Разбираем последствия взлома MS-CHAPv2 для Wi-Fi (WPA/WPA2-Enterprise)

На последней DEFCON был продемонстрирован взлом протокола аутентификации MS-CHAPv2. В результате многие СМИ разразились информацией о том, что "тысячи VPN и WPA2-устройств находятся в опасности". Рассмотрим, насколько это утверждение верно для Wi-Fi сети реализующей WPA2. Скандалы? Интриги? Расследования?

Дабы не плодить сущности без необходимости, я дам выжимку с основными фактами и выводами, а также ссылки на первоисточники для тех, кого интересуют подробности.

Скандалы

Исходная информация: блог авторов атаки. Утверждается, что MS-CHAPv2 взламывается с результативностью 100%. Приводятся подробности, из которых видно, что нужно перехватить обмен по протоколу MS-CHAPv2, после чего, используя уязвимости в шифровании можно вычислить реквизиты пользователя. Утверждается, что MS-CHAPv2 используется в системах VPN и WPA2-Enterprise. При этом и VPN и WPA2 упоминаются в контексте AAA-серверов, что весьма логично, ибо именно там и ловится нешифрованный MS-CHAP.

Итого - таки да, MS-CHAPv2 взломан. Если перехватить MS-CHAPv2 обмен между клиентом и AAA-сервером - можно вычислить реквизиты пользователя.

Интриги

После этого, начали появляться статьи типа этой, где WPA2 уже используется вне контекста AAA-серверов. При этом делаются довольно серьезные заявления: "Users who want to crack the key protecting a target's VPN- or WPA2-protected traffic need only capture a single login attempt" (для взлома VPN/WPA2 достаточно перехватить одну попытку входа) и вплоть до "people should immediately stop using VPN and WPA2 products that rely on MS-CHAP" (людям следует немедленно прекратить использовать VPN/WPA2 с MS-CHAP).

Расследования

Ну, для начала, вспомним, что WPA2 существует в двух видах: WPA2-Personal (PSK) и WPA2-Enterprise (802.1x/EAP). MS-CHAPv2 используется только в Enterprise, поэтому пользователи PSK могут спать спокойно.

В Enterprise, MS-CHAPv2 является только одим из возможных методов EAP (есть еще довольно популярный GTC, TTLS и т.д.). Популярность MS-CHAPv2 вызвана тем, что это наиболее простой метод для интеграции с продуктами Microsoft (IAS, AD, и т.д.).

Тем не менее, хоть кто-нибудь видел реализацию WPA2-Enterprise с чистым EAP/MS-CHAPv2 ? Не припоминаю... Любой знающий человек скажет, что должен быть еще туннель (PEAP или TLS). Так вот при наличии туннеля перехват сессии MS-CHAPv2 уже невозможен, т.к. вначале надо взломать шифрование туннеля, так что сенсация отменяется.

Однако, расслабляться еще рано. Туннель строится между клиентом и точкой доступа. Если имперсонировать точку доступа, можно спокойно заполучить и клиента, и его "чистую" MS-CHAPv2 сессию со всеми вытекающими. Отсюда вывод из категории "уж сколько раз твердили миру": ставьте сертификаты на точки доступа и включайте проверку сертификатов на клиентах.

Таким образом, для грамотно построенной беспроводной сети с WPA2-Enterprise на основе PEAP/MS-CHAPv2 новая атака не страшна. Разве что, вклиниться в канал между аутентификатором (ТД, контроллером) и AAA-сервером, но это уже не относится к WPA.

Подробности, иллюстрации и рекомендации по настройке можно почитать здесь и тут.

Еще примеры замечательного маркетинга и ньюсмейкинга на почве безопасности:

• Атака на WPA2-Enterprise "Hole 196", предвещавшая "конец WPA2-Enterprise или покупайте нашу WIPS"
• Атаки на SSL в браузерах, предвещавшая "конец онлайн-платежей"
• Взлом WPA2 и смерть беспроводным сетям вообще

P.S. А вот в PPTP будет беда, если использовать MPPE, да.. Используйте PEAP или EAP-TLS.