Autor Tema: Proyecto server radius (Leído 12316 veces)

Hwagm · « **en:** 31-08-2007, 19:31 (Viernes) »

Lo posteo como presentacion porque sino se me olvidara, tengo un server radius y un punto de acceso con cliente radius, suministrados por para efectuar pruebas de seguridad alta con estos equipos, pero sinceramente, voy a tardar mas de lo esperado, pero al menos lo posteo, para que no se me olvide

*dudux · « **Respuesta #1 en:** 04-09-2007, 12:23 (Martes) »

eso es interesante de raviolli jod.........er....

thefkboss · « **Respuesta #2 en:** 04-09-2007, 20:51 (Martes) »

las radius se pueden sacar con el CAIN una vez sakada la clave WPA, claro esta como siempre si se encuentra en un diccionario o en una raimbow (o tienes u superordenador tipo pentagono de los q te ocupan una casa de 100m)

Kozaki666 · « **Respuesta #3 en:** 05-09-2007, 01:53 (Miércoles) »

Cita de: thefkboss en 04-09-2007, 20:51 (Martes)

las radius se pueden sacar con el CAIN una vez sakada la clave WPA, claro esta como siempre si se encuentra en un diccionario o en una raimbow (o tienes u superordenador tipo pentagono de los q te ocupan una casa de 100m)

Tienes media hora para romper una mía, y dentro del mismo espacio de tiempo bregar con el hash de un certificado de 4096bits + nombre usuario y pass alfanumérica de +13 caracteres, (porque un envenenamiento arp sin autenticarte es imposible; única vía para intentar hacerte con el secreto compartido radius que cruza la red cableada de forma un tanto débil entre el cliente -ap- y el server de autenticación radius) antes de que todo cambie otra vez...

Por cierto, la wpa es diferente para cada cliente de la red, cada media hora. Y el user/pass. Sólo el certificado es el mismo para todos los clientes , pero ése "no viaja" de ninguna forma.

Puedes ir preparando una parcela de 10.000 m2. :

*dudux · « **Respuesta #4 en:** 06-09-2007, 12:29 (Jueves) »

jajajja......

que decis que es mas seguro WPA que un certificado radius?¿?¿

Hwagm · « **Respuesta #5 en:** 06-09-2007, 19:35 (Jueves) »

¿Son imposibles de Auditar las redes que tienen activado un servidor radius?
http://foro.elhacker.net/index.php/topic,179170.0.html

Para tener un enlace comun con los hermanos,

Kozaki666 · « **Respuesta #6 en:** 07-09-2007, 15:54 (Viernes) »

Cita de: *dudux en 06-09-2007, 12:29 (Jueves)

jajajja......

que decis que es mas seguro WPA que un certificado radius?¿?¿

¿Quién dice tal cosa?

Lo que quiero clarificar es lo siguiente: Debes estar introducido (de forma natural o "virtual") en el segmento de red cableado para tener alguna opción de vulnerar el sistema de autentificación RADIUS. Entender que sin autentificarnos antes no va a ser posible vía Wifi, es la pescadilla que se muerde la cola...

Kozaki666 · « **Respuesta #7 en:** 07-09-2007, 16:22 (Viernes) »

Cita de: Kozaki666 en 07-09-2007, 15:54 (Viernes)

Entender que sin autentificarnos antes no va a ser posible vía Wifi, es la pescadilla que se muerde la cola...

Puntualizo: Siempre hay algún menda que monta un sistema Radius con una simple autenticación MAC, como hay quien pone como passphrase para su WPA una pardillada del tipo "paco"...

David Faro · « **Respuesta #8 en:** 10-09-2007, 12:52 (Lunes) »

Buenos días a todos.

Pego las descripciones de los materiales, tal como acorde con Hwagm

http://www./routers-aps-switch/firewalls/radius/radius-server-802-1x/prod_377.html

http://www./varios/aps/ap/bridge/cliente-minitar-802-11-a/b/g-54mbps-5-puertos-10/100/prod_808.html

Saludos

Hwagm · « **Respuesta #9 en:** 16-09-2007, 18:34 (Domingo) »

no me di cuenta, gracias

Espero meterme con ello esta semana, ahora que ya esta todo contrlado, parece que hay tranquilidad y tengo vacaciones

chapex · « **Respuesta #10 en:** 18-09-2007, 06:15 (Martes) »

a ver señores...

agrego unos datos:

La actualizacion de llave dentro de una wpa no necesariamente es cada 30 minutos. Este tipo de patron se llama key update.... puede estar definido en 0 segundos (no se hace update) (despues explicare casos en que se usa) o bien con un minimo de 30 segundos entre cambios, siendo el tiempo mas recomendable de recambio 5 minutos , o bien 30 minutos como dice mi viejo amigo Kozaki .

