi i dispositivi si autoconfigurano e ti
presentano il popup di autenticazione bello pronto, ma utente e password li
inserisce a mano l'utente, a meno che il client non sia un tool di
penetrazione o un pc windows in dominio che tenta di usare le proprie
credenziali di dominio.
Post by Ivan Verri
Per completezza, leggo da qualche parte che e' possibile usare PEAP in
associazione a EAP-TLS
Credo che questa sia una questione di termini, PEAP è protetto dal
certificato del server, cosa che qualcuno considera comunque una forma di
TLS, ma non è la stessa cosa di EAP-TLS dove client e server non usano i
certificati solo per proteggere la comunicazione ma anche per autenticarsi a
vicenda.

Ciao,
Massimo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Marco Gaiarin
2014-10-22 10:52:21 UTC
Permalink
Mandi! Piero Cavina
In chel di` si favelave...
Post by Piero Cavina
E' possibile tentare di autenticarsi con utente/password senza
disporre del nostro certificato?
Si, come ti dicevano la scelta è client-side.

Capita anche qui, e puoi sempre andare a veriicare i mac address con i veri
servizi online; alla fin fine sono tutti cellofoni, di gente che crede di
essere furba, tenta qualche autenticazione e non cancella la rete alla fine
dei suoi test.

Se non cancelli la rete, appena il dispositivo torna in zona riprova in
automatico.


Io sto popolando la MAC address blacklist degli AP, giusto per non trovarmi
i log pieni di fuffa.
--
La tua tana sta in collina, Dr. Dobermann, seimilioni a metro quadro
e tua moglie sembra proprio una regina,
pero` e` la moglie di un ladro. (F. De Gregori)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...