802.1X认证用于WLAN访问控制是否合适?

安全
今年DEFCON大会上展示了一个新的Wi-Fi攻击:ChapCrack。是否不该在企业WLAN认证和访问控制上使用CHAP密码的802.1X认证?

【编者按】Lisa Phifer是Core Competence公司的副总裁,该公司是一家专注于领先网络技术的咨询公司。她从事网络和安全产品的设计、实施和评估工作长达25年之久。在Core Competence工作期间,她在客户需求、产品评估、新技术的使用和最佳方案等方面,为众多大中小公司提出了合理建议。在加盟Core Competence之前,Phifer在贝尔通信研究所工作,并在ATM网络管理方面获总统奖。她在许多行业会议和在线研讨会上做过学术报告,内容涉及无线局域网、移动安全、NAC和VPN等领域的问题。同时,她为多家专业媒体撰写有关网络架构和安全技术方面的文章,这些媒体包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商业通信回顾》和《网络世界》等。Phifer每月一次的无线技巧文章将定期发布在SearchNetworking.com 和 SearchMobileComputing.com网站上。

今年DEFCON大会上展示了一个新的Wi-Fi攻击:ChapCrack。是否不该在企业WLAN认证和访问控制上使用CHAP密码的802.1X认证?

当然要继续对WLAN用户使用802.1X认证方法。802.1X仍然为企业WLAN提供最强有力的访问控制,而且它可以灵活地为许多认证方法所用。包括被ChapCrack攻击的MS-CHAPv2哈希密码。

在DEFCON大会上展示的攻击用云计算,早在1999年就有一个更有效的利用MS-CHAPv2漏洞进行攻击的技术。之前,MS-CHAPv2主要是通过密码对点到点隧道协议(PPTP)的VPN用户进行身份验证。虽然有漏洞,MS-CHAPv2仍被用在其他安全协议中,因为密码认证实在太容易了。而新的协议如802.1X  PEAP(受保护的可扩展的身份验证协议)通过 TLS-加密隧道发送MS-CHAPv2。只要这些隧道使用正确,攻击者就没法拦截MS-CHAPv2握手来破解密码,这就使以前的CHAP 破解和新的ChapCrack难以威胁Wi-Fi安全。

然而,如果你当前WLAN所支持的Wi-Fi客户端是通过MS-CHAPv2 (例如 PEAP/MS-CHAPv2、EAP-TTLS/MS-CHAPv2)进行密码认证的话,要确保所有Wi-Fi客户端登录802.1X时是配置成通过服务器证书进行认证。服务器证书认证对于防止Wi-Fi客户端连上假的AP(又叫做邪恶的双胞胎)非常重要,ChapCrack使这一步变得更加重要。为什么呢?如果一台客户端连上一台假的AP,TLS隧道提供的保护将无效,MS-CHAPv2也将暴露给攻击者。攻击者就可以运行旧的CHAP 破解或新的ChapCrack工具来盗取Wi-Fi客户端的密码。ChapCrack的输出甚至可以提交给CloudCracker来迅速找出其中密码。

最后,你最好的措施是用802.1X认证方式结合不只密码的认证。例如,TLS和客户端(用户或机器)的证书,EAP-SIM和嵌入在智能手机中的智能卡。但是有很多很好的理由来不使用密码认证——例如,密码会分享给其他人;很多密码太容易猜到。ChapCrack所带来的风险正好是不使用密码认证的一个很好的理由。
 

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2020-10-09 09:04:16

802.1x远端认证网络

2010-06-13 10:18:11

IEEE 802.1x

2013-10-09 10:44:14

交换机配置802.1X认证

2009-11-17 12:33:55

2010-08-04 13:13:48

路由器配置

2010-01-06 14:40:01

2010-10-19 09:44:34

802.1X验证最佳实践

2010-06-13 12:53:41

2010-06-25 14:34:11

IEEE 802.1x

2010-09-26 08:46:08

802.1x

2010-01-05 14:24:58

2010-06-13 12:56:40

IEEE 802.1x

2015-09-02 11:52:03

802.1xEAPPEAP

2011-10-24 14:22:05

2012-06-15 10:14:22

2023-03-08 17:54:29

802.1x协议无线网络

2012-05-08 19:15:42

2009-12-24 15:26:14

2012-05-21 16:18:09

2010-09-06 13:55:37

无线局域网
点赞
收藏

51CTO技术栈公众号