Hay casos en que la autentificacion despues de un key exchange no se logra inmediatamente (unicast key exchange timeout), debido a que el cpu y buffer del acces point cliente de la red estan llenos, (equipos de pocos recursos) , por lo cual se torna fastidioso y provoca downtime o caidas de mas del doble de tiempo definido en el keyupdate. Es por eso que dejar en 0 el periodo de actualizacion provoca un mejor funcionamiento de la red, con la consiguente baja en el nivel de seguridad (suponiendo que el passphrase sea de 8 caracteres por ej)

otra cosita... no todos los certificados son iguales ni mucho menos, estan aquellos pre shared (que pueden ser codificados o plain text).

un certificado de 4096 bits es el caso de un MSchap2 ... por cierto casi imposible de Auditar ( se han dado pocos casos vulnerables usando debilidades del protocolo cisco con ASleap). Este es muy usado en nodos donde los equipos integrantes son de elevados recursos por lo cual puden hacer comodamente el proceso de la charla cifrada.

en freeradius , lo mas normal , y lamentable, es que se use generalmente en texto plano o bien mschap 1 , bastante vulnerable por cierto.

gracias a esto cain , ettercap , etc , hacen estragos.

todo esto lo tengo bien frequito jeje

, ultimamente estuve escribiendo codigo en conjunto con un compañero y buen amigo ( supervisor en hispasec ),basandonos en iproute2, el cual se hizo en conjunto, el nuevo paquete se seguridad radius, pppoe, vpn y l2TP que esta siendo testeado y sera utilizado definitivamente en la V3 de Routeros , propiedad de Mikrotik.

Todas las opiniones son válidas, pero a mi parecer, es mucho mas seguro tener una clave wpa II bien robusta con un keyupdate adecuado que basar la seguridad en un radius.

El radius es una opcion interesante para que cada cliente interno no se pase de listo y se salte resticciones que le son asignadas, amen de un buen control de ancho de banda, etc etc etc.

obviamente combinar ambas cosas es mejor...

si les interesa puedo seguir ...

, nooo no los duermo mas :

ah se me olvidaba, el radius puede tener muchas caracteristicas, un ip asignada por dhcp solo para autentificacion y una vez superada esta, una fija definitiva asignada en segunda instancia..

puede tener wallen garden (ciertas paginas, que se pueden dejar explorar sin autentificacion)

etc etc

muchos saludos

Hwagm · « **Respuesta #11 en:** 18-09-2007, 23:03 (Martes) »

Pues yo estoy perdido llevo varios dias con el manual en ingles del equipo que tengo y no me cosco de nada.

Kozaki666 · « **Respuesta #12 en:** 19-09-2007, 00:17 (Miércoles) »

Tiene gracia (por la coincidencia en el tiempo con este hilo), el montaje mío está empezando a dar problemas, tras un año funcionando sin incidencias.

Debo sacar tiempo de algún sitio para analizarlo, pero me jodería que el sp2 del W2K3 R2 tenga algo que ver. O si así fuera, tal vez saque algo positivo del asunto: Intentar vislumbrar qué han cambiado para que haya problemas de firma, sobre todo para saber porqué lo han cambiado.

Hwagm · « **Respuesta #13 en:** 20-09-2007, 23:47 (Jueves) »

por mi parte.

Debe ser seguro el tema del server radius porque no tengo pelotas a conectar con el portatil y ya probe todas las combinaciones, me dice que no se que de certificados.

Intentare colocar capturas de todo y asi me hechais una mano los que estais en otra galaxia.

Kozaki666 · « **Respuesta #14 en:** 21-09-2007, 01:25 (Viernes) »

Cita de: Hwagm en 20-09-2007, 23:47 (Jueves)

me dice que no se que de certificados.

Un descuido frecuente cuando se empieza a trabajar con certificados para estas cosas, es olvidarse de reconocer la validez de la entidad certificadora (CA) que haya emitido el certificado del servidor Radius, después de haber instalado correctamente el certificado en la máquina cliente. ¿Te has acordado de marcar la casilla correspondiente en la lista de entidades certificadoras que te aparecen al configurar las propiedades avanzadas de autentificación específicas para tu red inalámbrica casera?

Hwagm · « **Respuesta #15 en:** 21-09-2007, 02:01 (Viernes) »

En eso me quede esta tarde, antes de que el crio aporreara la puerta y mientras imprimia ls información al respecto en pdf, logicamente en ingles.

De todas formas habia demasiadas entidades CA.

Lo pruebo ahora mismo.

pd: si bajais al mundo terrenal al final si os acabamos entendiendo

gracias

Kozaki666 · « **Respuesta #16 en:** 21-09-2007, 13:34 (Viernes) »

Cita de: Hwagm en 21-09-2007, 02:01 (Viernes)

Lo pruebo ahora mismo.

...Y se quedó traspuesto viendo Gran Hermano!

Kozaki666 · « **Respuesta #17 en:** 22-09-2007, 15:03 (Sábado) »

A ver cómo anda el aparato ése de actualizaciones de firmware...

Las cosas que nos cuentan aquí (de hace un año) no me gustan nada. :

http://www.openssl.org/news/secadv_20060905.txt

Hwagm · « **Respuesta #18 en:** 08-11-2007, 20:10 (Jueves) »

no tengo tiempo, lo he traspapelado

Noticias:

Autor Tema: Proyecto server radius (Leído 12316 veces)

Hwagm

Proyecto server radius

*dudux

Re: Proyecto server radius

thefkboss

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

*dudux

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

David Faro

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius

chapex

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

Kozaki666

Re: Proyecto server radius

Hwagm

Re: Proyecto server radius