就在你以为你的无线网络被锁定的时候,一套全新的漏洞和黑客工具攻击了你。如果配置正确,WPA2、PEAP、TTLS或EAP/TLS可以支持您的网络。保护客户要困难得多。约书亚·赖特在最近的一篇文章中谈到了这些话题足球竞猜app软件闲谈,聊天
莱特以他的安全博客WillHackforSushi.com而闻名。他也是SANS研究所为期六天的课程《评估和保护无线网络》的作者。此外,他还是一长串安全会议上受欢迎的演讲者。
Moderator-Julie:欢迎并感谢你们的到来。我们今天的嘉宾是约书亚·赖特,他以不敬的安全博客而闻名WillHackforSushi.com(不过,他说,他更愿意为了挑战而动手,而不是为了生鱼。)他也是SANS研究所为期六天的课程《评估和保护无线网络》的作者。而且他在很多安全会议上都很受欢迎。
Josh_Wright:欢迎大家,感谢大家的到来。希望你有一些关于无线安全、黑客、寿司或1975年AMC Gremlin修复(我的第一辆车)的致命问题要问我。所以,联系我,我会尽我所能回答尽可能多的问题。
Josh_Wright:顺便说一下,她叫菲比(格莱姆林)。
Moderator-Keith:在我们等待提问的同时,我们将提供一个预先提交的问题,乔什已经回答了。问:一般来说,企业的无线网络安全状况如何?
Josh_Wright:企业正在做……更好。我们看到越来越少的开放网络和越来越多的组织从WEP转向WPA/WPA2。WEP网络仍然占有相当大的份额,有时是出于支持传统无线客户端(如VoIP电话或符号扫描仪)的需要。与我交谈过的许多企业都对其WPA/WPA2网络的安全性感到放心,但它们往往没有意识到这只是无线安全策略的一部分。未能解决客户端配置和安全问题、流氓检测和家庭/移动用户使组织暴露在攻击之下。
Atome:您对覆盖式和集成式无线IDS/IPS解决方案有什么看法?
Josh_Wright:覆盖供应商通常有一个强大的产品,因为覆盖供应商只做无线入侵检测系统(WIDS)产品。那些必须要做WIDS、无线传输、硬件以及所有与之相关的QA和测试的供应商有更多的担忧,而且可能没有那么复杂的产品。也就是说,overlay产品是脆弱的,因为它们不知道网络上使用的加密密钥——它们只能查看第1层和第2层。集成供应商有优势,他们可以看所有的交通网络上,不仅分析层1和2,一直到第七层的(但不是8和9层,金钱和政治,我们都知道,)(请注意,在wid的更多信息,看看杰克的关于这个主题的白皮书)
兆瓦:WPA-PSK或WPA2-PSK的安全性如何?
Josh_Wright:众所周知,基于psk的身份验证机制很容易受到离线字典攻击。我编写了第一个WPA/WPA2-PSK攻击工具“coWPAtty”。(明白了吗?“牛肉饼”——就像牛……粪便)。像Aircrack-ng这样的新工具甚至更快。PSK机制的主要问题是相同的共享秘密存储在所有设备上。我正在和一位使用WPA2-PSK无线设备进行手持信用卡交易的客户交谈。它们是符合PCI标准的(因为PCI要求WPA或所有与WEP有关的限制),但它们是脆弱的,因为当设备丢失、被盗或交付服务时,PSK被披露,任何人都可以得到设备。企业应该使用802.1X而不是基于PSK的身份验证策略,以实现更强的身份验证和每个用户唯一的密钥。
PeterDiamond:在您的计算机上禁用文件和打印共享是否会阻止同一无线网络上的其他用户访问您的计算机文件?
Josh_Wright:在某种程度上是的,但不是100%。其他服务(如远程桌面协议)仍然是公开的。还要记住,任何用户都可以在他们的工作站上安装VNC,这对攻击者来说是一个金矿。当我做渗透测试时,我发现机器运行VNC,我打开香槟,因为我知道网络被破坏了。
WireGuy:你是说,你可以与安装在系统上的任何版本的VNC pwn网络?
Josh_Wright:没有,但我还没有失败过。我肯定,您可以进行安全安装,但根据我的经验,VNC安装几乎总是由终端用户完成的,没有帐户锁定、没有登录监视和弱密码。
Moderator-Keith:预提交的问题:问:组织应如何应对驱动程序漏洞的威胁?
