it-gundan.com

사용자 이름 + 비밀번호보다 안전한 비밀번호는 무엇입니까?

컨텍스트 : 조직에서 제공 한 랩톱이 있습니다. eduroam 에 연결하려고하지만 조직의 랩톱을 사용하여 연결할 수 없습니다. 개인용 컴퓨터를 사용할 때 표준 Wi-Fi 네트워크가 비밀번호를 요청하는 것처럼 사용자 이름과 비밀번호를 묻습니다.

내부 IT 정책에서 아래 텍스트를 찾았습니다. 이해하는 데 도움이 필요합니다. 나에게 그것은 완전히 반 직관적입니다 .

호텔, 커피 숍 및 공용 WiFi 핫스팟 사용

호텔, 커피 숍 등에서 WiFi를 사용하기 위해 랩톱을 연결할 수는 있지만 WiFi 설정 방법에 따라 다릅니다.

  • "열린"경우 (즉, 연결할 때 비밀번호가 필요하지 않은 경우) 괜찮을 것입니다
  • wiFi에 연결하기 위해 암호가 필요하도록 설정되어 있으면 (이 암호는 시설에서 제공 한 것임) 다시 확인해야합니다.
  • 그러나 WiFi에 쉽게 연결할 수 있지만 웹 브라우저 소프트웨어에 사용자 이름 및/또는 비밀번호를 입력해야하는 경우 서비스에 액세스 할 수 없습니다.

랩톱이 구축되는 보안 표준은“더러운”또는 안전하지 않은 인터넷 연결에 직접 연결할 수 없음을 의미합니다. 모든 것은 안전한 VPN 연결을 통해 IT 네트워크로 연결됩니다. 따라서 사용자는 먼저 VPN에 연결하지 않고 비밀번호를 입력해야하는 웹 페이지에 접속할 수 없으며 웹 페이지에 먼저 접속하지 않으면 VPN에 연결할 수 없습니다.

그래서 기본적으로, 나는 모든 사람이 네트워크를 공유하는 커피 숍에서 내 업무용 랩톱을 사용할 수 있습니다 (예 : here ). 암호 보안이있는 네트워크에서만 사용할 수 있으며 해킹에 대한 WikiHow (!) 안내서도 있습니다. 그러나 사용자 이름과 암호가 모두 필요한 네트워크에서는 사용할 수 없으므로 해킹하기가 훨씬 어렵습니다.

내 조직의 기본이되는 보안 감각은 무엇입니까? 뭔가 빠졌습니까?

78
luchonacho

그들은 랩탑이 VPN 연결을 시작하고 네트워크에 접속 한 후에 만 ​​"홈베이스"와 통신하도록 구성했습니다. 즉, 자격 증명을 입력해야하는 로컬 "포괄 포털"이 있으면 VPN을 회피해야하기 때문에 자격 증명을 사용할 수 없습니다.

(닭과 계란 일입니다. VPN이없고 포털에 도달 할 수있는 능력이 없습니다-포털이 없으며 VPN을 스핀 업 할 수 없습니다!)

어떤 연결을 사용하든 전송하는 모든 네트워크 트래픽이 회사 네트워크, 회사의 제어를 통과하고 다른 사람이 가로 채거나 조작하지 않도록 보장하기 때문에 더욱 안전합니다.

안타깝게도 "포괄 포털"을 사용하여 무선의 경우를 망가뜨릴 수 있지만,이 경우 컴퓨터가 VPN을 통하지 않고 임의의 컴퓨터와 직접 통신 할 수있어 보안이 저하됩니다.


주석에서 언급 한 "eduroam"서비스 명시 적으로 포로 포털이 없음 이지만 802.1X 기반의 WPA-Enterprise를 사용합니다.

eduroam은 인증을 위해 웹 포털을 사용합니까?

아니요. Web Portal, Captive Portal 또는 Splash-Screen 기반 인증 메커니즘은 eduroam 자격 증명을 안전하게받는 방법이 아닙니다 ... eduroam은 802.1X를 사용해야합니다 ...

802.1X는 네트워크에 연결하도록 컴퓨터를 구성하기 위해 입력해야하는 인증 종류이므로이 경우 IT 정책에 명시 적으로 다음과 같이 허용됩니다.

wiFi에 연결하기 위해 암호가 필요하도록 설정되어 있으면 (이 암호는 시설에서 제공 한 것임) 다시 확인해야합니다.

실제로, eduroam은 IT 정책과 매우 잘 일치하는 것으로 보입니다. 이들은 포로 포털이 부과 한 "나쁜 보안"을 불신합니다.


원래 질문에 대한 수정 내용을 기반으로 :

Eduroam에 연결하려고하지만 조직의 랩톱을 사용하여 연결할 수 없습니다. 개인용 컴퓨터를 사용할 때 표준 Wi-Fi 네트워크가 비밀번호를 요청하는 것처럼 사용자 이름과 비밀번호를 묻습니다.

