v rámci své role hodnotím stávající WLAN pro hlasovou podporu. Během průzkumu rád nezávisle ověřuji co nejvíce informací, které jsem dostal, pomocí analýzy protokolů.. Jedním z nastavení, které jsem se vždy snažil najít, byla bezpečnost v provozu, zvláště když byl používán EAP / Dot1X.
většinu z toho jsem zjistil a byl jsem schopen odpovědět na několik posledních otázek, když jsem nedávno absolvoval kurz CWAP s Peterem Mackenziewifi (@Mackenziewifi). Zde je pohled na zjištění bezpečnosti používané na SSID.
informace o bezpečnosti použité na SSID lze obvykle nalézt v RSN IE (informační prvek) majáků a odpovědí sondy. RSN je zkratka pro robustní bezpečnostní síť, o které se domnívám, že byla zavedena s 802.11 i. to byl pozměňovací návrh, který učinil WI-Fi Alliances WPA2 security suite oficiální součástí standardu 802.11. Nenajdete RSN IE v SSID běží WEP nebo WPA (1), protože jsou pre-802.11 i.
pro ilustraci tohoto bodu níže uvedený snímek obrazovky ukazuje odezvu sondy z SSID pomocí otevřené autentizace (vlevo) a SSID pomocí ověřování WPA2 (vpravo). RSN IE můžete vidět v odpovědi sondy WPA2 níže, ale ne v odpovědi sondy Open Authentication (pre-802.11 i).
zde stojí za to shrnout, že WPA2 je metoda ověřování a správy klíčů pro všechny SSID 802.11 i, ať už používají před sdílený klíč nebo EAP (Extensible Authentication Protocol). Lidé často předpokládají, že WPA2 je pouze to, co používáte doma na SSID s heslem a EAP je něco jiného. To není tento případ, WPA2 se používá k definování procesu secure handshake pro PSK i EAP SSID, proto uvidíte v možnostech Windows pro WPA2-Personal (PSK) a WPA2-Enterprise (EAP).
takže za předpokladu, že pracujete s WPA2 SSID, musíte se podívat na RSN IE (informační prvek) buď v majácích pro SSID, nebo v odpovědích sondy na připojujícího se klienta. Záhada tím ale nekončí. Pokud jste zvyklí dívat se na 802.11 snímků pak budete vědět, že jsou v podstatě jiný jazyk! Pochopení toho, co všechny tyto kousky znamenají, stačí k tomu, aby někdo šel zkříženýma očima. Naštěstí Omnipeek i Wireshark odvádějí docela dobrou práci při dekódování (překladu) těchto bitů do užitečných informací.
níže uvedený snímek obrazovky ukazuje RSN IE odezvy sondy WPA2-PSK. Bez kouzla našeho softwaru analyzátoru protokolů bychom museli vědět, že 00-0F-AC-04 znamenal, že CCMP byl používán pro šifrování a že 00-0F-AC-02 znamenal, že pro přístupové údaje byl použit předem sdílený klíč (PSK). Místo toho Omnipeek v tomto případě dává na konec krásnou hlenovou zelenou poznámku, která nám to říká (Wireshark to také dělá).
v případě, že někdo zapomněl, CCMP je 802.11 i derivát AES používaný k šifrování připojení WPA2. Když vidíte CCMP si můžete přečíst jako AES.
je také užitečné vědět, že Extensible Authentication Protocol (EAP) je pouze rámec pro předávání nějakého druhu autentizace a klíčovacího mechanismu, není to samotný definovaný mechanismus. Implementace jako PEAP nebo EAP-TLS jsou specifické autentizační mechanismy, které staví na rámci EAP a přesně určují, jak by měla probíhat výměna ověřování.
z nějakého důvodu se EAP stala terminologií používanou pro RADIUS based credential access v sítích 802.11. Ve skutečnosti je však EAP zapouzdřen ve standardu IEEE 802.1 X (nebo Dot1X jako jeho běžně známý), který se používá k zabezpečení našich SSID „EAP“.
Ok. Dost! Bolí mě hlava. A co EAP SSID? Jak ověříme tato nastavení v naší analýze protokolu? No, existuje důvod, proč jsem se ponořil do toho velmi výstižného a nevděčného (a pravděpodobně mírně špatného) popisu EAP. A to proto, že ji nenajdete ve svých rámečcích!
Snímek obrazovky níže ukazuje odezvu sondy z SSID WPA2-EAP. Všimněte si, jak je sada AKMP uvedena jako 802.1 X, ne EAP? Frustrovaně nenajdete Typ EAP (PEAP, EAP-TLS atd.) uvedený v žádných majácích nebo odpovědích sondy. Je to proto, že AP bude používat 802.1 X mezi klientem a sebou. Zapouzdřené rámce EAP budou poté odeslány na server RADIUS, který rozhodne, který typ EAP použít. Ve skutečnosti při konfiguraci SSID pro EAP nebudete moci určit typ EAP, který chcete použít (…pokud také nepoužíváte řadič/přístupový bod jako server RADIUS).
Poznámka: Výše uvedená odezva sondy ukazuje, že SSID také podporuje 802.11 r nebo rychlý přechod (FT), jak je známo ve standardu.
takže můžete ověřit, že SSID používá WPA2-EAP, ale to nestačí, pokud se pokoušíte správně nakonfigurovat klienta pro připojení. Jak ověříme konkrétní používaný typ EAP? Pokud vím, jediným způsobem je pokusit se připojit k SSID a sledovat zprávy EAP (známé jako EAP přes LAN nebo eapol zprávy). Níže uvedený snímek obrazovky ukazuje server RADIUS, který žádá klienta (v tomto případě iPhone), aby pro autentizaci použil EAP-TLS.
pro podporu EAP-TLS je však třeba na klienta načíst certifikát, což jsme v tomto testu neudělali. Klient tedy odešle negativní potvrzení (N-Ack) serveru RADIUS, který klesá EAP-TLS, jak vidíte níže. Všechny tyto rámce se dějí postupně, takže můžete říct, že NAk je pro předchozí požadavek EAP-TLS.
naštěstí je server RADIUS nastaven s více autentizačními mechanismy, takže nyní požaduje, aby klient používal PEAP.
tentokrát klient podporuje PEAP, takže reaguje na opakování použití PEAP a zahájí proces podání ruky slovy „Ahoj“.
v analýze protokolu pak bude mnohem více zpráv EAPOL, protože klient a server RADIUS pokračují v výzvě a klíčování zapojené do používaného typu EAP.
všechny tyto informace jsou obsaženy v hlavičkách 802.11, takže je možné je zobrazit, aniž byste museli dešifrovat jakékoli snímky. Pokud se chcete podívat na sebe a hrát si, můžete si stáhnout EAP Association capture použitý pro tyto screenshoty zde.
doufám, že vám to pomůže pochopit trochu více o analýze protokolu 802.11 autentizační mechanismy a osvědčí se, když máte klienta, který se snaží připojit k SSID. Jako vždy prosím zanechte svůj názor níže a spojte se se mnou na Twitteru na adrese @Mac_WiFi.
* * díky Keithu Millerovi (@packetologist) za menší korekci a Rob Lowe (@roblowe6981) za výzvu k nahrání souboru capture * *