Como parte de mi función, evalúo las WLAN existentes para obtener soporte de voz. Durante la encuesta, me gusta verificar de forma independiente la mayor cantidad posible de información que me han proporcionado utilizando el análisis de protocolo.. Una configuración que siempre me costó encontrar fue la seguridad en uso, particularmente cuando EAP / Dot1X estaba en uso.
La mayor parte de mi trabajo lo tenía pensado y pude responder a mis últimas preguntas cuando tomé el curso CWAP recientemente con Peter Mackenzie (@MackenzieWiFi). Así que aquí está un vistazo a la detección de la seguridad en uso en un SSID.
Normalmente, la información sobre la seguridad empleada en un SSID se puede encontrar en el RSN IE (Elemento de Información) de las Balizas y Respuestas de sonda. RSN significa Red de seguridad robusta, que creo que se introdujo con 802.11 i. Esta fue la enmienda que hizo que la suite de seguridad WPA2 de WI-Fi Alliances fuera una parte oficial del estándar 802.11. No encontrará un IE RSN en WEP o WPA(1) en ejecución de SSID, ya que son anteriores a 802.11 i.
Para ilustrar este punto, la siguiente captura de pantalla muestra una respuesta de prueba de un SSID que usa autenticación abierta (izquierda) y un SSID que usa autenticación WPA2 (derecha). Puede ver el IE de RSN en la Respuesta de sonda WPA2 a continuación, pero no en la Respuesta de sonda de Autenticación Abierta (pre-802.11 i).
Vale la pena resumir aquí que WPA2 es el método de administración de autenticación y claves para todos los SSID 802.11 i, ya sea que usen una Clave Compartida Previa o un EAP (Protocolo de Autenticación Extensible). A menudo, la gente asume que WPA2 es solo lo que usas en casa en SSID con una contraseña y EAP es otra cosa. Este no es el caso, WPA2 se utiliza para definir el proceso de enlace seguro para PSK y SSID de EAP, por lo tanto, verá en las opciones de Windows para WPA2-Personal (PSK) y WPA2-Enterprise (EAP).
Por lo tanto, suponiendo que esté trabajando con un SSID WPA2, debe mirar el RSN IE (Elemento de información) en las Balizas para el SSID o en las Respuestas de la sonda a un cliente de conexión. El misterio no termina ahí. Si estás acostumbrado a mirar el 802.11 fotogramas, ¡entonces sabrás que son básicamente un idioma diferente! Entender lo que significan todos estos bits es suficiente para hacer que alguien se cruce de ojos. Afortunadamente, tanto Omnipeek como Wireshark hacen un buen trabajo decodificando (traduciendo) esos Bits en información útil.
La siguiente captura de pantalla muestra el IE RSN de una respuesta de sonda WPA2-PSK. Sin la magia de nuestro software de Análisis de protocolos, tendríamos que saber que 00-0F-AC-04 significaba que CCMP estaba en uso para el cifrado y que 00-0F-AC-02 significaba que una Clave Pre Compartida (PSK) estaba en uso para credenciales de acceso. En su lugar, Omnipeek en este caso, pone una hermosa nota verde de moco al final que nos dice esto (Wireshark también hace esto).
En caso de que alguien lo haya olvidado, CCMP es el derivado 802.11 i de AES utilizado para cifrar conexiones WPA2. Cuando vea CCMP, puede leerlo como AES.
También es útil saber que el Protocolo de Autenticación Extensible (EAP) es solo un marco para pasar algún tipo de mecanismo de autenticación y clave, no es un mecanismo definido en sí. Implementaciones como PEAP o EAP-TLS son mecanismos de autenticación específicos que se basan en el marco de EAP para especificar exactamente cómo debe realizarse un intercambio de autenticación.
Por alguna razón, EAP se ha convertido en la terminología utilizada para el acceso a credenciales basado en RADIUS en redes 802.11. Sin embargo, en realidad está encapsulado en el estándar IEEE 802.1 X (o Dot1X como se conoce comúnmente) que se usa para asegurar nuestros SSID «EAP».
Ok. ¡Suficiente! Me duele la cabeza. ¿Y qué hay de los SSID de EAP? ¿Cómo verificamos estos ajustes en nuestro análisis de protocolo? Bueno, hay una razón por la que me sumergí en esa descripción muy concisa e ingrata (y probablemente un poco equivocada) de EAP. ¡Y eso es porque no lo encontrarás listado en tus marcos!
La imagen siguiente muestra una respuesta de sonda de un SSID WPA2-EAP. ¿Observa cómo la suite AKMP aparece como 802.1 X, no como EAP? Frustrantemente, no encontrará el tipo de EAP (PEAP, EAP-TLS, etc.) listado en ninguna Baliza o Respuesta de Sondeo. Esto se debe a que el AP va a usar 802.1 X entre el cliente y él mismo. Los fotogramas EAP encapsulados se enviarán al servidor RADIUS, que decidirá qué tipo de EAP usar. De hecho, al configurar un SSID para EAP, en realidad no podrá especificar un tipo de EAP a usar (unless a menos que también esté utilizando el controlador/punto de acceso como servidor RADIUS).
Nota: La Respuesta de la sonda anterior muestra que el SSID también es compatible con 802.11 r o Transición Rápida (FT) como se conoce en el estándar.
Por lo que puede verificar que el SSID está utilizando WPA2-EAP, pero esto no es suficiente si está tratando de configurar su cliente correctamente para conectarse. ¿Cómo verificamos el tipo de EAP específico en uso? Bueno, por lo que sé, la única manera es intentar conectarse al SSID y ver los mensajes EAP (conocidos como mensajes EAP a través de LAN o EAPOL). La siguiente captura de pantalla muestra un servidor RADIUS que pide a un cliente (en este caso un iPhone) que use EAP-TLS para la autenticación.
Pero para admitir EAP-TLS, un certificado necesita cargarse en el cliente, lo que no hicimos en esta prueba. Por lo tanto, el cliente envía un Acuse de Recibo Negativo (N-Ack) al servidor RADIUS que rechaza EAP-TLS, como puede ver a continuación. Todos estos fotogramas suceden en secuencia, por lo que puede saber que el NAk es para la solicitud EAP-TLS anterior.
Afortunadamente, el servidor RADIUS está configurado con múltiples mecanismos de autenticación, por lo que ahora solicita que el cliente use PEAP.
Esta vez, el cliente admite PEAP, por lo que responde reiterando el uso de PEAP e inicia el proceso de apretón de manos diciendo «Hola».
A continuación, habrá muchos más mensajes EAPOL en su análisis de protocolo a medida que el cliente y el servidor RADIUS continúen con el desafío y la clave involucrados en el tipo de EAP en uso.
Toda esta información está contenida en los encabezados 802.11, por lo que se puede ver sin necesidad de descifrar ninguna captura. Si quieres buscarlo por ti mismo y jugar, puedes descargar la captura de la Asociación EAP utilizada para estas capturas de pantalla aquí.
Espero que esto le ayude a entender un poco más sobre el análisis de protocolo de 802.11 mecanismos de autenticación y resulta útil cuando un cliente tiene dificultades para conectarse a un SSID. Como siempre, deja tus comentarios a continuación y conéctate conmigo en Twitter en @ Mac_WiFi.
* * Gracias a Keith Miller (@packetologist) por la corrección menor y Rob Lowe (@roblowe6981) por pedirme que subiera el archivo de captura * *