w ramach mojej roli oceniam istniejące sieci WLAN pod kątem obsługi głosu. Podczas ankiety Lubię samodzielnie zweryfikować jak najwięcej podanych przeze mnie informacji za pomocą analizy protokołów.. Jednym z ustawień, które zawsze starałem się znaleźć, było bezpieczeństwo w użyciu, szczególnie gdy EAP / Dot1X był w użyciu.
większość z nich wymyśliłem i byłem w stanie odpowiedzieć na kilka ostatnich pytań, kiedy ostatnio brałem udział w kursie CWAP z Peterem Mackenzie (@MackenzieWiFi). Oto spojrzenie na wykrywanie zabezpieczeń w użyciu na SSID.
zwykle informacje o zabezpieczeniach zastosowanych w SSID można znaleźć w RSN IE (Element informacyjny)beaconów i odpowiedzi sond. RSN oznacza solidną sieć zabezpieczeń, która moim zdaniem została wprowadzona wraz z 802.11 i. była to poprawka, która sprawiła, że pakiet zabezpieczeń WI-Fi WPA2 stał się oficjalną częścią standardu 802.11. Nie znajdziesz RSN IE w SSID z uruchomionym WEP lub WPA (1), ponieważ są one sprzed 802.11 i.
aby zilustrować ten punkt, poniższy zrzut ekranu pokazuje odpowiedź sondy z identyfikatora SSID przy użyciu uwierzytelniania otwartego (po lewej) i identyfikatora SSID przy użyciu uwierzytelniania WPA2 (po prawej). Możesz zobaczyć RSN IE w odpowiedzi sondy WPA2 poniżej, ale nie w odpowiedzi sondy Open Authentication (pre-802.11 i).
warto przypomnieć, że WPA2 jest metodą uwierzytelniania i zarządzania Kluczami dla wszystkich SSID 802.11 i, niezależnie od tego, czy używają klucza współdzielonego, czy EAP (Extensible Authentication Protocol). Często ludzie zakładają, że WPA2 jest tylko tym, czego używasz w domu na SSID z hasłem, a EAP to coś innego. Tak nie jest, WPA2 jest używany do definiowania bezpiecznego procesu handshake zarówno dla PSK, jak i EAP SSID, stąd zobaczysz w opcjach Windows dla WPA2-Personal (PSK) i WPA2-Enterprise (EAP).
zakładając, że pracujesz z SSID WPA2, musisz spojrzeć na RSN IE (Element informacyjny) w beaconach dla SSID lub w odpowiedziach sondy na łączącego się klienta. Na tym jednak tajemnica się nie kończy. Jeśli przywykłeś do patrzenia na 802.11 klatek wtedy będziesz wiedział, że są one w zasadzie inny język! Zrozumienie, co te wszystkie fragmenty znaczą, wystarczy, aby każdy dostał zeza. Na szczęście zarówno Omnipeek, jak i Wireshark wykonują całkiem dobrą robotę dekodując (tłumacząc) Te bity na Przydatne informacje.
poniższy zrzut ekranu pokazuje RSN IE odpowiedzi sondy WPA2-PSK. Bez magii naszego oprogramowania analizatora protokołów musielibyśmy wiedzieć, że 00-0F-AC-04 oznaczało, że CCMP był używany do szyfrowania, a 00-0F-AC-02 oznaczało, że Pre Shared Key (Pre Shared Key-PSK) był używany do poświadczeń dostępu. Zamiast tego Omnipeek w tym przypadku umieszcza na końcu śliczną zieloną notatkę (Wireshark też to robi).
gdyby ktoś zapomniał, CCMP jest pochodną AES 802.11 i używaną do szyfrowania połączeń WPA2. Gdy zobaczysz CCMP możesz odczytać go jako AES.
warto również wiedzieć, że Extensible Authentication Protocol (EAP) jest tylko frameworkiem do przekazywania pewnego rodzaju mechanizmu uwierzytelniania i klucza, nie jest to sam zdefiniowany mechanizm. Implementacje takie jak PEAP lub EAP-TLS są specyficznymi mechanizmami uwierzytelniania, które opierają się na frameworku EAP w celu dokładnego określenia sposobu wymiany uwierzytelniania.
z jakiegoś powodu EAP stał się terminologią używaną do dostępu poświadczeń bazujących na RADIUS w sieciach 802.11. Jednak w rzeczywistości jest to EAP zamknięty w standardzie IEEE 802.1 X (lub Dot1X jako powszechnie znany), który jest używany do zabezpieczenia naszych identyfikatorów SSID „EAP”.
