|
| Wireless sikkerhed Fra : Lasse Jensen |
Dato : 21-08-04 13:14 |
|
Hej Group
Nu har flere gange set/hørt om åbne wlans men med et web interface
til bruger autorisation, på f.eks. universiteter mm.
Hvordan er princippet i dette ?
Er et en web proxy, firewall, eller VPN ??
Regards Lasse
| |
Kasper Dupont (21-08-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 21-08-04 14:49 |
|
Lasse Jensen wrote:
>
> Hej Group
>
> Nu har flere gange set/hørt om åbne wlans men med et web interface
> til bruger autorisation, på f.eks. universiteter mm.
> Hvordan er princippet i dette ?
> Er et en web proxy, firewall, eller VPN ??
Århus universitet er ved at omlægge alle WLAN så de
kobles sammen i et VLAN og den eneste adgang derfra
til omverdenen går via de enkelte instituters VPN
servere.
Tidligere tror jeg nok hvert enkelt WLAN har brugt
MacoMagic til at autenticere maskinerne.
MacoMagic basserer sig udelukkende på MAC adressen.
Nye maskiner får kun adgang til en https server hvor
man logger på med brugernavn og password for at
registrere sin MAC adresse.
Præcis hvordan den ikke accepterede trafik afskæres
ved jeg ikke. Jeg tror det sker vha. filteregler i
switches eller routere.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
http://tinyurl.com/5zm3o
| |
Peter Mogensen (21-08-2004)
| Kommentar Fra : Peter Mogensen |
Dato : 21-08-04 15:52 |
|
Lasse Jensen wrote:
> Hej Group
>
> Nu har flere gange set/hørt om åbne wlans men med et web interface
> til bruger autorisation, på f.eks. universiteter mm.
> Hvordan er princippet i dette ?
> Er et en web proxy, firewall, eller VPN ??
Jeg gætter på at det er samme princip som TDC's hotspots hos f.eks.
McDonald.
Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
der giver dig mulighed for at "aktivere" din forbindelse.
Jeg er ikke klar over hvor meget sikkerhed, der er når man først har
aktiveret den. Kan andre f.eks. overtage forbindelsen hvis de står
hurtigt klar til at spoofe MAC-adressen?
Peter
| |
Christian Andersen (21-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 21-08-04 16:05 |
|
Peter Mogensen wrote:
> Jeg gætter på at det er samme princip som TDC's hotspots hos f.eks.
> McDonald.
>
> Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
> der giver dig mulighed for at "aktivere" din forbindelse.
Jeg læste engang om en fyr i USA der kiggede lidt på hotspots'ene hos den
lokale Starbucks.
Det viste sig at de tillod udgående TCP-trafik på port 53 (for at kunne
slå betalings-gateway'en op i DNS) til enhver host.
Fyren gik herefter hjem og satte en SSH-server til at lytte på port 53,
hvorefter han kunne surfe gratis vha port-tunneling nede på Starbucks.
Måske man kan noget lignende hos TDC's (eller andres) løsning?
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Peter Mogensen (21-08-2004)
| Kommentar Fra : Peter Mogensen |
Dato : 21-08-04 16:13 |
|
Christian Andersen wrote:
> Måske man kan noget lignende hos TDC's (eller andres) løsning?
Jeg kan ikke helt huske hvad er stod på deres webside, men jeg mener at
man skal have betalt for et "password" i forvejen.
Peter
| |
Christian Andersen (21-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 21-08-04 16:49 |
|
Peter Mogensen wrote:
>> Måske man kan noget lignende hos TDC's (eller andres) løsning?
> Jeg kan ikke helt huske hvad er stod på deres webside, men jeg mener at
> man skal have betalt for et "password" i forvejen.
Læste du hvad jeg skrev?
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Peter Mogensen (21-08-2004)
| Kommentar Fra : Peter Mogensen |
Dato : 21-08-04 17:08 |
|
Christian Andersen wrote:
> Peter Mogensen wrote:
>
>
>>>Måske man kan noget lignende hos TDC's (eller andres) løsning?
>
>
>
>>Jeg kan ikke helt huske hvad er stod på deres webside, men jeg mener at
>>man skal have betalt for et "password" i forvejen.
>
>
> Læste du hvad jeg skrev?
Ja. Som du beskrev det lød det som om at der var åbent fordi man skulle
kunne betale sig fra det på stedet. Men hvis TDC kræver at man har
betalt hjemmefra er der ikke nogen grund til at have andet åbent en port
80 til deres egen web-server. ... om det er sådan kan jeg dog ikke lige
huske.
Peter
| |
Christian Andersen (21-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 21-08-04 17:27 |
|
Peter Mogensen wrote:
>>>>Måske man kan noget lignende hos TDC's (eller andres) løsning?
>>>Jeg kan ikke helt huske hvad er stod på deres webside, men jeg mener at
>>>man skal have betalt for et "password" i forvejen.
>> Læste du hvad jeg skrev?
