Dans le cadre de mon rôle, j’évalue les WLAN existants pour le support vocal. Au cours de l’enquête, j’aime vérifier de manière indépendante autant d’informations que possible à l’aide d’une analyse de protocole.. Un paramètre que j’ai toujours eu du mal à trouver était la sécurité utilisée, en particulier lorsque EAP / Dot1X était utilisé.
J’en avais la plupart compris et j’ai pu répondre à mes dernières questions lorsque j’ai suivi le cours du CWAP récemment avec Peter Mackenzie (@MackenzieWiFi). Voici donc un aperçu de la sécurité utilisée sur un SSID.
Normalement, des informations sur la sécurité utilisée sur un SSID peuvent être trouvées dans le RSN IE (Élément d’Information) des Balises et des Réponses de Sonde. RSN signifie Réseau de sécurité robuste, qui, je crois, a été introduit avec 802.11i. C’est l’amendement qui a fait de la suite de sécurité WI-Fi Alliances WPA2 une partie officielle de la norme 802.11. Vous ne trouverez pas d’IE RSN dans le WEP ou le WPA(1) en cours d’exécution du SSID car ils sont antérieurs à 802.11i.
Pour illustrer ce point, la capture d’écran ci-dessous montre une réponse de sonde d’un SSID utilisant l’authentification ouverte (à gauche) et d’un SSID utilisant l’authentification WPA2 (à droite). Vous pouvez voir l’IE RSN dans la réponse de sonde WPA2 ci-dessous, mais pas dans la réponse de sonde Open Authentication (pre-802.11i).
Il convient de rappeler ici que WPA2 est la méthode d’authentification et de gestion des clés pour tous les SSID 802.11i, qu’ils utilisent une clé pré-partagée ou un EAP (Extensible Authentication Protocol). Souvent, les gens supposent que WPA2 n’est que ce que vous utilisez à la maison sur les SSID avec un mot de passe et EAP est autre chose. Ce n’est pas le cas, WPA2 est utilisé pour définir le processus de prise de contact sécurisé pour les SSID PSK et EAP, vous verrez donc dans les options Windows pour WPA2-Personal (PSK) et WPA2-Enterprise (EAP).
Donc, en supposant que vous travaillez avec un SSID WPA2, vous devez examiner l’IE RSN (Élément d’information) dans les balises du SSID ou dans les Réponses de la sonde à un client de connexion. Le mystère ne s’arrête pas là cependant. Si vous avez l’habitude de regarder 802.11 cadres alors vous saurez qu’ils sont fondamentalement une langue différente! Comprendre ce que tous ces bits signifient est suffisant pour que tout le monde passe les yeux croisés. Heureusement, Omnipeek et Wireshark font un très bon travail de décodage (traduction) de ces Bits en informations utiles.
La capture d’écran ci-dessous montre l’IE RSN d’une réponse de sonde WPA2-PSK. Sans la magie de notre logiciel d’analyse de protocole, nous devrions savoir que 00-0F-AC-04 signifiait que CCMP était utilisé pour le chiffrement et que 00-0F-AC-02 signifiait qu’une clé pré-partagée (PSK) était utilisée pour les informations d’identification d’accès. Au lieu de cela, Omnipeek dans ce cas, met une belle note verte de mucus à la fin nous disant cela (Wireshark le fait aussi).
Au cas où quelqu’un aurait oublié, CCMP est le dérivé 802.11i d’AES utilisé pour chiffrer les connexions WPA2. Lorsque vous voyez CCMP, vous pouvez le lire comme AES.
Il est également utile de savoir que le Protocole d’authentification extensible (EAP) n’est qu’un cadre pour passer une sorte de mécanisme d’authentification et de saisie, ce n’est pas un mécanisme défini lui-même. Les implémentations telles que PEAP ou EAP-TLS sont des mécanismes d’authentification spécifiques qui s’appuient sur le framework EAP pour spécifier exactement comment un échange d’authentification doit avoir lieu.
Pour une raison quelconque, EAP est devenu la terminologie utilisée pour l’accès aux informations d’identification basées sur RADIUS sur les réseaux 802.11. Cependant, il s’agit en fait d’un EAP encapsulé dans la norme IEEE 802.1X (ou Dot1X comme il est communément connu) qui est utilisé pour sécuriser nos SSID « EAP ».
Ok. Il suffit! J’ai mal à la tête. Alors qu’en est-il des SSID EAP? Comment vérifions-nous ces paramètres dans notre analyse de protocole ? Eh bien, il y a une raison pour laquelle j’ai plongé dans cette description très concise et ingrate (et probablement légèrement fausse) de l’EAP. Et c’est parce que vous ne le trouverez pas répertorié dans vos cadres!
La capture d’écran ci-dessous montre une réponse de sonde d’un SSID WPA2-EAP. Remarquez comment la suite AKMP est répertoriée comme 802.1X, pas EAP? Frustrant, vous ne trouverez pas le type EAP (PEAP, EAP-TLS, etc.) répertorié dans les Balises ou les Réponses de sonde. C’est parce que l’AP va utiliser 802.1X entre le client et lui-même. Les trames EAP encapsulées seront ensuite envoyées au serveur RADIUS qui décide du type EAP à utiliser. En fait, lors de la configuration d’un SSID pour EAP, vous ne pourrez pas spécifier un type EAP à utiliser (unless sauf si vous utilisez également le contrôleur / point d’accès en tant que serveur RADIUS).
Remarque: La réponse de sonde ci-dessus montre que le SSID prend également en charge 802.11r ou Fast Transition (FT) comme il est connu dans la norme.
Vous pouvez donc vérifier que le SSID utilise WPA2-EAP mais cela ne suffit pas si vous essayez de configurer correctement votre client pour se connecter. Comment vérifions-nous le type de PAE spécifique utilisé? Eh bien, pour autant que je sache, le seul moyen est d’essayer de se connecter au SSID et de regarder les messages EAP (connus sous le nom de messages EAP sur LAN ou EAPOL). La capture d’écran ci-dessous montre un serveur RADIUS demandant à un client (dans ce cas un iPhone) d’utiliser EAP-TLS pour l’authentification.
Mais pour prendre en charge EAP-TLS, un certificat doit être chargé sur le client, ce que nous n’avons pas fait dans ce test. Ainsi, le client envoie un accusé de réception négatif (N-Ack) au serveur RADIUS refusant EAP-TLS, comme vous pouvez le voir ci-dessous. Ces trames se produisent toutes en séquence, vous pouvez donc dire que le NAk est pour la requête EAP-TLS précédente.
Heureusement, le serveur RADIUS est configuré avec plusieurs mécanismes d’authentification, il demande donc maintenant au client d’utiliser PEAP.
Cette fois, le client prend en charge PEAP, il répond donc en réitérant l’utilisation de PEAP et démarre le processus de prise de contact en disant « Bonjour ».
Il y aura alors beaucoup plus de messages EAPOL dans votre analyse de protocole à mesure que le client et le serveur RADIUS poursuivent le défi et la saisie impliqués dans le type EAP utilisé.
Toutes ces informations sont contenues dans les en-têtes 802.11, elles sont donc visibles sans avoir besoin de déchiffrer de captures. Si vous voulez vous chercher et vous amuser, vous pouvez télécharger la capture d’association EAP utilisée pour ces captures d’écran ici.
J’espère que cela vous aidera à comprendre un peu plus l’analyse du protocole de 802.11 mécanismes d’authentification et s’avère utile lorsque vous avez un client qui a du mal à se connecter à un SSID. Comme toujours, veuillez laisser vos commentaires ci-dessous et communiquer avec moi sur Twitter à @Mac_WiFi.
** Merci à Keith Miller (@packetologist) pour la correction mineure et à Rob Lowe (@roblowe6981) pour m’avoir invité à télécharger le fichier de capture **