som en del av min rolle vurderer jeg eksisterende WLAN for Stemmestøtte. Under undersøkelsen liker jeg å uavhengig verifisere så mye av informasjonen jeg har fått som mulig ved hjelp av protokollanalyse.. En innstilling som jeg alltid kjempet for å finne var sikkerheten i bruk, spesielt NÅR EAP / Dot1X var i bruk.
jeg hadde det meste av det funnet ut og kunne svare på mine siste spørsmål da jeg tok CWAP-kurset nylig med Peter Mackenzie (@MackenzieWiFi). Så her er en titt på å spotte sikkerheten i bruk på EN SSID.
Normalt kan informasjon om sikkerheten som brukes på EN SSID, finnes I RSN IE (Informasjonselement) Av Beacons og Probe Responses. RSN står For Robust Security Network, som jeg tror ble introdusert med 802.11 i. Dette var endringen som gjorde WI-Fi Allianser WPA2 security suite en offisiell del av 802.11-standarden. DU finner ikke EN RSN IE I SSID kjører WEP eller WPA(1) som de er pre-802.11 i.
for å illustrere dette punktet viser skjermbildet et Sonderespons fra EN SSID ved Hjelp Av Åpen godkjenning (venstre) og EN SSID ved HJELP AV WPA2-godkjenning (høyre). DU kan se RSN IE i Wpa2 Probe-Responsen nedenfor, men ikke I Den Åpne Autentiseringen (pre-802.11 i) Probe-Responsen.
DET er verdt å recapping her AT WPA2 er autentiserings – og nøkkelhåndteringsmetoden for alle 802.11 I SSID, enten de bruker En Pre-Delt Nøkkel eller Eap (Extensible Authentication Protocol). Ofte antar FOLK AT WPA2 bare er det du bruker hjemme på SSID med et passord, OG EAP er NOE annet. DETTE er ikke tilfelle, WPA2 brukes til å definere secure handshake-prosessen for BÅDE PSK OG EAP SSID, derfor vil Du se I Windows-alternativer FOR WPA2-Personal (PSK) og WPA2-Enterprise (EAP).
så, forutsatt at du jobber MED EN WPA2 SSID, må du se PÅ RSN IE (Informasjonselement) i Enten Beacons for SSID eller I Sondens Svar på en tilkoblingsklient. Mysteriet slutter ikke der skjønt. Hvis du er vant til å se på 802.11 rammer så vet du at de er i utgangspunktet et annet språk! Forstå hva alle Disse Bitene mener er nok til å gjøre noen gå krysset eyed. Heldigvis gjør både Omnipeek og Wireshark en ganske god jobb med å dekode (oversette) Disse Biter til nyttig informasjon.
skjermbildet nedenfor viser RSN IE AV EN WPA2-PSK Probe Respons. Uten magien i Vår Protokollanalysatorprogramvare måtte vi vite at 00-0f-AC-04 betydde AT CCMP var i bruk for kryptering, og at 00-0f-AC-02 betydde At En Pre-Delt Nøkkel (Psk) var i bruk for tilgangslegitimasjon. I stedet setter Omnipeek i dette tilfellet et nydelig slimgrønt notat på slutten som forteller oss dette (Wireshark gjør dette også).
HVIS NOEN har glemt, ER CCMP 802.11 i-derivatet av AES som brukes til å kryptere WPA2-tilkoblinger. Når DU ser CCMP kan du lese DEN SOM AES.
Det er også nyttig å vite At Extensible Authentication Protocol (EAP) bare er et rammeverk for å overføre en slags autentiserings-og tastemekanisme over, det er ikke en definert mekanisme selv. Implementeringer SOM PEAP eller EAP-TLS er spesifikke godkjenningsmekanismer som bygger på eap-rammeverket for å spesifisere nøyaktig hvordan en godkjenningsutveksling skal finne sted.
AV en eller annen grunn HAR EAP blitt terminologien som brukes FOR RADIUSBASERT legitimasjonstilgang på 802.11-nettverk. Det er imidlertid FAKTISK EAP innkapslet I IEEE 802.1 x-standarden (eller Dot1X som det er kjent) som brukes til å sikre vår «EAP» SSID.
Ok. Nok! Hodet mitt er vondt. Hva med EAP SSID? Hvordan verifiserer vi disse innstillingene i vår protokollanalyse? Vel, det er en grunn jeg dove inn i den veldig in-konsise og utakknemlige (og sannsynligvis litt feil) beskrivelsen AV EAP. Og det er fordi du ikke finner det oppført i rammene dine!
skjermbildet nedenfor viser Et Sonderespons FRA EN WPA2-EAP SSID. Legg merke til hvordan AKMP-Pakken er oppført som 802.1 X, ikke EAP? Frustrerende vil du ikke finne EAP-typen (PEAP, EAP-TLS, etc) oppført i Noen Beacons eller Probe Responses. DETTE skyldes AT AP skal bruke 802.1 X mellom klienten og seg selv. De innkapslede eap-rammene vil da bli sendt til RADIUS-serveren som bestemmer hvilken EAP-type som skal brukes. Faktisk, når du konfigurerer EN SSID FOR EAP, vil du faktisk ikke kunne angi EN EAP-type som skal brukes (…med mindre du bruker kontrolleren/tilgangspunktet som RADIUS-serveren også).
Merk: Ovennevnte Sonderespons viser SSID støtter også 802.11 r Eller Fast Transition (FT) som det er kjent i standarden.
så du kan bekrefte AT SSID bruker WPA2-EAP, men dette er ikke nok hvis du prøver å konfigurere klienten riktig for å koble til. Hvordan verifiserer vi den spesifikke EAP-typen i bruk? Vel, så vidt jeg vet, er den eneste måten å prøve å koble TIL SSID og se EAP-meldingene (kjent som EAP Over LAN eller EAPOL-meldinger). Skjermbildet nedenfor viser EN RADIUS-server som ber en klient (i dette tilfellet en iPhone) om å bruke EAP-TLS for godkjenning.
Men for å støtte EAP-TLS må et sertifikat lastes på klienten, som vi ikke gjorde i denne testen. Så sender klienten En Negativ Bekreftelse (N-Ack) TIL RADIUS-serveren som avtar EAP-TLS, som du kan se nedenfor. Disse rammene skjer i rekkefølge, slik at Du kan fortelle NAk er for den forrige eap-TLS-forespørselen.
Heldigvis RADIUS server er oppsett med flere autentiseringsmekanismer så det ber nå klienten bruker PEAP.
denne gangen klienten støtter PEAP så Det Reagerer gjentok BRUK AV PEAP, og starter håndtrykk prosessen ved å si»Hei».
Det vil da være mye MER EAPOL meldinger i protokollanalyse som klient og RADIUS server fortsette utfordringen og taste involvert I eap typen i bruk.
All denne informasjonen finnes i 802.11 overskrifter så er synlig uten å måtte dekryptere noen fanger. Hvis du vil se etter deg selv og ha en lek rundt, kan du laste NED eap Association capture som brukes til disse skjermbildene her.
jeg håper dette hjelper deg å forstå litt mer om protokollanalyse av 802.11 autentiseringsmekanismer og viser seg nyttig når du har en klient som sliter med å koble til EN SSID. Som alltid, legg igjen din tilbakemelding nedenfor og kontakt meg På Twitter på @ Mac_WiFi.
* * Takk Til Keith Miller (@packetologist) for den mindre korreksjonen Og Rob Lowe (@roblowe6981) for å be meg om å laste opp fangstfilen * *