> Ja. Som du beskrev det lød det som om at der var åbent fordi man skulle
> kunne betale sig fra det på stedet. Men hvis TDC kræver at man har
> betalt hjemmefra er der ikke nogen grund til at have andet åbent en port
> 80 til deres egen web-server. ... om det er sådan kan jeg dog ikke lige
> huske.
Ok, på den måde. Men, der skal vel stadig være adgang til DNS-opslag for
at folk skal kunne finde web-serveren?
Indrømmet, jeg aner ikke en brik om TDC's løsning, men det kunne være
interessant at undersøge ...
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Peter Mogensen (21-08-2004)
| Kommentar Fra : Peter Mogensen |
Dato : 21-08-04 17:38 |
|
Christian Andersen wrote:
> Ok, på den måde. Men, der skal vel stadig være adgang til DNS-opslag for
> at folk skal kunne finde web-serveren?
Jeg har et rimelig kvalificeret gæt på at TDC har deres egen DNS-server
som modtager alt trafik til port 53 på alle numre. På samme måde som
web-serveren modtager alt trafik til port 80. Det var nemlig lige meget
hvilke krumspring jeg gjorde med DNS og HTTP, så endte jeg altid med
samme DNS-response og samme web-side. :)
Peter
| |
Christian Andersen (21-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 21-08-04 18:20 |
|
Peter Mogensen wrote:
>> Ok, på den måde. Men, der skal vel stadig være adgang til DNS-opslag for
>> at folk skal kunne finde web-serveren?
> Jeg har et rimelig kvalificeret gæt på at TDC har deres egen DNS-server
> som modtager alt trafik til port 53 på alle numre. På samme måde som
> web-serveren modtager alt trafik til port 80. Det var nemlig lige meget
> hvilke krumspring jeg gjorde med DNS og HTTP, så endte jeg altid med
> samme DNS-response og samme web-side. :)
Heh.
Næste trin er vel at scanne en computer med nmap (fuld scan) fra
TDC-hot-spottet og så efterfølgende se hvilke pakker (om nogen) der kom
igennem?
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Povl H. Pedersen (21-08-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 21-08-04 18:28 |
|
In article <0kJVc.177$KL5.9@news.get2net.dk>, Peter Mogensen wrote:
> Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
> der giver dig mulighed for at "aktivere" din forbindelse.
> Jeg er ikke klar over hvor meget sikkerhed, der er når man først har
> aktiveret den. Kan andre f.eks. overtage forbindelsen hvis de står
> hurtigt klar til at spoofe MAC-adressen?
Man kan vel altid køre en tunnel gennem DNS !
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.misumi.dk
| |
Kent Friis (21-08-2004)
| Kommentar Fra : Kent Friis |
Dato : 21-08-04 18:33 |
|
Den Sat, 21 Aug 2004 17:27:39 +0000 (UTC) skrev Povl H. Pedersen:
> In article <0kJVc.177$KL5.9@news.get2net.dk>, Peter Mogensen wrote:
>> Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
>> der giver dig mulighed for at "aktivere" din forbindelse.
>> Jeg er ikke klar over hvor meget sikkerhed, der er når man først har
>> aktiveret den. Kan andre f.eks. overtage forbindelsen hvis de står
>> hurtigt klar til at spoofe MAC-adressen?
>
> Man kan vel altid køre en tunnel gennem DNS !
Det kommer an på om der er hul igennem til den DNS-server der er
den anden ende af tunnellen.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Povl H. Pedersen (22-08-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 22-08-04 12:02 |
|
In article <4127873d$0$205$14726298@news.sunsite.dk>, Kent Friis wrote:
> Den Sat, 21 Aug 2004 17:27:39 +0000 (UTC) skrev Povl H. Pedersen:
>> In article <0kJVc.177$KL5.9@news.get2net.dk>, Peter Mogensen wrote:
>>> Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
>>> der giver dig mulighed for at "aktivere" din forbindelse.
>>> Jeg er ikke klar over hvor meget sikkerhed, der er når man først har
>>> aktiveret den. Kan andre f.eks. overtage forbindelsen hvis de står
>>> hurtigt klar til at spoofe MAC-adressen?
>>
>> Man kan vel altid køre en tunnel gennem DNS !
>
> Det kommer an på om der er hul igennem til den DNS-server der er
> den anden ende af tunnellen.
Det er der som regel. Du bruger den lokale DHCP tildelte DNS server
til cache - forespørger på dine egne records for at sende data, og
får svar tilbage som DNS replies. Der PoC kode til firewall traversal
ved brug af DNS lookups på nettet..
