Je m'interesse a la securite d'un deploiement wifi a grande echelle;
par exemple le cas d'une universite.
Le wifi doit arroser l'ensemble du campus, et tous les etudiants
munis d'un compte peuvent utiliser le wifi.
Un portail captif est utilise, avec un serveur RADIUS derriere pour
la verification du couple login/password.
En sortie, seul le port 80 est autorise. Le debit est limite.
D'un point de vue securite, quel est votre avis?
. Je verrais le probleme de vol d'identifiant par faux portail captif.
. Le probleme de securite niveau local: qu'est ce qui empeche un
etudiant d'attaquer par wifi un autre ordinateur d'etudiant?
. Le snif du trafic?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Thu, 23 Mar 2006 15:30:17 +0000, Kevin Denis a écrit :
D'un point de vue securite, quel est votre avis? . Je verrais le probleme de vol d'identifiant par faux portail captif.
Tout à fait. On peut aussi regarder du côté d'un man in the middle à partir d'ARP cache poisoning. Pour cela, on met son portail en HTTPS avec un certificat distribué préalablement pour authentifier le portail.
. Le probleme de securite niveau local: qu'est ce qui empeche un etudiant d'attaquer par wifi un autre ordinateur d'etudiant?
Rien. La seule parade disponible est l'isolation des stations, mais comme c'est l'AP qui la fait, on la contourne par injection de trafic.
Pour moi, la solution, c'est pas de portail captif et un accès en WPA (et WPA2 pourquoi pas) avec authentification 802.1x via le RADIUS que tu prévoyais quand même d'utiliser. Ainsi tu obtiens :
. un AAA décent . une authentification mutuelle pourvu que tu utilises un truc décent, genre EAP-TLS ou PEAP, qui en plus te protège les identifiants . des sessions chiffrées pour chaque client qui les oblige à forcément passer par l'AP pour se foutre sur la gueule, et donc là, l'isolation reprend du sens.
Bref, les portails captifs, c'est un peu se faire chier (je trouve) pour un résultat qui n'est satisfaisant ni pour les clients (sécurité), ni pour le gestionnaire d'infrastructure (contournement).
-- WIn95 a même réussi à indiquer des millions de couleurs sur un écran alors que celui-ci n'était qu'en 256... Bon faut dire que c'était sur un moniteur plug&play non reconnu par win -+- LT in Guide du Macounet Pervers : le Plug & Play selon Redmond -+-
Le Thu, 23 Mar 2006 15:30:17 +0000, Kevin Denis a écrit :
D'un point de vue securite, quel est votre avis?
. Je verrais le probleme de vol d'identifiant par faux portail captif.
Tout à fait.
On peut aussi regarder du côté d'un man in the middle à partir d'ARP
cache poisoning. Pour cela, on met son portail en HTTPS avec un certificat
distribué préalablement pour authentifier le portail.
. Le probleme de securite niveau local: qu'est ce qui empeche un
etudiant d'attaquer par wifi un autre ordinateur d'etudiant?
Rien. La seule parade disponible est l'isolation des stations, mais comme
c'est l'AP qui la fait, on la contourne par injection de trafic.
Pour moi, la solution, c'est pas de portail captif et un accès en WPA (et
WPA2 pourquoi pas) avec authentification 802.1x via le RADIUS que tu
prévoyais quand même d'utiliser. Ainsi tu obtiens :
. un AAA décent
. une authentification mutuelle pourvu que tu utilises un truc décent,
genre EAP-TLS ou PEAP, qui en plus te protège les identifiants
. des sessions chiffrées pour chaque client qui les oblige à forcément
passer par l'AP pour se foutre sur la gueule, et donc là, l'isolation
reprend du sens.
Bref, les portails captifs, c'est un peu se faire chier (je trouve) pour
un résultat qui n'est satisfaisant ni pour les clients (sécurité), ni
pour le gestionnaire d'infrastructure (contournement).
--
WIn95 a même réussi à indiquer des millions de couleurs sur un écran
alors que celui-ci n'était qu'en 256...
Bon faut dire que c'était sur un moniteur plug&play non reconnu par win
-+- LT in Guide du Macounet Pervers : le Plug & Play selon Redmond -+-
Le Thu, 23 Mar 2006 15:30:17 +0000, Kevin Denis a écrit :
D'un point de vue securite, quel est votre avis? . Je verrais le probleme de vol d'identifiant par faux portail captif.
Tout à fait. On peut aussi regarder du côté d'un man in the middle à partir d'ARP cache poisoning. Pour cela, on met son portail en HTTPS avec un certificat distribué préalablement pour authentifier le portail.
. Le probleme de securite niveau local: qu'est ce qui empeche un etudiant d'attaquer par wifi un autre ordinateur d'etudiant?
Rien. La seule parade disponible est l'isolation des stations, mais comme c'est l'AP qui la fait, on la contourne par injection de trafic.
Pour moi, la solution, c'est pas de portail captif et un accès en WPA (et WPA2 pourquoi pas) avec authentification 802.1x via le RADIUS que tu prévoyais quand même d'utiliser. Ainsi tu obtiens :
. un AAA décent . une authentification mutuelle pourvu que tu utilises un truc décent, genre EAP-TLS ou PEAP, qui en plus te protège les identifiants . des sessions chiffrées pour chaque client qui les oblige à forcément passer par l'AP pour se foutre sur la gueule, et donc là, l'isolation reprend du sens.
Bref, les portails captifs, c'est un peu se faire chier (je trouve) pour un résultat qui n'est satisfaisant ni pour les clients (sécurité), ni pour le gestionnaire d'infrastructure (contournement).
-- WIn95 a même réussi à indiquer des millions de couleurs sur un écran alors que celui-ci n'était qu'en 256... Bon faut dire que c'était sur un moniteur plug&play non reconnu par win -+- LT in Guide du Macounet Pervers : le Plug & Play selon Redmond -+-