그것은 조직의 랩탑이 개인용 컴퓨터와 같은 방식으로 새 네트워크에 연결하라는 메시지를 표시하지 않는다는 것을 의미합니다. 운영 체제가 다르거 나 두 컴퓨터에 다른 정책이 적용 되었기 때문일 수 있습니다. eduroam 네트워크에 연결하기 위해 802.1X 구성에 대한 도움을 IT 그룹에 요청하기 만하면됩니다. 해당 키워드를 사용하면 그들이 원하는 것을하려고한다는 것을 분명히 할 수 있습니다.

168
gowenfawr

서비스를 사용하기 전에 일부 웹 사이트에 처음 연결하는 경우 웹 사이트에 전자 메일 주소 또는 다른 데이터를 제공해야하는 경우이 페이지를 캡 티브 포털이라고합니다.

회사 랩톱은 인터넷 연결을 감지하면 회사 VPN에 다시 연결 한 다음 다시 연결되도록 설정되어 있습니다. 대부분의 경우 (질문 1과 2의 시나리오) 암호로 wifi에 연결하거나 wifi를 열고 회사 VPN으로 터널링 한 다음 다시 연결할 수 있습니다.이 모든 것은 wifi 서비스를 사용하여 수행됩니다. 연결 중입니다.

그러나 상황 3에서는 캡 티브 포털 웹 페이지에 접속할 수 있습니다. 연결하려면 먼저 일부 데이터를 입력해야합니다. 그러나 랩톱은 회사 VPN에 먼저 연결해야하는 방식으로 설계되었습니다. 이는 캡 티브 포털에서 자격 증명을 입력하지 않았기 때문에 VPN에 연결할 수 없으며 아직 VPN에 연결하지 않았기 때문에 자격 증명을 입력 할 수 없음을 의미합니다.

잘하면 이것은 내 이전 의견보다 귀하의 질문에 조금 더 잘 대답하기를 바랍니다. 여기에 의견을 남겨 주시면 추가 질문이 있으면 업데이트하겠습니다.

편집 : 회사가 이러한 유형의 설정을 할 수있는 이유를 추가하기 위해서는 모든 트래픽이 VPN을 통과하고 다른 정책을 시행 할 수 있기 때문입니다. 허용되는 사용 등. 자세한 내용은 @gowenfawr 답변을 참조하십시오.

15
Connor J

정책에 대한 이해에 대해서는 이미 좋은 답변이 있지만, 모든 기반이 답변 측면에서 다루어 질 수 있도록 eduroam 보안 및 연결 프로필에 대해 간단히 이야기하겠습니다. 나는 듀로 암을 제공하는 두 개의 대학에서 일했고 많은 시간을 보냈습니다.

Eduroam은 한 대학의 구성원이 다른 파트너 기관의 네트워크 리소스에 액세스 할 수 있도록 서로 협력하는 대학 및 기타 교육 기관의 글로벌 네트워크입니다.

Eduroam에 대한 인증은 802.1x 프로토콜을 통해 이루어집니다 (MS-CHAP v2의 경우 적어도 제 경험으로는 2 단계 인증). AP/컨트롤러가 RADIUS 가정 기관의 서버와 통신하기 위해 RADIUS)를 사용하는 곳입니다. 모두 좋다고 가정하면 클라이언트는 연결할 수 있습니다.

기기에서 AP 로의 무선 패킷 암호화는 WPA2 (엔터프라이즈, 따라서 802.1x 인증) 암호화로 수행됩니다.

내가 eduroam 연결 프로파일에서 본 가장 큰 문제 중 하나는 운영 체제가 로그온 한 사용자의 자격 증명을 자동으로 제출할 때입니다 (이는 Windows 7 이하의 기본값입니다. Windows 8에서는이를 변경했다고 생각합니다). 또한 Windows가 때때로 컴퓨터 계정과 연결을 시도하는 문제를 보았습니다.이 계정은 일반적으로 대학에서 승인하지 않습니다 (사용자 계정 만 해당).

Eduroam에 연결되면 회사는 VPN 제공 업체를 통해 데이터를 터널링합니다. 연결하려는 기관에 eduroam 네트워크가 어떻게 설정되어 있는지에 따라 이것이 작동하거나 작동하지 않을 수 있습니다 (내가 일한 곳은 eduroam에있는 동안 일부 VPN 만 허용했지만 전부는 아닙니다).

12
Allen Howard

당신이 말하는 것은 captive portal 입니다.

이러한 포털을 웹 브라우저에 표시하려면 다음과 같은 상황이 발생해야합니다.

  1. WiFi 라우터는 컴퓨터가 공개 웹 사이트에 암호화되지 않은 (http : //) 요청을 할 때까지 기다립니다.
  2. 그것은 그 요청을 가로 챈다
  3. 도달하려는 웹 사이트를 가장하여 포털로 리디렉션을 보내 응답합니다.

이것은 컴퓨터의 모든 보안 소프트웨어에 매우 악의적입니다. 신뢰할 수없는 네트워크를 통해 공개 웹 사이트에 대해 암호화되지 않은 http 요청을하고 중간자 공격의 피해자가됩니다. 예, 당신은 이것을 알고 있으며, 당신은 단지 포로 포털을 볼 수 있도록 그냥하고 있습니다. 그러나 캡 티브 포털은 표준화되어 있지 않으므로 컴퓨터에서 차이점을 알 수 없습니다.

IT 부서에서이 프로세스를 허용하면 완전히 안전하지 않은 연결을 통해 인터넷을 탐색 할 수도 있습니다.

9
Philipp

일반적으로 이러한 Wi-Fi 핫스팟은 MAC 주소를 통해 인증됩니다. 즉, 포로 포털을 통해 로그인하면 시스템의 Wi-Fi MAC 주소를 기억합니다. 해당 MAC 주소의 트래픽은 정책에 따라 X- 분/시간 동안 Wi-Fi 핫스팟에서 허용됩니다.

또한 걸어서 돌아와서 새로운 IP 주소를 얻고 MAC 주소에서만 인식 할 수있을만큼 오래 보관합니다. 일부는 광대하다. Target 's 게스트 Wi-Fi에서 "TOS Accept"를 누르면 years의 MAC 주소와 전국 부팅을 기억합니다.

따라서 질문은 : that MAC address, http://neverssl.com (또는 비 HTTPS 사이트)를 사용하여 종속 포털로 리디렉션하고 종속 포털의 요구 사항을 충족하며 MAC 주소를 "기억"하는 것이 좋습니다.

내 생각은 다른 장치 사용 로 MAC 주소를 임의로 변경할 수 있습니다. 회사 랩톱의 Wi-Fi를 비활성화하고 다른 장치에서 MAC 주소를 설정하십시오. 이를 사용하여 캡 티브 포털의 화면을 살펴보십시오. Wi-Fi를 비활성화하고 회사 랩톱의 Wi-Fi를 활성화하십시오.

또 다른 대안은 엄지 드라이브에서 랩톱이없는 OS로 랩톱을 재부팅하여 회사가 괜찮다고 가정하는 것입니다.

자, 질문에서 몇 가지 요점을 다루겠습니다.

조직은 종종 암호없이 인증을 위해 LDAP 및 기타 방법을 사용하지만 더욱 안전합니다.

인프라 VPN은 특정 IP 범위 만 허용하며 방화벽 설정 및 iptables는 인트라넷/내부 네트워크와 통신 할 수 있습니다. 이제 실제로 자격 증명을 얻거나 Cisco SSL VPN 또는 Sophos 인프라 VPN과 같은 인프라 VPN을 통해서만 회사의 네트워크를 사용하여 특정 IP 서브넷/범위를 사용하여이 인트라넷에만 액세스 할 수 있습니다.

이것이 당신이 가진 의심을 없애기를 바랍니다!

추신 -인프라 용 Cisco SSL VPN처럼 안전하게 구현 된 IPSec 프로토콜을 사용하는 보안 VPN의 사용은 기존의 것보다 훨씬 안전하며 사실상 네트워크에 액세스 할 수없는 외부 공격자의 맥락에서 심층 보안을 제공합니다. 인프라 VPN에 액세스하지 않고도.

2
A Khan

조직의 sysadmins가 갈 것인지 말할 수 없지만 VPN 구성에서 웹 사이트에 대한 암호화되지 않은 직접 연결을 허용하기 위해 VPN 구성에서 특정 예외를 만들 것을 제안 할 수 있습니다 http://neverssl.com / . 이 사이트의 전체 목적은 포로 포털에 의해 납치되는 것입니다. 캡 티브 포털이 암호화되지 않은 HTTP 연결을 가로 채어 로그인 페이지를 표시하고 정보를 허용하지 않아 회사 데이터를 유출 할 수있는 경우를 제외하고는 회사 VPN을 통해 방문 할 필요가 없습니다. 그런 식으로. 남은 위험은 포로 포털 자체가 악의적 일 수 있으며, 이는 실제 위험이므로 그렇게하지 않을 수도 있습니다. 그러나 시도해 볼 가치가 있습니다.

0
zwol

사용자 이름 + 비밀번호보다 안전한 비밀번호는 무엇입니까?

공유 키 를 사용하는 경우입니다. 작동 방식은 다음과 같습니다. 간단히 설명합니다.

컴퓨터에 보안 키가 있습니다. 로그인하려는 키와 일치하는 키가 있습니다. 이를 통해 간단하고 빠르고 안전한 비밀번호없는 로그인이 가능합니다.

이 링크 주로 사용자 이름과 비밀번호를 입력하지 않고 ssh를 통해 원격 서버에 원격으로 로그인하는 것입니다. 나는 다른 상태에서 임대 된 베어 메탈 서버에 ssh해야 할 때 항상 그렇게합니다. 확실히, 귀하의 경우에는 그렇게 할 수 있습니다.

0
Mike Waters