Josh_Wright:由于驱动程序漏洞可以将工作站暴露给远程危害,而且由于该漏洞在内核空间被利用,绕过了本地安全机制(如特权分离、入侵防御机制、间谍软件和反病毒工具等),这是一个严重的威胁。组织应该首先编制一份他们在组织中安装的所有无线驱动程序的清单,并定期检查供应商的网站以获取驱动程序的更新。
我还编写了一个工具来帮助枚举Windows主机上已安装的驱动程序,其中包括一个漏洞评估组件。这个工具叫做WiFiDEnum。这是一个免费的工具http://labs.arubanetworks.com/wifidenum, WiFiDEnum通过您的有线(或无线)网络扫描主机,并枚举所有已安装的无线驱动程序,使用已知漏洞的本地数据库,让您知道您何时暴露于驱动程序威胁。
Alanm:WPA2现在被认为是非常安全的吗?我们应该觉得使用它很好吗?还是它仍然容易受到攻击/漏洞的影响?
Josh_Wright:WPA2提供了强大的加密,并指定了强大的身份验证机制,如PEAP、TTLS和EAP/TLS,因此它是组织的强大策略。这些实现的常见问题是当人们对PEAP和TTLS的客户端设置配置错误时,就像我几周前在Shmoocon与来自Foundstone的Brad Antoniewicz讨论的那样(幻灯片见www.willhackforsushi.com,视频将在shmoocon.org不久)。如果PEAP和TTLS没有正确配置,攻击者可以模拟您的RADIUS服务器,访问受害者的内部身份验证凭证,可能会泄露用户的密码,或者让攻击者访问用户的MS-CHAP挑战响应,这几乎同样有效。
McQ:对于您之前的观点——如果企业愿意替换它们仅使用wep的设备,那么今天的WPA2扫描仪在多大程度上可用?有丰富的选择吗?
Josh_Wright:针对制造商、零售商和食品/酒店行业的较新的手持设备已经出现,但仅在过去一年左右。这对许多组织来说是一个问题,因为这些设备的摊销时间表通常很长(7-10年),这使得升级很困难。我不能说有大量的选择,但客户需要告诉这些供应商他们需要WPA2,并停止购买任何不支持WPA2和强EAP类型(如TTLS和PEAP或EAP/TLS)的东西。
Moderator-Keith:这里还有一个预先提出的问题:你认为无线局域网会取代有线以太网成为企业首选的网络吗?
Josh_Wright:我相信,在行业经历了早期安装的磕磕绊绊之后,利用802.11n技术,部署无线办公将是未来几年的热门选择。仅仅从成本的角度来看,无线在新设施中通过有线局域网具有巨大的吸引力。再加上802.11和VoIP系统的移动性和汇聚的内在好处,用无线取代以太网也有一些切实的好处。
艾德:是否正在制定控制级安全标准(防止DoS和MIM攻击)?
Josh_Wright:IEEE工作组正在开发减轻无线网络(IEEE 802.11w)中欺骗管理帧的技术,这将减轻、去认证和解关联flood攻击。然而,这并不能阻止DoS攻击(抱歉,我对这个话题有点兴奋;)。802.11 w将解决两种流行的DoS攻击,但不会解决其他DoS攻击如灯塔DS设置欺骗我告诉受害者美联社255频道,或触发迈克尔·对策TKIP漏洞,或通过执行A-MSDU块Ack DoS攻击,802.11 n网络的脆弱性。有关无线攻击的更多信息,请查看www.wve.org.
艾尔:你认为对于非技术人员来说,如何在家中保护无线设备的用户培训有多大帮助?
Josh_Wright:当然,我认为终端用户培训是无线安全的一个重要因素。例如,任何人都可以模仿T-Mobile,使用“tmobile”SSID,假装是要求信用卡号码或身份验证凭证的合法网页。用户需要了解在浏览器中单击“确定”以验证警告的风险,并在提交敏感的身份验证凭证之前确保始终使用SSL网站。为了支持这一点,作为企业网络管理者,我们需要勤奋地正确部署SSL网站。我知道你们中至少有两三个人(或者90%的人)有一个网站,你告诉你的用户:“哦,在那个警告处点击Ok,不用担心。”这就会发送这样的信息:这种行为是可以的,当攻击者冒充一个网站时,最终用户会认为,“愚蠢的ie”,并被攻破。
PeterDiamond:约书亚,请告诉我你对禁用路由器SSID的想法。
Josh_Wright:这是个坏主意。我知道PCI规范要求你这样做,我已经告诉他们需要从规范中删除这个要求。假设你是一个政府基地,你没有告诉你的特工你的位置。他们不得不四处走动,不停地问每个见面的人“你是政府基地吗?”最终,一些狡猾的黑客或坏人会说:“见鬼,我是你的基地,来吧,和我分享你的秘密。”这本质上就是SSID隐身所发生的事情,你必须询问你遇到的每个AP他们想要的SSID是否可用,允许攻击者在机场、咖啡店、飞机上等假扮你的SSID。简而言之,不要隐藏你的SSID,但也不要让你的SSID成为“性感黑客的目标”。:)
PatrickT:802.11n将如何(如果有的话)改变安全性状况?
Josh_Wright:802.11n以一些新的方式暴露了我们:无线AP的范围更大,保守的是802.11a范围的1.5倍,宽松的是802.11a范围的4倍。2.WIDS更难监控。在802.11n中,我们有20 MHz和40 MHz的信道,这使得WIDS系统在信道上花费的时间越来越少,而在信道跳转上花费的时间越来越多,这降低了它们能够捕获攻击的机会。3.隐藏的盗贼。802.11n引入了一种称为Greenfield模式的仅用于802.11n设备的技术,该技术使得遗留的802.11a/b/g WIDS设备无法检测非法AP或用户流量。4.新DoS攻击。 The 802.11n specification has two mechanisms for aggregating frames, which has prompted changes in how devices acknowledge transmitted frames. This has opened up DoS vulnerabilities, where an attacker can stop 802.11n devices from accepting any more frames. 5. New drivers, the complexity of 802.11n is largely felt by client devices, and new device drivers have to be written to support the specification and new hardware. With the complexity of 802.11n, this has lead to new driver vulnerabilities, which can be exploited by an attacker.
Moderator-Keith:我们有很多问题要问,所以请耐心点。乔什在尽可能多地做。与此同时,这里有另外一个预先提交的问题和答案:
Josh_Wright:我个人使用Wi-Fi热点,但我的所有流量都通过加密隧道传输。需要利用热点的组织应该使用IPSec等数据隧道机制,这样客户端就不会在热点位置传输未加密的流量。注意,在启动加密的隧道会话之前,还必须确保热点上的身份验证组件的安全。帮助用户了解与网站SSL错误相关的风险,并确保用户仅通过SSL会话发送敏感的身份验证凭证,将有助于减少热点模拟攻击。
Russ H:关于蓝牙接入点,你看到了什么新的风险?
Josh_Wright:蓝牙ap对组织来说是有问题的,因为它们可以提供相同范围的802.11b/g ap,但不能被802.11 WIDS系统检测到。这允许攻击者将一个流氓引入您的网络,从而逃脱WIDS系统的检测。这是我以前在医院用过的东西,我假装“胃痛”,把蓝牙AP插入候诊室的电源和RF45 LAN插孔。我用它从街对面的停车场黑进了医院几周直到我的连接消失。在渗透测试结束的时候,我要回我的蓝牙AP,但安保团队却茫然地盯着我。他们:“美联社什么?”我:“我藏在候诊室的美联社。”他们说:“我们一直没找到美联社。”是啊,有人偷了我的AP!
延伸:你在医院用的是什么蓝牙AP ?
Josh_Wright:Belkin F8T030。
EAP-Watcher:你最近协助布拉德·安东尼维奇破解了PEAP或EAP/TTLS。什么恳求或本地解决方案适合不那么精明的无线支持个人?
Josh_Wright:Microsoft Windows WZC请求器非常好,因为您可以使用GPO配置所有适当的设置来保护PEAP。此外,Funk/Juniper Odyssey supplicant非常好,因为您可以使用权限编辑器设置权限来禁止用户将新的RADIUS服务器添加到可信列表中,并在MSI文件中构建一个静默安装程序。从本质上讲,您需要能够说,“禁止用户接受我没有明确允许的RADIUS服务器”,并有一种方式来推动远程安装。我对苹果OS X的请求很失望,因为这两件事我都做不到。
GAWN认证:对于为什么PCI规范仍然允许使用WEP,您有什么想法吗?考虑到这些已知的漏洞,企业不是在自找麻烦吗?当他们因使用已知的易受攻击的无线加密方法而被股东起诉并被成功黑客攻击时,他们还能以遵守PCI协议为借口吗?PCI何时将从符合标准中删除WEP支持?
