szerepem részeként felmérem a meglévő WLAN Hangtámogatását. A felmérés során szeretek függetlenül ellenőrizni a lehető legtöbb információt, amit kaptam protokoll elemzés segítségével.. Az egyik beállítás, amellyel mindig küzdöttem, a használt biztonság volt, különösen akkor, amikor az EAP / Dot1X használatban volt.
a legtöbbet kitaláltam, és válaszolhattam az utolsó kérdéseimre, amikor a közelmúltban Peter Mackenzie-vel (@MackenzieWiFi) vettem részt a CWAP tanfolyamon. Tehát itt van egy pillantás az SSID-n használt biztonság észlelésére.
az SSID-n alkalmazott biztonságra vonatkozó információk általában a beaconok és a szonda válaszainak RSN IE (információs elem) részében találhatók. Az RSN a robusztus biztonsági hálózatot jelenti, amelyet úgy gondolom, hogy a 802.11 i. Ez volt az a módosítás, amely a WI-Fi Alliances WPA2 security suite-t a 802.11 szabvány hivatalos részévé tette. Nem talál RSN IE-t az SSID WEP vagy WPA(1) futtatásában, mivel azok a 802.11 i előttiek.
ennek a pontnak a szemléltetésére az alábbi képernyőkép egy nyílt hitelesítést használó SSID-t (balra), egy WPA2 hitelesítést használó SSID-t (jobbra) mutat. Az RSN IE az alábbi WPA2 szonda válaszában látható,de a nyílt hitelesítés (802.11 i előtti) szonda válaszában nem.
érdemes itt összefoglalni, hogy a WPA2 az összes 802.11 i SSID hitelesítési és kulcskezelési módszere, függetlenül attól, hogy előre megosztott kulcsot vagy EAP-t (Extensible Authentication Protocol) használnak. Az emberek gyakran feltételezik, hogy a WPA2 csak az, amit otthon használ az SSID-n jelszóval, az EAP pedig valami más. Ez nem így van, a WPA2 a biztonságos kézfogási folyamat meghatározására szolgál mind a PSK, mind az EAP SSID esetében, ezért a Windows WPA2-Personal (PSK) és WPA2-Enterprise (EAP) opciói láthatók.
tehát, feltételezve, hogy WPA2 SSID-vel dolgozik, akkor meg kell vizsgálnia az RSN IE-t (információs elem) az SSID Jelzőfényeiben vagy a csatlakozó kliensre adott válaszokban. A rejtély azonban ezzel nem ér véget. Ha megszokta, hogy a 802-t nézi.11 képkocka, akkor tudni fogja, hogy alapvetően más nyelv! Megérteni, mit jelentenek ezek a bitek, elég ahhoz, hogy bárki keresztbe nézzen. Szerencsére mind az Omnipeek, mind a Wireshark nagyon jó munkát végez a bitek hasznos információvá történő dekódolásában (fordításában).
az alábbi képernyőkép a WPA2-PSK szonda válaszának RSN IE-jét mutatja. A Protokollanalizátor szoftverünk varázsa nélkül tudnunk kellett volna, hogy a 00-0F-AC-04 azt jelentette, hogy a CCMP volt használatban a titkosításhoz, a 00-0F-AC-02 pedig azt jelentette, hogy egy Pre Shared Key (PSK) volt használatban a hozzáférési hitelesítő adatokhoz. Ehelyett Omnipeek ebben az esetben, tesz egy szép nyálka zöld megjegyzés a végén azt mondja nekünk ezt (Wireshark nem ez is).
ha valaki elfelejtette, a CCMP az AES 802.11 i származéka, amelyet a WPA2 kapcsolatok titkosítására használnak. Amikor látod CCMP lehet olvasni, mint AES.
azt is hasznos tudni, hogy az Extensible Authentication Protocol (EAP) csak egy keretrendszer valamilyen hitelesítési és kulcsozási mechanizmus átadására, ez nem egy meghatározott mechanizmus. Az olyan megvalósítások, mint a PEAP vagy az EAP-TLS, olyan speciális hitelesítési mechanizmusok, amelyek az EAP keretrendszerre épülnek, hogy meghatározzák a hitelesítési csere pontos módját.
valamilyen oknál fogva az EAP a RADIUS alapú hitelesítő adatok hozzáférésének terminológiájává vált a 802.11 hálózatokon. Valójában azonban az EAP az IEEE 802.1 X szabványba van beágyazva (vagy közismert nevén a Dot1X), amelyet az “EAP” SSID-jünk védelmére használnak.
