Разбираем последствия взлома MS-CHAPv2 для Wi-Fi (WPA/WPA2-Enterprise)

На последней DEFCON был продемонстрирован взлом протокола аутентификации MS-CHAPv2 (давно пора). В результате многие СМИ разразились информацией о том, что «тысячи VPN и WPA2-утройств находятся в опасности». Рассмотрим, насколько это утверждение верно для Wi-Fi сети реализующей WPA2.
Скандалы? Интриги? Расследования? ^[1]

Дабы не плодить сущности без необходимости, я там выжимку с основными фактами и выводами, а также ссылки на первоисточники для тех, кого интересуют подробности.

Скандалы

Исходная информация: блог авторов атаки ^[2]. Утверждается, что MS-CHAPv2 взламывается с результативностью 100%. Приводятся подробности, из которых видно, что нужно перехватить обмен по протоколу MS-CHAPv2, после чего, используя уязвимости в шифровании можно вычислить реквизиты пользователя. Утверждается, что MS-CHAPv2 используется в системах VPN и WPA2-Enterprise. При этом и VPN и WPA2 упоминаются в контексте AAA-серверов, что весьма логично, ибо именно там и ловится нешифрованный MS-CHAP. Итого — таки да, MS-CHAPv2 взломан, если перехватить MS-CHAPv2 обмен между клиентом и AAA-сервером — можно вычислить реквизиты пользователя.

Интриги

После этого, начали появляться статьи типа этой ^[3], где WPA2 уже используется вне контекста AAA-серверов. При этом делаются довольно серьезные заявления: «Users who want to crack the key protecting a target's VPN- or WPA2-protected traffic need only capture a single login attempt» (для взлома VPN/WPA2 достаточно перехватить одну попытку входа) и вплоть до «people should immediately stop using VPN and WPA2 products that rely on MS-CHAP» (людям следует немедленно прекратить использовать VPN/WPA2 с MS-CHAP).

Расследования

Ну, для начала, вспомним, что WPA2 существует в двух видах: WPA2-Personal (PSK) и WPA2-Enterprise (802.1x/EAP). MS-CHAPv2 используется только в Enterprise, поэтому пользователи PSK могут спать спокойно.
В Enterprise, MS-CHAPv2 является только одим из возможных методов EAP (есть еще довольно популярный GTC, TTLS и т.д.). Популярность MS-CHAPv2 вызвана тем, что это наиболее простой метод для интеграции с продуктами Microsoft (IAS, AD, и т.д.).

Тем не менее, хоть кто-нибудь видел реализацию WPA2-Enterprise с чистым EAP/MS-CHAPv2? Не припоминаю… Любой знающий человек скажет, что должен быть еще туннель (PEAP или TLS). Так вот при наличии туннеля перехват сессии MS-CHAPv2 уже невозможен, т.к. вначале надо взломать шифрование туннеля, так что сенсация отменяется.

Однако, расслабляться еще рано. Туннель строится между клиентом и точкой доступа. Если имперсонировать точку доступа, можно спокойно заполучить и клиента, и его «чистую» MS-CHAPv2 сессию со всеми вытекающими. Отсюда вывод из категории «уж сколько раз твердили миру»: ставьте сертификаты на точки доступа и включайте проверку сертификатов на клиентах.

Таким образом, для грамотно построенной беспроводной сети с WPA2-Enterprise на основе PEAP/MS-CHAPv2 новая атака не страшна. Разве что, вклиниться в канал между аутентификатором (ТД, контроллером) и AAA-сервером, но это уже не относится к WPA.

Подробности, иллюстрации и рекомендации по настройке можно почитать у друх авторитетных специалистов отрасли: Andrew VonNagy ^[4] и Devin Akin ^[5].

Еще примеры маркетолохии и дурналистики (смотрим теги):

• Атака на WPA2-Enterprise «Hole 196», предвещавшая «конец WPA2-Enterprise или покупайте нашу WIPS» ^[6]
• Атаки на SSL в браузерах, предвещавшая «конец онлайн-платежей» ^[7]
• Взлом WPA2 и глобальный 3.14 беспроводным сетям вообще ^[8]
• <добавляйте в комментариях — будем создавать коллекцию>

Автор: apcsb