Josh_Wright:首先,IANAL(我不是律师——呼!),所以我不能在这里给你提供法律建议。PCI规范仍然支持WEP,因为他们不得不这样做,许多零售商都有无线WEP设备,至少在未来几年内都需要支持。这是否允许人们在被击倒时躲在PCI后面?据我所知,商户不受银行支付卡的保护,但不受联邦贸易委员会或民事诉讼的保护。
Moderator-Keith:问:如果你是杜克大学的一名学生,你想黑进他们新的802.11n网络,你会怎么做?
Josh_Wright:我个人并不反对杜克大学或他们的无线网络,但作为一个通用的例子,以下是攻击者可能采取的一些步骤:
1.谷歌;用谷歌搜索“site:duke.edu wireless”,会找到一些有趣的链接,包括无线FAQ和如何设置你的机器连接到网络的一步一步的说明。事实证明他们使用开源的NetReg产品来提供访问控制,并使用开放的SSID。
2.决定进攻计划;如果攻击者的目标是学生信息,他们可以使用Kismet或Wireshark等工具进行数据包嗅探,并识别通过明文传输的流量。如果有学生使用的内部网站来检索他们的账户信息,攻击者可能会尝试使用中间人攻击,使用Ettercap之类的工具来冒充合法服务器并窃取认证证书。如果攻击者想要访问学生的电子邮件或其他资源,他们可以使用Sidejacking技术,即窃取Gmail、Yahoo!邮件、Hotmail等。由于这些网站只有认证部分是加密的,攻击者可以窃取登录用户的合法会话cookie,并在他们自己的浏览器中使用该cookie来访问电子邮件,就像他们是合法用户一样。
3.Pwnage。
这些措施实际上与杜克大学没有什么特别的关系,但更多的是一个经常折磨学校的普遍弱点。由于学生把自己的电脑带到校园,学校最终支持学生可能拥有的几乎所有东西,这往往排除了强大的加密和身份验证机制。作为一名前。edu网络管理员,我可以说保护一所大学的客户端设备不是一件容易的任务。
McQ:即使完全部署了WPA2/EAP,在无线局域网中使用IPSec vpn仍然被认为是最佳实践吗?
Josh_Wright:我会说没有;如果你能做到,那就太棒了。但这对设备来说是一个很大的负担。要求多层加密将使用户更加难以利用无线网络,这可能会减慢采用速度,并最终使您从无线获得的好处变慢。此外,轻量级设备(如PDA和VoIP电话)也不允许进行多层加密。即使在笔记本电脑设备上,使用WPA2和IPSec的AES-CCMP加密也会导致严重的CPU负载,从而显著降低电池寿命,这将使您的用户不高兴。我对WPA2和PEAP、TTLS或EAP/TLS都很满意,只要配置正确并经过审计以验证安装。
镍:Hi Josh,我读到一个使用WPA或WPA2尽可能安全的家庭无线网络,SSID需要尽可能独特。你能解释为什么会这样吗,尤其是在SSID是可见的情况下?
Josh_Wright:仅知道SSID不足以访问网络,您需要密码短语来加入WPA/WPA2-PSK网络。我在家里使用WPA- psk(我妻子的USB卡只能使用WPA),我有一个相对较长的密码(“家庭电影之夜”——对任何想要拜访和闲逛的人来说)。我认为这对我来说很好,因为我的设备数量有限。如果有人想来黑我的无线网络,见鬼,请敲门介绍你自己,这样我们就可以喝杯咖啡,一起出去玩什么的。:)
延伸:我的公司正在考虑使用kismet和openwrt路由器建立一个覆盖式无线IDS。这个解决方案与市面上的商业IDS系统相比如何?有什么好的资源可以详细说明如何做到这一点吗?
Josh_Wright:一本伟大的书是…WRT54G终极黑客保罗·阿萨多利安(Paul Asadoorian)和拉里·佩斯(Larry Pesce)所著。他们还在SANS研究所就同一主题教了一个为期两天的课程,并向您展示如何使用Kismet和常用的Linksys WRT54G硬件便宜地创建WIDS系统。当我做更多的咨询工作时,我用同样的硬件发送给客户,他们会把它安装到他们的网络上,让我可以远程访问,这样我就可以远程审计了。在Paul和Larry的课上,他们还讨论了在WRT上做其他有趣的黑客工作。我在等WRT54G战斗机器人,在那里AP会在办公室里开车,用锤子之类的东西击碎任何流氓AP。,)…的照片?
BR:EV-DO有多安全?
Josh_Wright:我想说的是,通过暗中保护。我们对EV-DO的安全性了解不多,而且对我来说,闻一闻这些流量在美国都是违法的,所以几乎没有关于它的安全性的研究。在德国,一个名为黑客选择(THC)的黑客组织对GSM协议做了一些分析,他们成功地使用软件定义的无线电(SDR)编写了自己的GSM嗅闻器,并使用现场可编程门阵列(fpga)破解了加密。这使得他们可以拦截和记录GSM电话和短信。电信供应商很长一段时间以来一直依赖于默默无闻。我认为,随着越来越多的人能够使用SDR技术和包括fpga在内的加密加速器,我们将在未来几年看到这种变化。有关GSM黑客的更多信息,请访问开放密码网站www.openciphers.org。
TomL:你认为11n会比当前的a/b/g ap更安全吗?还是安全性仍然由终端用户来配置和启用(即11n中的安全性将是默认配置)?
Josh_Wright:我认为802.11n在短期内会引入更多漏洞,直到行业赶上来。不管打什么枪都不安全。也就是说,它在带宽和可靠性方面的表现要好得多,改变了客户端通过MIMO接收器与射频网络交互的方式。802.11n用户将能够有一个更可靠的网络体验,这也将使管理员高兴。不幸的是,802.11n是非常具有破坏性的,所以从现在到它变得普遍时,将会有一些痛苦。
Moderator-Keith:这里还有一个预先提交的问题:最近Bluetooth SIG关于使用Wi-Fi信号进行高速数据传输的声明有任何安全问题吗?
Josh_Wright:这杀了我。802.11是普遍存在的,实现了高数据速率,并受到极大的欢迎。蓝牙试图通过超宽带实现高数据速率,但它的速度似乎没有Bluetooth SIG想要的那么快,所以他们也会加入802.11的潮流。Bluetooth SIG发送关于Bluetooth-WiFi的新闻稿,计划在需要时利用WiFi进行高速数据传输。但它不会被称为蓝牙- wifi (SIG还没有决定名字),它可能在SIG 3.0规范中,也可能不使用802.11安全机制。而且这并不能说明UWB不是蓝牙的可行选择。你还不明白吗?我也是,蓝牙社区的其他成员也是。就我们所知的安全威胁而言,我们知道蓝牙E0加密机制存在严重缺陷,但目前还没有任何可用的工具来实施攻击。如果将E0应用于802.11技术,这种情况可能会改变,因为有许多工具可用来捕获802.11流量。 We also know that the new Secure Simple Pairing security mechanism used for Bluetooth, while an improvement over the pre-2.1 Bluetooth authentication mechanisms, fails on devices such as Bluetooth headsets leaving users exposed to man-in-the-middle attacks.
伍德罗:企业是否遇到了很多KARMA或其他无线网络钓鱼攻击?最好的防御方法是什么?
Josh_Wright:业力让我把票投给了2006 - 2007年度最恐怖的攻击工具。幸运的是,Windows XP SP2解决了很多KARMA利用的问题,Windows Vista也一样,假设你使用的是WZC。如果您使用的是第三方驱动程序管理器,如Intel或ThinkPad实用程序,那么您就很不幸了。WIDS监视系统在这里可以帮助您,但是当KARMA攻击者在机场利用用户时,它就没有帮助了。不幸的是,使用独立的强协议(如SSL)是对攻击的最佳防御。:(
迈克:WPA2-AES和EAP-Fast Radius的安全性如何?
Josh_Wright:EAP-FAST是思科为解决思科LEAP的弱点而设计的。几年前,我向思科报告了LEAP的弱点,并在EAP-FAST处于早期开发阶段时,有机会对其进行了评估。当客户端以安全的方式提供时,EAP-FAST是安全的(例如PAC是通过可靠和安全的传输来交付的)。然而,这就是EAP-FAST的缺点。大多数用户使用EAP-FAST Phase 0自动PAC配置机制,这使得客户端容易受到中间人攻击。在这种攻击中,攻击者假装自己是提供EAP-FAST服务的RADIUS服务器,当受害者连接到邪恶的RADIUS服务器时,受害者会公开自己的身份验证凭证。布拉德和我想让这次袭击为Shmoocon工作,但我们没能及时完成。密切注意willhackforsushi.com一旦我让它工作,更新。
Moderator-Keith:问:就无线安全而言,最难配置的是什么?
