امنیت Network Manager

در این قسمت در مورد امنیت فدورا بحث می‌شود.
پست: 90
تاریخ عضویت: دوشنبه 6 آبان 1392, 10:24 pm

امنیت Network Manager

پستتوسط mornwk » شنبه 17 خرداد 1393, 12:56 pm

با سلام.
یه سوال داشتم راجع به امنیت کانکشن اینترنت در لینوکس.
یه مدت پیش من شنیدم بعضی از توزیع های لینوکس که از Network Manager استفاده می کنن رمز wifi رو میتونن افشا کنن. چون پسوردها رو به صورت plaintext ذخیره میکنن. میخواستم بدونم الانم همینطوره؟ و فدورا (فدورا ۲۰) در این باره تو چه وضعیتی قرار داره؟ ممنون.

آواتار کاربر
پست: 1465
تاریخ عضویت: دوشنبه 13 مرداد 1387, 12:22 am
محل اقامت: 1::

Re: امنیت Network Manager

پستتوسط hos7ein » شنبه 17 خرداد 1393, 4:23 pm

یه مدت پیش من شنیدم بعضی از توزیع های لینوکس که از Network Manager استفاده می کنن رمز wifi رو میتونن افشا کنن. چون پسوردها رو به صورت plaintext ذخیره میکنن.

میتونم بپرسم این رو کجا شنیدین؟
تصویر

آواتار کاربر
پست: 1803
تاریخ عضویت: سه شنبه 7 مرداد 1387, 12:57 am
محل اقامت: کرمانشاه

Re: امنیت Network Manager

پستتوسط soa » شنبه 17 خرداد 1393, 4:36 pm

راستش منم اینو شنیدم
توی اینترنت هم ازش صحبت کردن
یه جا هم برای توزیع «بک‌ترک» کامل دستورالعملش رو نوشته بود
ولی راستش خودم تاحالا فرصت نکردم که برم دنبالش ...

آواتار کاربر
پست: 1803
تاریخ عضویت: سه شنبه 7 مرداد 1387, 12:57 am
محل اقامت: کرمانشاه

Re: امنیت Network Manager

پستتوسط soa » شنبه 17 خرداد 1393, 4:36 pm

البته یه جای دیگه‌م فکر کنم برای فدورا هم توضیح داده بود روش کار رو ...

معاونت سایت
آواتار کاربر
پست: 6428
تاریخ عضویت: دوشنبه 21 مرداد 1387, 11:47 pm
محل اقامت: اصفهان

Re: امنیت Network Manager

پستتوسط hedayat » شنبه 17 خرداد 1393, 11:22 pm

mornwk نوشته است:با سلام.
یه سوال داشتم راجع به امنیت کانکشن اینترنت در لینوکس.
یه مدت پیش من شنیدم بعضی از توزیع های لینوکس که از Network Manager استفاده می کنن رمز wifi رو میتونن افشا کنن. چون پسوردها رو به صورت plaintext ذخیره میکنن. میخواستم بدونم الانم همینطوره؟ و فدورا (فدورا ۲۰) در این باره تو چه وضعیتی قرار داره؟ ممنون.


سلام،
اگه سوال در مورد «امنیت اتصال» باشه که خب امنیت اتصال به پروتکل برقراری ارتباط وابستست که معمولا یا WEP هست یا WPA که کلا WEP ضعیف‌تر هست و WPA2 خوبه. NetworkManager تاثیری توی امنیت اتصال نداره! مگر این که باگی در پیاده‌سازی این پروتکل‌ها باشه که اونم باز ربطی به NetworkManager نداره و توی کارت شبکه، فرم‌ورش، درایور یا هسته پیاده‌سازی میشه.

اگه سوال اینه که NM میتونه رمز رو افشا کنه که منظور چیه؟!! یعنی توی برقراری ارتباط کاری بکنه که رمز افشا بشه که اینم میشه همون قضیه بالا و من نشنیدم NM باگ این شکلی داشته باشه.

حالا میریم سر این که آیا رمزها رو به صورت plaintext ذخیره میکنه یا نه و این چه تاثیری داره:
۱. ممکنه به صورت plaintext ذخیره کنه. https://bugzilla.redhat.com/show_bug.cgi?id=729998
در واقع اگه تیک ذخیره سازی تنظیمات برای همه‌ی کاربرهای سیستم زده بشه حتما به صورت plaintext ذخیره میشه.
۲. اگه plaintext ذخیره کنه معنیش این نیست که داره رمز رو افشا میکنه!‌ معنیش فقط اینه که رمز plaintext ذخیره شده و دزدیدنش در صورت دسترسی به سیستم خیلی سخت نیست!
۳. حالا فکر میکنید اگه plaintext ذخیره نکنه لزوما اوضاع بهتر میشه؟ نه، مگر این که این اطلاعات با رمز کاربری شما رمزنگاری بشند که البته این کار در مورد اتصال‌هایی که قراره برای همه‌ی کاربرها در دسترس باشه غیر ممکنه. دقت کنید که اینجا امکان ذخیره کردن hash رمز وجود نداره چون باید خود رمز توی سیستم ذخیره بشه.