Ok. Elég! Fáj a fejem. Mi a helyzet az EAP SSID-vel? Hogyan ellenőrizzük ezeket a beállításokat a protokoll elemzés során? Nos, van egy oka annak, hogy belemerültem az EAP nagyon tömör és hálátlan (és valószínűleg kissé téves) leírásába. És ez azért van, mert nem fogja megtalálni szerepel a keretek!
az alábbi képernyőkép a WPA2-EAP SSID Szondaválaszát mutatja. Figyeljük meg, hogy az AKMP Suite szerepel 802.1 X, nem EAP? Frusztrálóan nem fogja megtalálni az EAP típus (PEAP, EAP-TLS, stb) felsorolt bármely jelzők vagy szonda válaszokat. Ez azért van, mert az AP a 802.1 X-et fogja használni az ügyfél és maga között. A kapszulázott EAP keretek ezután elküldésre kerülnek a RADIUS szerverre, aki eldönti, hogy melyik EAP típust használja. Valójában, amikor SSID-t állít be az EAP-hoz, valójában nem tudja megadni a használni kívánt EAP-típust (…kivéve, ha a vezérlőt/hozzáférési pontot használja RADIUS-kiszolgálóként is).
Megjegyzés: A fenti szonda válasz azt mutatja, hogy az SSID támogatja a 802.11 r vagy a Fast Transition (FT) szabványt is.
tehát ellenőrizheti, hogy az SSID WPA2-EAP-t használ-e, de ez nem elegendő, ha az ügyfelet megfelelően konfigurálja a csatlakozáshoz. Hogyan ellenőrizzük a használt EAP típust? Nos, amennyire tudom, az egyetlen módja az SSID-hez való csatlakozás és az EAP üzenetek megtekintése (EAP over LAN vagy EAPOL üzenetek néven ismert). Az alábbi képernyőkép azt mutatja, hogy a RADIUS szerver egy klienst (ebben az esetben egy iPhone-t) kér az EAP-TLS használatára a hitelesítéshez.
de az EAP-TLS támogatásához egy tanúsítványt kell betölteni az ügyfélre, amit nem tettünk meg ebben a tesztben. Tehát az ügyfél negatív nyugtázást (N-Ack) küld a RADIUS szervernek, amely elutasítja az EAP-TLS-t, amint az alább látható. Ezek a keretek egymás után történnek, így elmondhatja, hogy a NAk az előző EAP-TLS kéréshez tartozik.
szerencsére a RADIUS szerver több hitelesítési mechanizmussal van beállítva, így most kéri, hogy az ügyfél PEAP-t használjon.
ezúttal az ügyfél támogatja a PEAP-ot, így válaszol a PEAP használatának megismétlésére, és elindítja a kézfogási folyamatot a “Hello”mondással.
ezután sokkal több EAPOL üzenet lesz a protokollelemzésben, mivel az ügyfél és a RADIUS szerver folytatja a használt EAP típus kihívását és kulcsozását.
mindezek az információk a 802.11 fejlécekben találhatók, így megtekinthetők anélkül, hogy bármilyen rögzítést vissza kellene dekódolni. Ha azt szeretnénk, hogy nézd meg magad, és egy játék körül lehet letölteni az EAP Egyesület capture használt ezek screenshotok itt.
remélem, ez segít megérteni egy kicsit többet protokoll elemzése 802.11 hitelesítési mechanizmusok és hasznosnak bizonyul, ha van egy ügyfél küzd, hogy csatlakozzon egy SSID. Mint mindig, kérjük, hagyja el visszajelzését az alábbiakban, és lépjen kapcsolatba velem a Twitteren a @Mac_WiFi címen.
* * köszönet Keith Millernek (@packetologist) a kisebb javításért és Rob Lowe-nak (@roblowe6981), hogy felszólított a rögzítési fájl feltöltésére **