Josh_Wright:管理客户端设备的安全性是最难解决的问题。错误配置的设备、不正确的客户端安全配置、特设网络和驱动程序漏洞都是需要解决的问题,以确保客户端安全。企业管理系统如Windows Server 2003组策略在这里有帮助,但只有当您可以为您的用户应用严格的管理策略时才有效。如果您需要灵活性和集中式管理,那么企业通常就不太走运了。
Oestec:一个100%安全的无线网络真的有可能实现吗?
Josh_Wright:这很难说,我不知道你认为什么是100%安全的。我对我的家庭网络的安全性100%的满意,我使用的是WPA-PSK。更重要的是什么对你的组织来说是合理的。我认为,几乎所有的组织都可以通过仔细的计划、部署和监控达到令人满意的安全级别。
Moderator-Keith:因为有这么多的问题,我们把谈话时间再延长30分钟,或者直到Josh因为打字而抱怨腕管综合症。
迈克:你对遏制美联社有什么看法?
Josh_Wright:AP遏制很酷,它让你有机会阻止流氓AP,当用户在他们,而你进入网络壁橱,拿出你的大棒/蝙蝠/武士刀,并找到谁部署了你的网络AP。不过,你不应该100%依赖它,你应该始终把它作为一种短期机制来阻止攻击者,而不是对流氓设备的长期修复。此外,并非所有供应商的恶意遏制产品都是相同的,有些产品存在严重缺陷(参见http://www.willhackforsushi.com/papers/wlan-sess-cont.pdf).
Dbranch:在AP遏制的问题上,是否也存在责任风险(在您意外地包含了邻居的AP,因为您的系统认为它是流氓的情况下)?难道你不需要相当确定它确实是一个流氓吗?
Josh_Wright:我只是在等待圣何塞的两个竞争的com开始互相攻击的情况。ap离线、在线和再次离线。无政府状态,狗和猫住在一起,希拉里提名安妮库尔特作为她的竞选伙伴,等等。严肃地说,您确实需要谨慎对待您使用恶意AP控制的DoS对象,并且我所知道的所有供应商产品都采取步骤关联AP确实在您的网络上。不过,我们还没有看到很多试图利用这一点的攻击。自我注意:想办法操纵流氓AP屏蔽让网络互相攻击。可怕的问题!: )
Moderator-Keith:另一个预先提交的问题:由于企业机器上需要新的驱动程序和/或涉及的速度/feed, 802.11n将如何改变安全态势(如果有的话)?
Josh_Wright:802.11n是一个非常复杂的协议。大量新的支持数据速率、新的管理框架和信息元素、新的正向确认机制和两种帧聚合策略意味着802.11n驱动程序中有大量的新代码。这意味着许多新代码可能没有从安全角度评估得很好。在今年的RSA2008上,我将讨论802.11n安全威胁,其中一个主题是新的驱动程序漏洞的威胁。在这次会议上,我将演示我为Metasploit项目编写的新的802.11n模糊工具,用于识别802.11n信息元素和802.11n聚合MSDU框架中的解析错误。(Fuzzing是一种漏洞发现技术。)
LP:你认为许多针对驱动程序和AP固件漏洞的Wi-Fi模糊攻击实际上是在野外发生的吗?
Josh_Wright:人们是否在野外利用这些攻击,这很难说。我知道,如果您有一个使用EAP/TLS、WPA2、WIDS和客户端安全的安全无线网络,那么我将使用它作为一种机制来闯入您的网络。对于攻击者来说,它有很多优点,比如对受害主机的ring0访问权限(比“管理员”拥有更多的特权)、易受攻击的驱动程序在系统上停留很长时间、很少有管理员注意到这个问题等等。另外,还记得2007年TJ Maxx在WEP上被击溃的事吗?那是在我们知道WEP被击溃的六年之后。无线漏洞和漏洞往往会存在很长一段时间,而那些为了盈利而使用这些工具的人需要一段时间才能赶上来。
条纹:是时候点名了。你能告诉我们,在家用和商用安全方面,你最喜欢哪两个品牌?
Josh_Wright:没有供应商是完美的……但我在Aruba Networks工作,我知道我们安全方面的内幕交易,我认为它在部署方面有很多有用的优势。对于家庭使用,我使用的是带有OpenWRT.org定制固件的Linksys WRT54G,将其作为我自己的防火墙和NAT盒来管理。
x409:加密管理框架有多重要?
Josh_Wright:今天,没有那么多了。当我们开始在802.11k(无线电资源管理)和802.11v(无线网络管理)中披露更多的敏感信息时,这将是一个更大的问题。在802.11w中保护、解除认证和分离帧的方面对我来说并不是那么重要。一些拥有早期802.11w实现的厂商将其吹捧为无线DoS攻击的解决方案,但事实并非如此。我写了更多关于这方面的文章我的阿鲁巴岛博客.
