BSDPORTAL.RU
http://bsdportal.ru/

Интересно, насколько безопасна такая схема Wifi VPN.
http://bsdportal.ru/viewtopic.php?f=23&t=13635
Страница 1 из 1

Автор:  mono_s [ Вт 03 апр, 2007 12:10 am ]
Заголовок сообщения:  Интересно, насколько безопасна такая схема Wifi VPN.

Значит по простому.
192.168.10.0/24 моя домашняя проводная
tun0 ext_if inet
ng0 - VPN для меня. По логину и пассу выдают IP адрес 192.168.10.4
Между сетяти ng0 и 192.168.10.24 разрешены стандартные сервисы + SMB.
интерфейс ath0 Это вай фай.. смотрит в воздух...
Шифруется WEP) Естесно лажа... А вот интерфейс ng0 это впн поверх ath0 ... по ath0 ничего кроме GRE и 1723 с ОПРЕДЕЛЕННОГО ip не разрешено))
Вот вопрос - насколько криптосоек алгоритм MPPE 128 ? от майкрософта..
Могут ли такую схемку запросто сломать... Ведь умно придумано - с ip sec не вышло у меня - я сделал простой vpn ))) И очень удобно и в инет и в локалку пускаю)) причем девайсы не бридживал - как идея ?[/i]

Автор:  homoadminus [ Пн 09 апр, 2007 11:24 pm ]
Заголовок сообщения:  Re: Интересно, насколько безопасна такая схема Wifi VPN.

mono_s писал(а):
Значит по простому.
192.168.10.0/24 моя домашняя проводная
tun0 ext_if inet
ng0 - VPN для меня. По логину и пассу выдают IP адрес 192.168.10.4
Между сетяти ng0 и 192.168.10.24 разрешены стандартные сервисы + SMB.
интерфейс ath0 Это вай фай.. смотрит в воздух...
Шифруется WEP) Естесно лажа... А вот интерфейс ng0 это впн поверх ath0 ... по ath0 ничего кроме GRE и 1723 с ОПРЕДЕЛЕННОГО ip не разрешено))
Вот вопрос - насколько криптосоек алгоритм MPPE 128 ? от майкрософта..
Могут ли такую схемку запросто сломать... Ведь умно придумано - с ip sec не вышло у меня - я сделал простой vpn ))) И очень удобно и в инет и в локалку пускаю)) причем девайсы не бридживал - как идея ?[/i]

хрень полная. ваш веп вскроют за 1-2часа. потом очень быстро вычисляется кто куда трафик шлёт(в данном случае pptp).

А теперь самое интересное. Можно топить клиента фреймами деассоциации(и писать трафик авторизации на pptp-сервере), либо поднять evil twin'а и со своим pptp-сервером(который отказывается принимать всякие чапы и требует пароль клиртекстом в пап).

Автор:  mono_s [ Вт 10 апр, 2007 12:51 am ]
Заголовок сообщения: 

Блин но ведь ВЕСЬ трафик гонится через mpd ! Т.е. по wifi идет pptpt канал... а вот пусть сначала пароль и логин угадают а потом мутят - ну и вначале wep тоже надо вскрыть ... или я чего-то путаю ... не думаю что mpd так ломают за два часа пароль то идет криптотекстом ))

Автор:  homoadminus [ Вт 10 апр, 2007 9:16 am ]
Заголовок сообщения: 

mono_s писал(а):
Блин но ведь ВЕСЬ трафик гонится через mpd ! Т.е. по wifi идет pptpt канал...

и что?

mono_s писал(а):
а вот пусть сначала пароль и логин угадают а потом мутят

вскроют wep(и достаточно быстро при интенсивном трафике).

mono_s писал(а):
... не думаю что mpd так ломают за два часа пароль то идет криптотекстом ))

pptp - вещь весьма уязвимая, даже с ms-chap v2

Автор:  mono_s [ Ср 11 апр, 2007 12:05 pm ]
Заголовок сообщения: 

Блин а как тогда то делать ??? IPSEC слыхал я глючит с сертификатами с WinXP ... и как настроить не получилось - что такое WPA ? Нету ли какой-нить доки по этим вопросам ?

