私の役割の一環として、既存のWLANの音声サポートを評価します。 調査中に、私はプロトコル分析を使用して、できるだけ多くの情報を独立して検証したいと考えています。. 私が常に見つけるのに苦労した設定の1つは、特にEAP/Dot1Xが使用されていたときに使用されていたセキュリティでした。
私は最近Peter Mackenzie(@MackenzieWiFi)と一緒にCWAPコースを受講したときに、そのほとんどを理解し、私の最後のいくつかの質問に答えることができました。 だからここでは、SSIDで使用中のセキュリティをスポッティングを見ています。
通常、Ssidで採用されているセキュリティに関する情報は、ビーコンとプローブ応答のRSN IE(Information Element)で見つけることができます。 これは、WI-Fi Alliances WPA2security suiteを802.11標準の公式の一部にした修正でした。 SSIDの実行中のWEPまたはWPA(1)には、802.11iより前のRSN IEは見つかりません。
この点を説明するために、以下のスクリーンショットは、オープン認証を使用したSSID(左)とWPA2認証を使用したSSID(右)からのプローブ応答を示しています。 RSN IEは、以下のWPA2Probe応答に表示されますが、Open Authentication(pre-802.11i)Probe応答には表示されません。
ここでは、WPA2がすべての802.11i SSIDの認証およびキー管理方式であり、事前共有キーまたはEAP(拡張認証プロトコル)を使用するかどうかにかかわらず、WPA2が 多くの場合、人々はWPA2はあなたがパスワードでSSIDの上で自宅で使用するものだけであり、EAPは何か他のものであると仮定します。 これはそうではありません、WPA2はPSKおよびEAP SSID両方のための安全なハンドシェイクプロセスを定義するのに使用されています、それ故にWPA2-Personal(PSK)したがって、WPA2SSIDを使用していると仮定すると、SSIDのビーコンまたは接続クライアントへのプローブ応答のRSN IE(情報要素)を確認する必要があります。 謎はそこで終わらない。 あなたが802を見るのに慣れているなら。11フレームその後、あなたは彼らが基本的に別の言語であることを知っているよ! これらのすべてのビットが何を意味するのかを理解することは、誰もが目を交差させるのに十分です。 ありがたいことに、OmnipeekとWiresharkの両方が、これらのビットを有用な情報にデコード(翻訳)するのにかなり良い仕事をしています。
以下のスクリーンショットは、WPA2-PSKプローブ応答のRSN IEを示しています。 私たちのプロトコルアナライザソフトウェアの魔法がなければ、00-0F-AC-04はCCMPが暗号化に使用されていることを意味し、00-0F-AC-02は事前共有キー(PSK) 代わりに、この場合のOmnipeekは、これを私たちに伝える最後に素敵な粘液の緑色のメモを置きます(Wiresharkもこれを行います)。
誰かが忘れてしまった場合、CCMPはWPA2接続を暗号化するために使用されるAESの802.11i派生物です。 CCMPが表示されると、AESとして読み取ることができます。
Extensible Authentication Protocol(EAP)は、ある種の認証とキーイング機構を渡すためのフレームワークであり、定義されたメカニズム自体ではないことを知っておくと便利です。 PEAPやEAP-TLSなどの実装は、認証交換がどのように行われるかを正確に指定するためにEAPフレームワーク上に構築される特定の認証メカニズムです。
何らかの理由で、EAPは802.11ネットワーク上のRADIUSベースの資格情報アクセスに使用される用語になっています。 ただし、「EAP」SSIDを保護するために使用されるのは、実際にはIEEE802.1X標準(または一般的に知られているDot1X)にEAPカプセル化されています。
Ok。 もういい! 頭が痛い では、EAP SSIDはどうですか? プロトコル分析でこれらの設定を確認するにはどうすればよいですか? まあ、私はEAPの非常に簡潔で恩知らずな(そしておそらく少し間違った)説明に飛び込む理由があります。 あなたはそれがあなたのフレームに記載されている見つけることができませんので、それはです!
下のスクリーンショットは、WPA2-EAP SSIDからのプローブ応答を示しています。 AKMPスイートがEAPではなく802.1Xとしてどのように表示されているかに注意してください。 迷惑なことに、ビーコンまたはプローブ応答に記載されているEAPタイプ(PEAP、EAP-TLSなど)が見つかりません。 これは、APがクライアントとそれ自体の間で802.1Xを使用するためです。 カプセル化されたEAPフレームは、使用するEAPタイプを決定するRADIUSサーバに送信されます。 実際、EAPのSSIDを設定する場合、実際に使用するEAPタイプを指定することはできません(…RADIUSサーバーとしてコントローラ/アクセスポイントを使用していない限
注:上記のプローブ応答は、SSIDが標準で知られているように802.11rまたはFast Transition(FT)もサポートしていることを示しています。したがって、SSIDがWPA2-EAPを使用していることを確認できますが、接続するようにクライアントを正しく設定しようとすると、これでは不十分です。 使用中の特定のEAPタイプを確認するにはどうすればよいですか。 まあ、私の知る限り、唯一の方法は、SSIDに接続してEAPメッセージ(EAP Over LANまたはEAPOLメッセージとして知られています)を監視することです。 以下のスクリーンショットは、認証にEAP-TLSを使用するようにクライアント(この場合はiPhone)に要求するRADIUSサーバーを示しています。
ただし、EAP-TLSをサポートするには、証明書をクライアントにロードする必要がありますが、このテストでは行いませんでした。 そのため、クライアントは、以下に示すように、Eap-TLSを拒否するRADIUSサーバに負の確認応答(N-Ack)を送信します。 これらのフレームはすべて順番に発生するため、NAkが以前のEAP-TLS要求のものであることを伝えることができます。
ありがたいことに、RADIUSサーバーは複数の認証メカニズムで設定されているため、クライアントがPEAPを使用するように要求されます。
この時のクライアントはこの支援PEAPでしむことができるでしょう繰り返して使用PEAP開始、ハンドシェークプロセスに”Hello”とします。
クライアントとRADIUSサーバーが使用中のEAPタイプに関与するチャレンジとキーイングを続けると、プロトコル分析にはさらに多くのEAPOLメッセージが含まれ
この情報はすべて802.11ヘッダーに含まれているため、キャプチャを復号化する必要なく表示できます。 あなた自身のために見て、あなたの周りに遊びを持っているしたい場合は、ここでこれらのスクリーンショットに使用されるEAP協会のキャプチ
これが802のプロトコル分析についてもう少し理解するのに役立つことを願っています。11の認証メカニズムおよび証明はSSIDに接続するために苦労しているクライアントがあるとき有用です。 いつものように、以下のあなたのフィードバックを残して、@Mac_WifiでTwitterで私と一緒に接続してください。
**マイナーな修正のためのKeith Miller(@packetologist)とキャプチャファイルのアップロードを促すためのRob Lowe(@roblowe6981)に感謝します**