Det er MEGET sjældent, at man ikke får tildelt en DNS server i starten
som kan lave upstream opslag, og dermed bruges som tunnel.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.misumi.dk
| |
Kent Friis (22-08-2004)
| Kommentar Fra : Kent Friis |
Dato : 22-08-04 12:10 |
|
Den Sun, 22 Aug 2004 11:01:58 +0000 (UTC) skrev Povl H. Pedersen:
> In article <4127873d$0$205$14726298@news.sunsite.dk>, Kent Friis wrote:
>> Den Sat, 21 Aug 2004 17:27:39 +0000 (UTC) skrev Povl H. Pedersen:
>>> In article <0kJVc.177$KL5.9@news.get2net.dk>, Peter Mogensen wrote:
>>>> Alle kan få et IP via DHCP, men det eneste man kan se er en web-server,
>>>> der giver dig mulighed for at "aktivere" din forbindelse.
>>>> Jeg er ikke klar over hvor meget sikkerhed, der er når man først har
>>>> aktiveret den. Kan andre f.eks. overtage forbindelsen hvis de står
>>>> hurtigt klar til at spoofe MAC-adressen?
>>>
>>> Man kan vel altid køre en tunnel gennem DNS !
>>
>> Det kommer an på om der er hul igennem til den DNS-server der er
>> den anden ende af tunnellen.
>
> Det er der som regel. Du bruger den lokale DHCP tildelte DNS server
> til cache - forespørger på dine egne records for at sende data, og
> får svar tilbage som DNS replies. Der PoC kode til firewall traversal
> ved brug af DNS lookups på nettet..
>
> Det er MEGET sjældent, at man ikke får tildelt en DNS server i starten
> som kan lave upstream opslag, og dermed bruges som tunnel.
Det er ellers meget nemt at sætte DNS-serveren op til ikke at svare på
forespørgsler til andet end lokale zoner.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Povl H. Pedersen (22-08-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 22-08-04 16:54 |
|
In article <41287eec$0$213$14726298@news.sunsite.dk>, Kent Friis wrote:
>> Det er MEGET sjældent, at man ikke får tildelt en DNS server i starten
>> som kan lave upstream opslag, og dermed bruges som tunnel.
>
> Det er ellers meget nemt at sætte DNS-serveren op til ikke at svare på
> forespørgsler til andet end lokale zoner.
Ja, men på et hotspot hvor du lidt senere (efter at have besøgt en webside)
får Internetadgang, er det ikke helt trivielt at udskifte den tildelte
DNS server hos brugeren til en anden med normalt software.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.misumi.dk
| |
Kent Friis (22-08-2004)
| Kommentar Fra : Kent Friis |
Dato : 22-08-04 17:19 |
|
Den Sun, 22 Aug 2004 15:53:48 +0000 (UTC) skrev Povl H. Pedersen:
> In article <41287eec$0$213$14726298@news.sunsite.dk>, Kent Friis wrote:
>>> Det er MEGET sjældent, at man ikke får tildelt en DNS server i starten
>>> som kan lave upstream opslag, og dermed bruges som tunnel.
>>
>> Det er ellers meget nemt at sætte DNS-serveren op til ikke at svare på
>> forespørgsler til andet end lokale zoner.
>
> Ja, men på et hotspot hvor du lidt senere (efter at have besøgt en webside)
> får Internetadgang, er det ikke helt trivielt at udskifte den tildelte
> DNS server hos brugeren til en anden med normalt software.
Man giver bare maskinen IP-nummeret på den rigtige DNS-server fra
starten af, og ikke-registrerede maskiner redirectes så i gateway'en
til den der giver lokale svar.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Henrik Bøgh (22-08-2004)
| Kommentar Fra : Henrik Bøgh |
Dato : 22-08-04 09:07 |
|
En helt masse bits fra Lasse Jensen til dk.edb.sikkerhed gav følgende:
> Hej Group
>
> Nu har flere gange set/hørt om åbne wlans men med et web interface
> til bruger autorisation, på f.eks. universiteter mm.
> Hvordan er princippet i dette ?
> Er et en web proxy, firewall, eller VPN ??
I Kastrup Lufthavn er princippet så vidt jeg kunne se at man får tildelt en
IP-adresse (10.x.x.x) via DHCP. Samme DHCP indeholder også gateway og
DNS-server. Uanset hvad jeg slog op på DNS-serveren, fik jeg IP-adressen på
en bestemt server (deres betalings-dimmer). Det samme med da jeg forsøgte mig
med at fange en host på internettet direkte via IP'en, så fik jeg også pakker
tilbage fra betalings-hosten.
Når man så har spyttet x kr i maskinen, så bliver der åbnet for ens IP-adresse
ud til internettet.
Da der ikke er hverken WPA eller IP Sec (eller WEP for den sags skyld), burde
det være forholdsvis trivielt at opfange en MAC/IP-adresse på en af de hosts
der har betalt, duplikere det til sin egen klaptop.
Hvordan systemet reagerer på en klonet maskine ved jeg så ikke.
> Regards Lasse
--
Med Venlig Hilsen: Henrik Bøgh || http://lagengymnastik.dk/
"Kloning af Poul Nyrup er ikke Sci-Fi - Det er perverst!"
-- ukendt
| |
|
|