Автор:  Krueger [ Чт 12 апр, 2007 8:57 am ]
Заголовок сообщения:  Re: Интересно, насколько безопасна такая схема Wifi VPN.

homoadminus писал(а):
хрень полная. ваш веп вскроют за 1-2часа.

http://www.securitylab.ru/news/293708.php

Автор:  Krueger [ Чт 12 апр, 2007 9:02 am ]
Заголовок сообщения: 

mono_s писал(а):
что такое WPA ?

http://www.google.com/search?hl=ru&clie ... lr=lang_ru

Автор:  homoadminus [ Чт 12 апр, 2007 12:22 pm ]
Заголовок сообщения: 

mono_s писал(а):
Блин а как тогда то делать ??? IPSEC слыхал я глючит с сертификатами с WinXP ... и как настроить не получилось - что такое WPA ? Нету ли какой-нить доки по этим вопросам ?

вообще, юзайте 802.11i

Автор:  mono_s [ Пт 13 апр, 2007 1:02 am ]
Заголовок сообщения: 

http://www.opennet.ru/openforum/vsluhfo ... 62620.html
Так типо сделать WPA и будет счатье взломать посложнее будет ?
Это многим лучше ?

Автор:  mono_s [ Пт 13 апр, 2007 2:00 am ]
Заголовок сообщения: 

Хмм.. ну вот хз хз...
Предположем взломают WEB...
Чего он получит...
Доступ с 10.0.0.2 на 10.0.0.1 по протоколу GRE и на порт 1723 ...
Для этого ему прийдется перебирать bruteforce или еще как
логин и пароль для MPD... Или чего его так просто вскрыть что ли ?
Зря что ли корбина по VPN инет продает ???
До кучи там в PF стоит опция ограничения кол-ва соедининий...
ну и как он будет перебирать ...
Далее ну даже угадай он логин и пароль от VPN ну даже скажи ему...
я же это тут же увижу - там один интерфейс ng0 и как только он активируется и все попытки так же на коннект 1723 c WIFI логируются...
Ну не смогу я подключиться по wifi сразу ifconfig ath0 down ifconfig ath0 wepkey ...... и т.д ... ну и меня пароли почаще ... чего тут опасного то - неужели так все просто вскрывается /???
Не выходит ничего толкового между XP и FreeBSD на WPA ... сделал как описано выще - хрен не коннектит

Автор:  Krueger [ Пт 13 апр, 2007 6:32 am ]
Заголовок сообщения: 

если настроил WPA2, то спешу обрадовать winXP SP2 не понимает этот протокол шифрования, надо скачать патчик от микрософта.

Автор:  mono_s [ Вс 15 апр, 2007 12:25 pm ]
Заголовок сообщения: 

Krueger писал(а):
если настроил WPA2, то спешу обрадовать winXP SP2 не понимает этот протокол шифрования, надо скачать патчик от микрософта.

а можно носом тыкнуть ... ))-

Автор:  Андрей Комаров [ Вс 13 янв, 2008 12:18 am ]
Заголовок сообщения: 

Цитата:
вообще, юзайте 802.11i


Не все железки поддерживают RSN/RSNA-архитектуру. Соответственно в зависимости от модели и годности прошивки. Требуемый патч на клиента - http://support.microsoft.com/kb/893357

Отмечу, что WPA-PSK ломается, но дольше, чем тривиальный WEP.
Смотрите в сторону TKIP.

Автор:  homoadminus [ Пн 14 янв, 2008 10:08 am ]
Заголовок сообщения: 

Андрей Комаров писал(а):
Отмечу, что WPA-PSK ломается, но дольше, чем тривиальный WEP.
Смотрите в сторону TKIP.

а лучше сразу 802.11i ;)

Автор:  Андрей Комаров [ Пт 18 янв, 2008 1:15 am ]
Заголовок сообщения: 

Это правильный совет, но с ним тянется ряд таких вещей:

- не все устройства его поддерживают
- со стороны энергосберегающих функций, он активнее разряжает батарейки клиентов, в особенности мобильных устройств, если они его поддерживают.

Про TKIP я сказал осознанно, намекая на то, что WPA-PSK может быть подобран. Отмечу, что его длина может достигать 63 символов, что естественно уменьшает вероятность перебора.

Само собой AES-CCMP против RC4/TKIP выйгрывает, хотя ни один из стандартов не защищает от целой триады атак, в том числе на клиентов.

Автор:  VGrey [ Вт 26 фев, 2008 11:36 am ]
Заголовок сообщения: 

homoadminus писал(а):
pptp - вещь весьма уязвимая, даже с ms-chap v2


Нельзя ли привести, кроме слов, факты? Например, ссылки с описанием уязвимостей pptp
homoadminus писал(а):
даже с ms-chap v2
?

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/