Moderator-Julie:对于那些一直呆到聊天结束的人,我们有一个惊喜。足球竞猜app软件Network World将赠送一本由David Maynor, K.K. Mookhey, Jacopo Cervini, Fairuzan Roslan和Kevin Beaver合著的《Metasploit Toolkit》。乔什说这本书很好。为了获胜而参赛。用电子邮件把你的姓名和邮寄地址发给我。我会在今天聊天结束前五分钟宣布获胜者。
Go:对于RADIUS服务器,IAS是一个很好的解决方案吗?你能推荐一个更安全的吗?
Josh_Wright:IAS是一种很好的RADIUS服务器,因为它与Windows server一起提供,并且在以微软为中心的环境中集成得很好。如果您需要做一些非PEAP的事情,那么它是一个糟糕的RADIUS服务器选择,因为它只支持PEAP、EAP- md5(您永远不应该使用)和EAP/TLS。Funk/Juniper Odyssey服务器有许多受支持的EAP类型,并能很好地集成到许多环境中,但您需要为此支付额外的费用。我个人很喜欢FreeRADIUS,尽管它的初始设置需要PITA。不过,一旦它的设置,它是磐石和令人敬畏的表演者。
Moderator-Keith:另一个预先提交的问题:问:你能解释一些可以攻击无线鼠标和键盘的漏洞吗?
Josh_Wright:在上周的Blackhat联邦会议上,Max Moser演示了对27mhz键盘和鼠标的攻击,他能够远程捕获和“解密”按键和鼠标位置。我简单地使用“解密”一词,因为正如Max发现的那样,这些设备通常只使用XOR机制来使用16位“密钥”保护数据。有了这个功能,就可以创建一个远程的、不可检测的击键记录器,它可以记录用户输入的每一次击键。此外,似乎还可以注入任意击键。Max指出WinKey + R(打开Run对话框)对于试图破坏系统的攻击者可能特别有用。
伍德罗:如果KARMA是2006/2007年最可怕的无线攻击,那么2008年及以后最可怕的是什么?
Josh_Wright:嗯,我认为攻击PEAP网络是相当可怕的,但我有点偏见。:)看我关于这个话题的帖子。我对无线驱动程序攻击感到紧张,而且我认为我们才刚刚开始看到这种攻击趋势的开始(最值得注意的是,商业供应商出售的产品可以为你测试你的驱动程序)。
Joemama:是什么让攻击PEAP网络变得如此可怕?
Josh_Wright:如果我破坏了您从PEAP获得的身份验证凭证,那么我就得到了您的用户名和密码,很可能是您的MS Windows域用户名和密码。这也让我可以访问您的域服务器,Outlook,文件服务器,MS SQL, Sharepoint等。我觉得这有点吓人,你说呢?:)
Fracxion1:你会推荐家庭设备使用MAC过滤吗?它真的提供了有价值的额外安全保障吗?(顺便说一句,SANS 2007拉斯维加斯会议的主题演讲非常精彩。)
Josh_Wright:谢谢大家来参加SANS会议。我得到了很多乐趣(对于那些错过它的人,我演示了窃听蓝牙耳机,并注入任意音频。非常有趣。这是视频链接在YouTube上。不幸的是,MAC过滤对您的作用不大,因为攻击者可以使用Kismet之类的工具轻松地了解您网络上的所有有效MAC地址(在运行Kismet时,按“C”获取所有客户端列表)。它很容易模拟一个MAC地址,在Windows上使用macchanger,在Linux上“ifconfig eth0 ether hw 00:11:22:33:44:55”,在OS X上“ifconfig eth0 hw 00:11:22:33:44:55”。
GLH医院:我们使用带有证书的PEAP进行身份验证。还有其他的建议吗?
Josh_Wright:确保始终执行证书验证。还要确保在请求方配置设置中指定RADIUS服务器的名称(与RADIUS服务器证书上的名称匹配)。最后,确保拒绝任何其他证书,如果收到以前无法识别的RADIUS证书,不要提示用户。在Shmoocon, Brad和我讨论了如何为MyCompany.com获得VeriSign证书,并将其交给客户。默认情况下,Windows请求者将提示用户接受或拒绝合法证书,而不确定颁发证书的组织。我们相信任何普通用户都会说“接受”。因为,老实说,大多数IT专业人员都不了解证书层次结构,我们怎么能期望我们的最终用户做出这样的决定呢?