فعلا ۲ راه حل هست: ۱. رمز کردن پارتیشن / ۲. رمز کردن پارتیشن home/ و دقت در این که تنظیمات اتصال مخصوص فقط همون کاربر باشه نه همه‌ی کاربران.
در هر حالتی، اگه کسی به سیستم شما در حالی که لاگین باشه دسترسی داشته باشه هر کاری هم که بکنیم اون میتونه به کلمه‌ی عبور شبکه‌های بی‌سیم دسترسی داشته باشه.

پست: 90
تاریخ عضویت: دوشنبه 6 آبان 1392, 10:24 pm

Re: امنیت Network Manager

پستتوسط mornwk » یکشنبه 18 خرداد 1393, 3:40 pm

ممنون بابت توضیحات. سوال منم مشخصا راجع به نحوه ذخیره سازی پسوردها توسط Network Manager بود که چون به صورت plaintext ذخیره می کنه به راحتی میشه به اون ها دسترسی پیدا کرد. خب همونطور که خودتون هم گفتید یکی از راه ها انکریپت کردن هارد هست. اما این تا حدودی میتونه جلوی دزدیده شدن رمزها رو بگیره مثلا اگه کسی با دی وی دی بوت بخواد سیستم رو بالا بیاره اونوقت دیگه نمیتونه. اما اگه سیستم لاگین شده باشه اونوقت دیگه اطلاعات انکریپت نیستن و در اون حالت اگه کسی به سیستم دسترسی داشته باشه میتونه به پسوردا دسترسی پیدا کنه. مگر اینکه وقتی هارد رمزگذاری میشه مثلا فایلهای متنی هم که پسوردها توش ذخیره هستن رمزنگاری بشن و وقتی کاربر با لاگین هم وارد شد باز هم به صورت رمز شده باقی بمونن که فکر نکنم اینطور باشه. اگه اینطوره لطفا بگید.

اما یه روش دیگه نصب ابزار netctl و استفاده از اون به جای Network Manager هست.چون امنیتش بالاتره و پسورد ها رو به صورت plaintext ذخیره نمیکنه و با 256-bit PSK رمز می کنه.
توضیحات بیشتر و اطلاعات رمز نگاریش : https://wiki.archlinux.org/index.php/netctl

اما تا جایی که مشخصه netctl فقط برای آرچ لینوکسه! به نظرتون میشه رو فدروا هم این ابزارو نصب کرد؟

معاونت سایت
آواتار کاربر
پست: 6428
تاریخ عضویت: دوشنبه 21 مرداد 1387, 11:47 pm
محل اقامت: اصفهان

Re: امنیت Network Manager

پستتوسط hedayat » یکشنبه 18 خرداد 1393, 9:13 pm

بله باید بشه روی فدورا هم راش انداخت اما:
Note: Although "encrypted", the key that you put in the profile configuration is enough to connect to a WPA-PSK network. Therefore this process is only useful for hiding the human-readable version of the passphrase. This will not prevent anyone with read access to this file from connecting to the network. You should ask yourself if there is any use in this at all, since using the same passphrase for anything else is a very poor security measure.

و

Users not wishing to have the passphrase to their wireless network stored in plain text have the option of storing the corresponding 256-bit pre-shared key (PSK) instead, which is calculated from the passphrase and the SSID using standard algorithms.

در واقع چیزی که این برنامه ذخیره میکنه به اندازه‌ی خود رمز قابل استفاده است. دقت کنید که چیزی که این برنامه ذخیره میکنه خود کلید ارتباطه. درسته که این کلید «رمز» شده اما برای استفاده از اون نیازی به رمز گشایی نیست! در واقع شما وقتی همون رمز عادی رو هم میزنید سیستم برای این که به شبکه وصل بشه همین PSK رو تولید میکنه و بعد باهاش وصل میشه.

در ضمن، اگه PSK از روی SSID و passphrase رمز شده باشه، وقتی PSKمشخص باشه، SSID هم که معلومه، الگوریتم تولید PSK هم که مشخصه پس اصولا باید بشه از روی SSID و PSK رمز شبکه رو به دست آورد.
در نتیجه همون طوری که توی متن هم توضیح داده این روش فقط رمز رو کمی مخفی میکنه که راحت نشه خوندش!

پست: 90
تاریخ عضویت: دوشنبه 6 آبان 1392, 10:24 pm

Re: امنیت Network Manager

پستتوسط mornwk » یکشنبه 18 خرداد 1393, 11:25 pm

بله درسته همون طور که گفته شده خیلی امنیتش بالا نیست و اصولا دور زدن 256-PSK هم کاری دور از دسترس نیست. ولی خب شاید کمی معقول تر باشه..

پست: 1
تاریخ عضویت: جمعه 13 آذر 1394, 11:26 pm

Re: امنیت Network Manager

پستتوسط atlaspeymans » پنج شنبه 9 آذر 1396, 11:34 am

تشکر از پاسخ خوبتون

طراحی سایت

بازگشت به امنیت

چه کسی آنلاین است

کاربران حاضر در این انجمن : کاربر عضو شده ای موجود نیست و 0 مهمان