freeradius radcheck a heslo sha1

okoun

Ahoj, mám jeden malý problém snažím se vkládat hesla na přihlášení pppoe ve formě sha1 nicméně nechce to sežrat. dávám attribut "sha1-password" jako attribut, který jsem si našel zde: :|

okoun

tak jsem ještě laboroval a zjistil jsem že když zaškrtnu na pppoe serveru authentication pouze pap tak to funguje ale když mám zaškrtnuté všechny tedy: pap chap mschap2 mschap1 tak nic, dá se s tím něco udělat aby to šlo i když mám zaškrtnuté všechny?

majklik

Nu, protože viz: http://wiki.freeradius.org/guide/FAQ#co ... chap-fails

Poslední věta: The CHAP protocol requires that you store the passwords in plain-text format.

A por mschap1/2 platí v podstatě podobné, respektive by jsi musel místo sha1 uložení hesel použít pro ně formát NT-Password.

okoun

Nu, protože viz: http://wiki.freeradius.org/guide/FAQ#co ... chap-fails

Poslední věta: The CHAP protocol requires that you store the passwords in plain-text format.

A por mschap1/2 platí v podstatě podobné, respektive by jsi musel místo sha1 uložení hesel použít pro ně formát NT-Password.

díky, nu a já nemohu nikde nastavit na mikrotik NASu aby vždy prvně zkoušel PAP?

majklik

Na PPPoE serveru jen nastavuješ jaké protokoly bude PPPoE server akceptovat. Jaký se skutečně použije, je pak dáno tím, co má povoleno/umí PPPoE klient. Pokud je klient a server ROS a je vše povoleno, tak zkusí nějaký ten CHAP a narazíš, protože pro něj to neumí radius ověřit proti sha1 hashi (pro PAP to ověřit umí, protože dostane heslo jako text a zahashuje si jej, ale u CHAP variant už dostane hash, který nemá jak převést/porovnat s tím sha1, co se tam snažíš strkat). A pokud se udělá ověeřeí pomocí CHAP a selže, tak se již neprovádí fallback na PAP (to by musela být nějaká vychytávka v klientovi, aby to zkusil znovu s PAPem).

Pokud chceš ukládat hashovaná hesla, tak leda povolit použít PAP/MSCHAP1/MSCHAP2 a ukládat NThash do Radiusu (a možná paralelněnějaký ten SSHA).

okoun

Na PPPoE serveru jen nastavuješ jaké protokoly bude PPPoE server akceptovat. Jaký se skutečně použije, je pak dáno tím, co má povoleno/umí PPPoE klient. Pokud je klient a server ROS a je vše povoleno, tak zkusí nějaký ten CHAP a narazíš, protože pro něj to neumí radius ověřit proti sha1 hashi (pro PAP to ověřit umí, protože dostane heslo jako text a zahashuje si jej, ale u CHAP variant už dostane hash, který nemá jak převést/porovnat s tím sha1, co se tam snažíš strkat). A pokud se udělá ověeřeí pomocí CHAP a selže, tak se již neprovádí fallback na PAP (to by musela být nějaká vychytávka v klientovi, aby to zkusil znovu s PAPem).

Pokud chceš ukládat hashovaná hesla, tak leda povolit použít PAP/MSCHAP1/MSCHAP2 a ukládat NThash do Radiusu (a možná paralelněnějaký ten SSHA).

ok takže teď budu muset project všechny nasy nějakým scriptem, který mi všade zakáže ten CHAP, nastává otázke jstli se na to vůbec nevykašla a nepoužívat klasické clear heslo :

majklik

Nu, nahlédni do bezpečnostní analýzy své sítě. :-) Co je větší pravděpodobnost/riziko? Že ti někdo úspěšně hackne DB/radius server a vyluxuje hesla, když budeš mít hesla nehashované nebo úspěšně bude odpouslouchávat PAP proudící vzduchem v PPPoE a pak Radius requestech v tom IPIP tunelu přes půlku vlasti? :-)

Nechal bych hesla v cleartextu, v PPPoE se snažil používat primárně klasický CHAP a šel otravovat Mikroťáky, že by mohli zapracovat nějakou formu PPPoE helperů do svých produktů, aspoň CRS switchů a pak dělal autorizaci na zákldě ifnromací od PPPoE helperu ohledně portu jdoucího koncákovi domů a ne pofidernímu jménu/heslo.

okoun

Nu, nahlédni do bezpečnostní analýzy své sítě. :-) Co je větší pravděpodobnost/riziko? Že ti někdo úspěšně hackne DB/radius server a vyluxuje hesla, když budeš mít hesla nehashované nebo úspěšně bude odpouslouchávat PAP proudící vzduchem v PPPoE a pak Radius requestech v tom IPIP tunelu přes půlku vlasti? :-)

Nechal bych hesla v cleartextu, v PPPoE se snažil používat primárně klasický CHAP a šel otravovat Mikroťáky, že by mohli zapracovat nějakou formu PPPoE helperů do svých produktů, aspoň CRS switchů a pak dělal autorizaci na zákldě ifnromací od PPPoE helperu ohledně portu jdoucího koncákovi domů a ne pofidernímu jménu/heslo.

asi tak když někdo vyseja databázi tak si pomůže i s tím hashem jelikož tam v tabulce mám uložené i heslo v clear textu protože když se mě zeptá klient jaké že to má nastavené heslo, tak mu musím nějak odpovědět, že :) takže asi se na nějaké hashe vykašlu...

majklik

Pak nemá smysl ukládat vedle sebe clear text a hashované varianty a můžeš tam nechat jen ten clear.

Dávalo by to smysl, pokud by cleartextové heslo bylo v nějakém tvém IS systému mimo, který by vyráběl hashe a jendnosměrně to nastavoval do radius serveru.