Joemama:PEAP能和TLS一样安全吗(使用和不使用PEAP的客户端证书)?
Josh_Wright:手柄不错,乔玛玛。:) PEAP可以选择作为PEAP-EAP-TLS使用,首先使用PEAP,然后使用EAP/TLS作为内部身份验证机制(这是由WZC和IAS支持的,我相信Funk/Juniper Odyssey也支持)。老实说,如果你要遇到这种麻烦,我还是用EAP/TLS吧。
EAP-Watcher:除了客户端配置错误的问题外,对于大多数组织来说,PEAP是合适的、安全的802.1x身份验证吗?
Josh_Wright:是的,完全。它与Windows很好地集成在一起,在Windows XP和Vista中有本机支持,在Windows IAS中也有集成支持。只要您解决我前面指出的配置问题,它就会做得很好。
布巴:我最近听到一些关于利用Flash播放器等Web浏览器插件对ap进行攻击的传言。这是企业的问题,还是主要是SOHO一族的问题,还是只是吸烟的问题?
Josh_Wright:有一些关于利用经常通过客户端利用(如浏览器利用)具有弱配置属性的home AP的讨论。这种攻击的“酷”(读作:邪恶)部分是,如果我可以改变你的家庭AP的配置,我可以做“酷”(读作:邪恶)的事情,如改变你的DNS服务器到我的邪恶DNS服务器。然后我就可以通过伪造DNS来操纵你的流量。我还可以以100万美元的价格扣留你的路由器。
乔恩:对于在NetWare或Linux上与eDirectory一起工作的RADIUS,有什么建议吗?还是说FreeRADIUS是门票?
Josh_Wright:FreeRADIUS可以很好地与NetWare系统合作,或者你也可以使用Funk/Juniper Odyssey这样的产品。
GAWN认证:对热点问题的评论。最佳实践是使用不同的凭证对热点进行身份验证,然后一旦可以访问Internet,就在VPN身份验证阶段使用不同的凭证集。这确保了通过无线链接的热点凭证的泄露不会导致您的VPN的泄露。第二个最佳实践当然是在其中一个或两个身份验证事件中进行双因素身份验证,以消除可重用密码泄露的风险。你的想法乔希?
Josh_Wright:从安全角度来看,双因素身份验证总是可取的,但与Windows缺乏集成(例如增加部署成本)和普遍的“不友好”(好吧,我编造了这个词)通常阻碍了无线的采用。您必须在安全性需求、部署的复杂性和对最终用户的有用性之间取得平衡。如果你能侥幸逃脱,那就一定要考虑两个因素。如果不能,那也不是世界末日,而且您可以很好地使用密码身份验证。
艾凡:你觉得大卫·卡拉丁的太极训练会让我成为超级忍者/海盗杀手吗就像他在你的Shmoocon视频里展示的那样?
Josh_Wright:绝对不会。成为超级忍者的唯一方法就是在死亡竞赛中打败海盗。我们要在普罗维登斯开一个搏击俱乐部,如果你想报名的话…好吧,不太像搏击俱乐部,更像Hack或Halo俱乐部,但姑娘们还是很喜欢。
Dbranch:哥们,我也不想告诉你,但姑娘们不喜欢。:)
比伯:还没有人问过你任何关于寿司的问题,所以这里有一个:你是喜欢出去吃寿司(在哪里吃?)还是自己卷寿司?
Josh_Wright:樱花在维肯登街天啊,他们有一种非常棒的黑扇贝简直是世界上最棒的。说到寿司,很多人都不知道,但你在菜里放的芥末不是真正的芥末,而是染成绿色的中国芥末。下次你出去吃寿司的时候,问问服务员有没有新鲜的芥末,你可能会多付钱,但是芥末的味道好极了。
Moderator-Julie:免费书的赢家是尼克·利奇曼。书也可以作为电子书购买.
我们想要感谢你,Josh,今天成为我们的嘉宾,感谢大家的到来!m.banksfrench.com/chat
请在日历上注明我们即将在美国东部时间下午2点进行的谈话,
3月7日(星期五):与451Group直言不讳的尼克·塞尔比(Nick Selby)一起揭穿企业安全神话
3月25日,星期二:尼尔·安德森主持的思科网络简化
Josh_Wright:我只是想感谢大家的到来和这些精彩的问题。是时候去吃点寿司了,作为过去90分钟打字造成的腕管疼痛的奖励。如果你还有其他问题,请随时给我写信。