вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування
Привет ! До уваги фахівців з безпеки ІТ та зв'язку. Декілька днів тому були опубліковані підтвердження вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування Наприклад таке підтвердження 27го березня опублікувала і Cisco - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisor... Вразливість більш детально описана тут https://papers.mathyvanhoef.com/usenix2023-wifi.pdf Небезпека досить значна, шанси використання вразливості високі. ............... Коментарии будут ? :-) -- Best regards, Alexander V Soroka http://www.svr.ua/ AS106-RIPE mailto:alex@euro.net.ua
Олександр Васильович, https://youtu.be/Ra0dGPYScLQ 2012 рік. On 31/03/23 13:13, Alexander V Soroka wrote:
Привет !
До уваги фахівців з безпеки ІТ та зв'язку.
Декілька днів тому були опубліковані підтвердження вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування
Наприклад таке підтвердження 27го березня опублікувала і Cisco - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisor...
Вразливість більш детально описана тут https://papers.mathyvanhoef.com/usenix2023-wifi.pdf Небезпека досить значна, шанси використання вразливості високі. ...............
Коментарии будут ? :-)
-- Best regards, Alexander V Sorokahttp://www.svr.ua/ AS106-RIPE mailto:alex@euro.net.ua
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
ну як... в корпоративних мережах (в офісах) він й є VPN'ом itself. інша справа, що зараз більшість трафіку - TLS, тому перехопити дані в повному обсязі не вийде, але: один з відомих векторів атак - отримання інформації про структуру мережі та потоків даних в ній, що може використовуватись в інших векторах атаки. On 31.03.2023 13:21, VASYL MELNYK wrote:
Коментарии будут ? :-)
Пофігу - вайфай використовується виключно для доступу в інтернет, якісь доступи у корпоративну мережу виключно через впн.
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
ну як... в корпоративних мережах (в офісах) він й є VPN'ом itself.
інша справа, що зараз більшість трафіку - TLS, тому перехопити дані в повному обсязі не вийде, але: один з відомих векторів атак - отримання інформації про структуру мережі та потоків даних в ній, що може використовуватись в інших векторах атаки.
Я коли будую мережу з самого початку вважаю, що пароль від wifi знає хто завгодно, у мене парольний wifi відрізняються від відкритого лише шейперами, а юзер на wifi нічим не відрізняється від юзера вдома. Хоча ні - вдома йому більше можна, на wifi в мене тільки дозволені сервіси
hi, Sat, Apr 01, 2023 at 15:24:17, doka wrote about "Re: [uanog] вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування":
ну як... в корпоративних мережах (в офісах) він й є VPN'ом itself.
Ой не завжди. Багато де бачу, що дротом - прямий доступ без VPN, а WiFi - вимагає VPN. -netch-
Просто комусь не вистачає хисту побудувати інфраструктуру для 802.1X.
Відкритий WiFi - тільки для гостей. Співробітники WiFi + 802.1X.
Невідомий MAC в wired - гостьовий VLAN, там де гостьові WiFi клієнти.
Відомий MAC на wired, після аутентифікації в 802.1X отримує VLAN де він
зареєстрований.
Можливо окремі розетки для телефонії - там можно просто не видавати VLAN
для невідомих MAC.
On Sat, Apr 1, 2023 at 5:33 PM Valentin Nechayev
hi,
Sat, Apr 01, 2023 at 15:24:17, doka wrote about "Re: [uanog] вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування":
ну як... в корпоративних мережах (в офісах) він й є VPN'ом itself.
Ой не завжди. Багато де бачу, що дротом - прямий доступ без VPN, а WiFi - вимагає VPN.
-netch- _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
hi, Fri, Apr 14, 2023 at 01:03:28, zorick.ua wrote about "Re: [uanog] вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування":
Просто комусь не вистачає хисту побудувати інфраструктуру для 802.1X.
Або припускають, що цього недостатньо.
Відкритий WiFi - тільки для гостей. Співробітники WiFi + 802.1X. Невідомий MAC в wired - гостьовий VLAN, там де гостьові WiFi клієнти.
А з яких це часів у нас MAC не можна підробити? І з яких часів телефони перестали генерувать випадковий MAC для WiFi?
Відомий MAC на wired, після аутентифікації в 802.1X отримує VLAN де він зареєстрований.
А невідомий MAC і 802.1x? ;)
Можливо окремі розетки для телефонії - там можно просто не видавати VLAN для невідомих MAC.
Ну і не вімкнеться зловмисник в розетку для телефонії, а вімкнеться в повноцінну... Якась у тебе класична by obscurity виникла в описі... -netch-
Привіт, Скоріше за все малось на увазі WPAx-Enterprise & RADIUS assigned VLAN (802.1 - це wired стандарти і як наслідок - 802.1х немає як опції в налаштуваннях wifi адаптерах), і використовуються як метод розведення юзерів по сегментах можливостей. Для WIFI (radio) VLAN'и пофігу, бо це ж ефір. On 14/04/23 7:27, Valentin Nechayev wrote:
hi,
Fri, Apr 14, 2023 at 01:03:28, zorick.ua wrote about "Re: [uanog] вразливості WiFi мереж щодо перехоплення трафіку в обхід механизмів шифрування":
Просто комусь не вистачає хисту побудувати інфраструктуру для 802.1X. Або припускають, що цього недостатньо.
Відкритий WiFi - тільки для гостей. Співробітники WiFi + 802.1X. Невідомий MAC в wired - гостьовий VLAN, там де гостьові WiFi клієнти. А з яких це часів у нас MAC не можна підробити? І з яких часів телефони перестали генерувать випадковий MAC для WiFi?
Відомий MAC на wired, після аутентифікації в 802.1X отримує VLAN де він зареєстрований. А невідомий MAC і 802.1x? ;)
Можливо окремі розетки для телефонії - там можно просто не видавати VLAN для невідомих MAC. Ну і не вімкнеться зловмисник в розетку для телефонії, а вімкнеться в повноцінну...
Якась у тебе класична by obscurity виникла в описі...
-netch- _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
participants (6)
-
Alexander V Soroka -
Andrii Zarechanskyi -
Valentin Nechayev -
VASYL MELNYK -
Volodymyr Litovka -
Volodymyr Sharun