Im Rahmen meiner Tätigkeit bewerte ich bestehende WLANs auf Sprachunterstützung. Während der Umfrage möchte ich so viele Informationen wie möglich mithilfe der Protokollanalyse unabhängig überprüfen.. Eine Einstellung, die ich immer zu finden hatte, war die verwendete Sicherheit, insbesondere wenn EAP / Dot1X verwendet wurde.
Ich hatte das meiste herausgefunden und konnte meine letzten Fragen beantworten, als ich kürzlich den CWAP-Kurs mit Peter Mackenzie (@MackenzieWiFi) besuchte. Hier sehen Sie, wie Sie die verwendete Sicherheit auf einer SSID erkennen.
Normalerweise finden sich Informationen über die Sicherheit einer SSID im RSN IE (Information Element) von Beacons und Probe Responses. RSN steht für Robustes Sicherheitsnetzwerk, das meiner Meinung nach mit 802.11i eingeführt wurde. Dies war die Änderung, die die WI-Fi Alliances WPA2 Security Suite zu einem offiziellen Teil des 802.11-Standards machte. Sie werden keinen RSN IE in SSIDs finden, die WEP oder WPA (1) ausführen, da sie vor 802.11i sind.
Um diesen Punkt zu veranschaulichen, zeigt der folgende Screenshot eine Testantwort von einer SSID mit offener Authentifizierung (links) und einer SSID mit WPA2-Authentifizierung (rechts). Sie können den RSN IE in der WPA2-Testantwort unten sehen, jedoch nicht in der Testantwort Open Authentication (vor 802.11i).
Es lohnt sich, hier zusammenzufassen, dass WPA2 die Authentifizierungs- und Schlüsselverwaltungsmethode für alle 802.11i-SSIDs ist, unabhängig davon, ob sie einen Pre Shared Key oder EAP (Extensible Authentication Protocol) verwenden. Oft gehen die Leute davon aus, dass WPA2 nur das ist, was Sie zu Hause auf SSIDs mit einem Passwort verwenden, und EAP ist etwas anderes. Dies ist nicht der Fall, WPA2 wird verwendet, um den sicheren Handshake-Prozess für PSK- und EAP-SSIDs zu definieren, daher sehen Sie in Windows-Optionen für WPA2-Personal (PSK) und WPA2-Enterprise (EAP).
Angenommen, Sie arbeiten mit einer WPA2-SSID, müssen Sie sich das RSND (Information Element) entweder in den Beacons für die SSID oder in den Testantworten für einen verbindenden Client ansehen. Das Geheimnis endet jedoch nicht dort. Wenn Sie es gewohnt sind, 802 zu betrachten.11 frames dann werden Sie wissen, dass sie im Grunde eine andere Sprache sind! Zu verstehen, was all diese Bits bedeuten, reicht aus, um jemanden dazu zu bringen, die Augen zu verschließen. Glücklicherweise können sowohl Omnipeek als auch Wireshark diese Bits ziemlich gut in nützliche Informationen decodieren (übersetzen).
Der folgende Screenshot zeigt den RSN-Wert einer WPA2-PSK-Testantwort. Ohne die Magie unserer Protokollanalysesoftware müssten wir wissen, dass 00-0F-AC-04 bedeutete, dass CCMP für die Verschlüsselung verwendet wurde und dass 00-0F-AC-02 bedeutete, dass ein Pre Shared Key (PSK) für die Zugangsdaten verwendet wurde. Stattdessen setzt Omnipeek in diesem Fall eine schöne, grüne Notiz am Ende, die uns dies mitteilt (Wireshark tut dies auch).
Falls jemand vergessen hat, ist CCMP die 802.11i-Ableitung von AES, die zur Verschlüsselung von WPA2-Verbindungen verwendet wird. Wenn Sie CCMP sehen, können Sie es als AES lesen.
Es ist auch hilfreich zu wissen, dass das Extensible Authentication Protocol (EAP) nur ein Framework ist, um eine Art Authentifizierungs- und Schlüsselmechanismus zu übergeben, es ist kein definierter Mechanismus selbst. Implementierungen wie PEAP oder EAP-TLS sind spezifische Authentifizierungsmechanismen, die auf dem EAP-Framework aufbauen, um genau anzugeben, wie ein Authentifizierungsaustausch stattfinden soll.
Aus irgendeinem Grund ist EAP zur Terminologie für den RADIUS-basierten Zugriff auf Anmeldeinformationen in 802.11-Netzwerken geworden. Es ist jedoch tatsächlich EAP, das im IEEE 802.1X-Standard (oder Dot1X, wie allgemein bekannt) gekapselt ist und zum Sichern unserer „EAP“ -SSIDs verwendet wird.
Ok. Genug! Mein Kopf tut weh. Was ist mit EAP SSIDs? Wie überprüfen wir diese Einstellungen in unserer Protokollanalyse? Nun, es gibt einen Grund, warum ich in diese sehr prägnante und undankbare (und wahrscheinlich etwas falsche) Beschreibung von EAP eingetaucht bin. Und das liegt daran, dass Sie es nicht in Ihren Frames finden!
Der Screenshot unten zeigt eine Probe-Antwort von einer WPA2-EAP-SSID. Beachten Sie, dass die AKMP Suite als 802.1X und nicht als EAP aufgeführt ist? Frustrierend ist, dass Sie den EAP-Typ (PEAP, EAP-TLS usw.) nicht in Beacons oder Sondenantworten finden. Dies liegt daran, dass der AP 802.1X zwischen dem Client und sich selbst verwenden wird. Die gekapselten EAP-Frames werden dann an den RADIUS-Server gesendet, der entscheidet, welcher EAP-Typ verwendet werden soll. Tatsächlich können Sie beim Konfigurieren einer SSID für EAP keinen zu verwendenden EAP-Typ angeben (… es sei denn, Sie verwenden den Controller / Zugriffspunkt auch als RADIUS-Server).
Hinweis: Die obige Sondenantwort zeigt, dass die SSID auch 802.11r oder Fast Transition (FT) unterstützt, wie es im Standard bekannt ist.
Sie können also überprüfen, ob die SSID WPA2-EAP verwendet, dies reicht jedoch nicht aus, wenn Sie versuchen, Ihren Client für die Verbindung korrekt zu konfigurieren. Wie überprüfen wir den spezifischen verwendeten EAP-Typ? Soweit ich weiß, besteht die einzige Möglichkeit darin, eine Verbindung zur SSID herzustellen und die EAP-Nachrichten (bekannt als EAP-Über-LAN- oder EAPOL-Nachrichten) zu überwachen. Der folgende Screenshot zeigt einen RADIUS-Server, der einen Client (in diesem Fall ein iPhone) auffordert, EAP-TLS für die Authentifizierung zu verwenden.
Um EAP-TLS zu unterstützen, muss jedoch ein Zertifikat auf den Client geladen werden, was wir in diesem Test nicht getan haben. Der Client sendet also eine negative Bestätigung (N-Ack) über EAP-TLS an den RADIUS-Server, wie Sie unten sehen können. Diese Frames werden alle nacheinander ausgeführt, sodass Sie feststellen können, dass der NAk für die vorherige EAP-TLS-Anforderung bestimmt ist.
Glücklicherweise ist der RADIUS-Server mit mehreren Authentifizierungsmechanismen eingerichtet, sodass er jetzt anfordert, dass der Client PEAP verwendet.
Diesmal unterstützt der Client PEAP, antwortet also erneut auf die Verwendung von PEAP und startet den Handshake-Prozess mit „Hallo“.
Es wird dann viel mehr EAPOL-Nachrichten in Ihrer Protokollanalyse geben, da der Client und der RADIUS-Server die Herausforderung und das Keying des verwendeten EAP-Typs fortsetzen.
Alle diese Informationen sind in den 802.11-Headern enthalten und können angezeigt werden, ohne dass Captures entschlüsselt werden müssen. Wenn Sie selbst schauen und herumspielen möchten, können Sie das für diese Screenshots verwendete EAP Association Capture hier herunterladen.
Ich hoffe, dies hilft Ihnen, ein wenig mehr über die Protokollanalyse von 802 zu verstehen.11 Authentifizierungsmechanismen und erweist sich als nützlich, wenn Sie einen Client haben kämpfen, um eine SSID zu verbinden. Wie immer, bitte hinterlassen Sie Ihr Feedback unten und verbinden Sie sich mit mir auf Twitter unter @Mac_WiFi.
** Danke an Keith Miller (@packetologist) für die kleine Korrektur und Rob Lowe (@roblowe6981) für die Aufforderung, die Capture-Datei hochzuladen **