Geen modem-only meer ?!

CCatalyst
Elite Poster
Elite Poster
Berichten: 959
Lid geworden op: 20 Jun 2016
Bedankt: 87 keer
Recent bedankt: 1 keer

Re: Geen modem-only meer ?!

Berichtdoor CCatalyst » 07 Okt 2017, 02:07

ITnetadmin schreef:En die client heeft een trust relation met de CA cert van die firewall. Anders kan het gewoonweg niet.


Op grotere schaal, maar dat is dan vooral het domein van "state actors", kan je zelfs bereiken dat je client geen cert moet installeren.

Gewoon onderscheppen, decrypteren en opnieuw encrypteren met een wildcart van een CA dat in de default trusted base van elke browser zit, et voila, de client heeft niets door. Nu, aan die wildcards raken is natuurlijk de moeilijkheid op zich, maar zoals ik al zei, voor bepaalde state actors die toebehoren aan economieën die wat groter en machtiger zijn dan de onze zal dit wel geen enkel probleem zijn. Ook het kostenplaatje om zoiets op grote schaal te doen en snel genoeg zodat de eindgebruiker niets merkt is niet min. Dat gezegd zijnde: als je de e-ID client installeert dan installeer en trust je meteen ook "Belgium Root CA2" op je toestel (en in sommige distributies zit het zelfs inbegrepen), wat in theorie dit soort zaken ook toelaat.

Deze tactiek is ook weer te vermijden met HPKP maar dat slaat niet echt aan voor het moment.

Soit, de modem-only filter is er altijd al geweest, om te vermijden dat iemand "op userbase gelezen heeft dat dit goed is" en dan de volgende dag aan de TN-helpdesk hangt met een hele reeks issues. Als ze merken dat je weet waar je mee bezig bent, dan wordt de modem-only afaik nog altijd afgeleverd en ik zie in deze thread niet meteen een bewijs van het tegendeel. Ik ben afaik niet de enige hier die de technieker enkel maar een blik moest gunnen op de Cisco (of equivalent) hardware thuis om hem meteen terug naar z'n bestelwagentje te zien gaan achter een modem-only.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27107
Lid geworden op: 28 Okt 2003
Bedankt: 1808 keer
Recent bedankt: 15 keer
Uitgedeelde bedankjes: 313 keer

Re: Geen modem-only meer ?!

Berichtdoor r2504 » 07 Okt 2017, 10:32

CCatalyst schreef:met een wildcart van een CA dat in de default trusted base van elke browser zit


Er is geen enkele CA die dergelijk wildcard certificaat gaat afleveren... als dit bekend is kan hij namelijk meteen voor eeuwig z'n boeken sluiten.


Terug naar “Telenet (Chello, UPC)”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast