cadenas de proxy RADIUS

1

RADIUS es un protocolo de autenticación remota ampliamente implementado. Estoy mirando aquí su uso en roaming inalámbrico. El protocolo RADIUS permite proxies y cadenas de proxies:

|CLIENT|<->|Access Point|<=>|RADIUS server|<=>|RADIUS proxy|<=>|RADIUS Server|<->|LDAP|

donde la solicitud de autenticación del Cliente se transmite a través de una cadena de proxies RADIUS hasta que el servidor y el directorio de su casa (AD o LDAP) lo cumplan. Supongamos que un cliente utiliza MSCHAPv2 para autenticarse, una opción insegura pero no poco común. Por lo tanto, un punto de acceso usaría EAP para negociar la autenticación MSCHAPv2 para el cliente, y enviará la autenticación al servidor principal del usuario. Tengo preguntas sobre el riesgo de exposición de credenciales de usuario en el proxy:

(1) En este escenario, ¿están protegidas las credenciales MS-CHAPv2 / EAP del cliente de extremo a extremo? ¿O el proxy RADIUS tiene acceso no protegido a las credenciales del usuario y así podría montar un ¿Ataque Moxie Marlinspike contra el flujo de datos del usuario?

El escenario aquí es que un atacante obtiene el control del servidor proxy RADIUS y luego puede intentar descifrar las secuencias de autenticación que lo atraviesan. Si las secuencias de autenticación están protegidas de extremo a extremo, por ejemplo, en un túnel cifrado, este ataque se vuelve mucho más difícil.

(2) Un escenario relacionado es que un proxy RADIUS comprometido no puede acceder a los bits protegidos MS-CHAPv2, pero en cambio puede ver nombres de usuarios no protegidos y recopilarlos para futuros ataques sin conexión . ¿Es esto posible o el proxy RADIUS solo puede ver el reino pero no el nombre de usuario completo?

Estoy preguntando específicamente acerca de los proxies RADIUS aquí. Además, una respuesta como "no usar MSCHAPv2" no es útil ya que tenemos una gran base instalada de dispositivos que no tienen una alternativa en el momento presente; Estoy buscando minimizar el riesgo hasta que haya una alternativa disponible.

    
pregunta Mark Beadles 29.11.2012 - 21:32
fuente

1 respuesta

1

(1) EAP-TLS está cifrado solo entre el suplicante y el servidor RADIUS. La comunicación entre el servidor RADIUS y el servidor de directorio solo está protegida por MS-CHAPv2. Entonces, sí, sería vulnerable a chapcrack en la parte de atrás.

(2) Creo que los proxies RADIUS pueden ver los nombres completos de los usuarios porque pueden hacer el almacenamiento en caché de identidades. Al proporcionar el almacenamiento en caché de identidad, utilizan cachés locales de información externa cuando realizan solicitudes de no autenticación (búsquedas de usuarios, etc.).

EDITAR: Quería mencionar que no estoy seguro de todas las opciones para proteger los almacenes de identidad externos, por lo que puede ser posible proporcionar un segundo túnel o cifrado entre el servidor RADIUS y Active Directory haciendo algo como LDAPS? Supongo que podría depender de qué tipo y versión de servidor RADIUS tengas.

    
respondido por el JZeolla 30.11.2012 - 14:46
fuente

Lea otras preguntas en las etiquetas