Autor Tema: Proyecto server radius  (Leído 9003 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Proyecto server radius
« en: 31-08-2007, 19:31 (Viernes) »
Lo posteo como presentacion porque sino se me olvidara, tengo un server radius y un punto de acceso con cliente radius, suministrados por para efectuar pruebas de seguridad alta con estos equipos, pero sinceramente, voy a tardar mas de lo esperado, pero al menos lo posteo, para que no se me olvide




*dudux

  • Visitante
Re: Proyecto server radius
« Respuesta #1 en: 04-09-2007, 12:23 (Martes) »
eso es interesante de raviolli jod.........er.... ;)

thefkboss

  • Visitante
Re: Proyecto server radius
« Respuesta #2 en: 04-09-2007, 20:51 (Martes) »
las radius se pueden sacar con el CAIN una vez sakada la clave WPA, claro esta como siempre si se encuentra en un diccionario o en una raimbow (o tienes u superordenador tipo pentagono de los q te ocupan una casa de 100m)

Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #3 en: 05-09-2007, 01:53 (Miércoles) »
las radius se pueden sacar con el CAIN una vez sakada la clave WPA, claro esta como siempre si se encuentra en un diccionario o en una raimbow (o tienes u superordenador tipo pentagono de los q te ocupan una casa de 100m)

Tienes media hora para romper una mía, y dentro del mismo espacio de tiempo bregar con el hash de un certificado de 4096bits + nombre usuario y pass alfanumérica de +13 caracteres, (porque un envenenamiento arp sin autenticarte es imposible; única vía para intentar hacerte con el secreto compartido radius que cruza la red cableada de forma un tanto débil entre el cliente -ap- y el server de autenticación radius) antes de que todo cambie otra vez... ;D ;D ;D

Por cierto, la wpa es diferente para cada cliente de la red, cada media hora. Y el user/pass. Sólo el certificado es el mismo para todos los clientes , pero ése "no viaja" de ninguna forma.

Puedes ir preparando una parcela de 10.000 m2.  ::)
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

*dudux

  • Visitante
Re: Proyecto server radius
« Respuesta #4 en: 06-09-2007, 12:29 (Jueves) »
jajajja...... 8)

que decis que es mas seguro WPA que un certificado radius?¿?¿

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #5 en: 06-09-2007, 19:35 (Jueves) »

¿Son imposibles de Auditar las redes que tienen activado un servidor radius?
http://foro.elhacker.net/index.php/topic,179170.0.html

Para tener un enlace comun con los hermanos,


Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #6 en: 07-09-2007, 15:54 (Viernes) »
jajajja...... 8)

que decis que es mas seguro WPA que un certificado radius?¿?¿

¿Quién dice tal cosa?  ???


Lo que quiero clarificar es lo siguiente: Debes estar introducido (de forma natural o "virtual") en el segmento de red cableado para tener alguna opción de vulnerar el sistema de autentificación RADIUS. Entender que sin autentificarnos antes no va a ser posible vía Wifi, es la pescadilla que se muerde la cola... ;D
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #7 en: 07-09-2007, 16:22 (Viernes) »
Entender que sin autentificarnos antes no va a ser posible vía Wifi, es la pescadilla que se muerde la cola... ;D

Puntualizo: Siempre hay algún menda que monta un sistema Radius con una simple autenticación MAC, como hay quien pone como passphrase para su WPA una pardillada del tipo "paco"... ;D ;D ;D
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

David Faro

  • Visitante
Re: Proyecto server radius
« Respuesta #8 en: 10-09-2007, 12:52 (Lunes) »
Buenos días a todos.

Pego las descripciones de los materiales, tal como acorde con Hwagm

http://www./routers-aps-switch/firewalls/radius/radius-server-802-1x/prod_377.html

http://www./varios/aps/ap/bridge/cliente-minitar-802-11-a/b/g-54mbps-5-puertos-10/100/prod_808.html

Saludos  ;)

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #9 en: 16-09-2007, 18:34 (Domingo) »
no me di cuenta, gracias

Espero meterme con ello esta semana, ahora que ya esta todo contrlado, parece que hay tranquilidad y tengo vacaciones  ;D


chapex

  • Visitante
Re: Proyecto server radius
« Respuesta #10 en: 18-09-2007, 06:15 (Martes) »
a ver señores...

agrego unos datos:

La actualizacion de llave dentro de una wpa no necesariamente es cada 30 minutos. Este tipo de patron se llama key update.... puede estar definido en 0 segundos (no se hace update) (despues explicare casos en que se usa) o bien con un minimo de 30 segundos entre cambios, siendo el tiempo mas recomendable de recambio 5 minutos , o bien 30 minutos como dice mi viejo amigo Kozaki .

Hay casos en que la autentificacion despues de un key exchange no se logra inmediatamente (unicast key exchange timeout), debido a que el cpu y buffer del acces point cliente de la red  estan llenos, (equipos de pocos recursos) , por lo cual se torna fastidioso y provoca downtime o caidas de mas del doble de tiempo definido en el keyupdate. Es por eso que dejar en 0 el periodo de actualizacion provoca un mejor funcionamiento de la red, con la consiguente baja en el nivel de seguridad (suponiendo que el passphrase sea de 8 caracteres por ej)

otra cosita... no todos los certificados son iguales ni mucho menos, estan aquellos pre shared (que pueden ser codificados o plain text).

un certificado de 4096 bits es el caso de un MSchap2 ... por cierto casi imposible de Auditar ( se han dado pocos casos vulnerables usando debilidades del protocolo cisco con ASleap). Este es muy usado en nodos donde los equipos integrantes son de elevados recursos por lo cual puden hacer comodamente el proceso de la charla cifrada.

en freeradius , lo mas normal , y lamentable, es que se use generalmente en texto plano o bien mschap 1 , bastante vulnerable por cierto.

gracias a esto cain , ettercap , etc , hacen estragos.

todo esto lo tengo bien frequito jeje  :P , ultimamente estuve escribiendo codigo en conjunto con un compañero y buen amigo ( supervisor en hispasec ),basandonos en iproute2,  el cual se hizo en conjunto, el nuevo paquete se seguridad radius, pppoe, vpn y l2TP que esta siendo testeado y sera utilizado definitivamente en la V3 de Routeros , propiedad de Mikrotik.


Todas las opiniones son válidas, pero a mi parecer, es mucho mas seguro tener una clave wpa II bien robusta con un keyupdate adecuado que basar la seguridad en un radius.

El radius es una opcion interesante para que cada cliente interno no se pase de listo y se salte resticciones que le son asignadas, amen de un buen control de ancho de banda, etc etc etc.


obviamente combinar ambas cosas es mejor...

si les interesa puedo seguir ... ;D ,  nooo no los duermo mas  ::)

ah se me olvidaba, el radius puede tener muchas caracteristicas, un ip asignada por dhcp solo para autentificacion y una vez superada esta, una fija definitiva asignada en segunda instancia..

puede tener wallen garden (ciertas paginas, que se pueden dejar explorar sin autentificacion)

etc etc

muchos saludos
« Última modificación: 18-09-2007, 06:39 (Martes) por chapex »

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #11 en: 18-09-2007, 23:03 (Martes) »
Pues yo estoy perdido llevo varios dias con el manual en ingles del equipo que tengo y no me cosco de nada.


Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #12 en: 19-09-2007, 00:17 (Miércoles) »
Tiene gracia (por la coincidencia en el tiempo con este hilo), el montaje mío está empezando a dar problemas, tras un año funcionando sin incidencias.

Debo sacar tiempo de algún sitio para analizarlo, pero me jodería que el sp2 del W2K3 R2 tenga algo que ver. O si así fuera, tal vez saque algo positivo del asunto: Intentar vislumbrar qué han cambiado para que haya problemas de firma, sobre todo para saber porqué lo han cambiado;)
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #13 en: 20-09-2007, 23:47 (Jueves) »
por mi parte.

Debe ser seguro el tema del server radius porque no tengo pelotas a conectar con el portatil y ya probe todas las combinaciones, me dice que no se que de certificados.

Intentare colocar capturas de todo y asi me hechais una mano los que estais en otra galaxia. ;)


Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #14 en: 21-09-2007, 01:25 (Viernes) »
me dice que no se que de certificados.

Un descuido frecuente cuando se empieza a trabajar con certificados para estas cosas, es olvidarse de reconocer la validez de la entidad certificadora (CA) que haya emitido el certificado del servidor Radius, después de haber instalado correctamente el certificado en la máquina cliente. ¿Te has acordado de marcar la casilla correspondiente en la lista de entidades certificadoras que te aparecen al configurar las propiedades avanzadas de autentificación específicas para tu red inalámbrica casera?
« Última modificación: 21-09-2007, 01:27 (Viernes) por Kozaki666 »
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #15 en: 21-09-2007, 02:01 (Viernes) »
En eso me quede esta tarde, antes de que el crio aporreara la puerta y mientras imprimia ls información al respecto en pdf, logicamente en ingles.

De todas formas habia demasiadas entidades CA.

Lo pruebo ahora mismo.  ;)

pd: si bajais al mundo terrenal al final si os acabamos entendiendo  ;)

gracias


Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #16 en: 21-09-2007, 13:34 (Viernes) »

Lo pruebo ahora mismo.  ;)



...Y se quedó traspuesto viendo Gran Hermano!  ;D ;D ;D
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

Desconectado Kozaki666

  • Alégrame el dia...
  • Colaborador
  • *
  • Mensajes: 2543
  • Trogloditus Maximus
Re: Proyecto server radius
« Respuesta #17 en: 22-09-2007, 15:03 (Sábado) »
A ver cómo anda el aparato ése de actualizaciones de firmware...

Las cosas que nos cuentan aquí (de hace un año) no me gustan nada.  ::)

http://www.openssl.org/news/secadv_20060905.txt
"Sólo se sabe realmente dónde está el límite cuando se traspasa..."

Desconectado Hwagm

  • Administrador
  • *
  • Mensajes: 17737
    • GNU/Linux Wifislax
Re: Proyecto server radius
« Respuesta #18 en: 08-11-2007, 20:10 (Jueves) »
no tengo tiempo, lo he traspapelado  ;D