Ok. Wystarczy! Głowa mnie boli. A co z EAP SSID? Jak możemy zweryfikować te ustawienia w naszej analizie protokołu? Cóż, nie bez powodu zagłębiłem się w ten bardzo zwięzły i niewdzięczny (i prawdopodobnie nieco błędny) opis EAP. A to dlatego, że nie znajdziesz go na liście w swoich ramkach!
zrzut ekranu poniżej pokazuje odpowiedź sondy z SSID WPA2-EAP. Zauważ, że pakiet AKMP jest wymieniony jako 802.1 X, a nie EAP? Frustrująco nie znajdziesz typu EAP (PEAP, EAP-TLS itp.) wymienionego w żadnych sygnalizatorach lub odpowiedziach sondy. To dlatego, że AP będzie używać 802.1 X między Klientem a samym sobą. Zamknięte ramki EAP zostaną następnie wysłane na serwer RADIUS, który zdecyduje, jakiego typu EAP użyć. W rzeczywistości podczas konfigurowania identyfikatora SSID dla EAP nie będziesz w stanie określić typu EAP, którego chcesz użyć (…chyba że używasz kontrolera/punktu dostępowego jako serwera RADIUS).
Uwaga: powyższa odpowiedź sondy pokazuje, że SSID obsługuje również 802.11 r lub szybkie przejście (FT), jak to jest znane w standardzie.
możesz więc sprawdzić, czy identyfikator SSID używa WPA2-EAP, ale to nie wystarczy, jeśli próbujesz poprawnie skonfigurować klienta, aby się połączył. Jak zweryfikować konkretny typ EAP w użyciu? O ile wiem, jedynym sposobem jest próba połączenia się z SSID i oglądanie wiadomości EAP (znanych jako wiadomości EAP przez LAN lub eapol). Poniższy zrzut ekranu pokazuje serwer RADIUS proszący klienta (w tym przypadku iPhone ’ a) o użycie EAP-TLS do uwierzytelniania.
ale do obsługi EAP-TLS potrzebny jest certyfikat załadowany na klienta, czego nie zrobiliśmy w tym teście. Tak więc klient wysyła ujemne potwierdzenie (N-Ack) do serwera RADIUS odrzucając EAP-TLS, jak widać poniżej. Wszystkie te klatki odbywają się w sekwencji, więc możesz powiedzieć, że NAk jest dla poprzedniego żądania EAP-TLS.
na szczęście serwer RADIUS jest skonfigurowany z wieloma mechanizmami uwierzytelniania, więc teraz żąda, aby Klient używał PEAP.
tym razem klient obsługuje PEAP, więc reaguje ponownie na użycie PEAP i rozpoczyna proces uścisku dłoni, mówiąc „cześć”.
będzie wtedy dużo więcej wiadomości EAPOL w analizie protokołu, ponieważ klient i serwer RADIUS będą kontynuować wyzwanie i kluczowanie związane z używanym typem EAP.
wszystkie te informacje są zawarte w nagłówkach 802.11, więc są widoczne bez potrzeby odszyfrowywania jakichkolwiek przechwyceń. Jeśli chcesz się rozejrzeć i pobawić, możesz pobrać przechwytywanie EAP Association używane do tych zrzutów ekranu tutaj.
mam nadzieję, że to pomoże Ci zrozumieć nieco więcej na temat analizy protokołu 802.11 mechanizmów uwierzytelniania i okazuje się przydatne, gdy Klient ma problemy z połączeniem się z identyfikatorem SSID. Jak zawsze, zostaw swoją opinię poniżej i połącz się ze mną na Twitterze pod adresem @Mac_WiFi.
** podziękowania dla Keitha Millera (@packetologist) za drobną korektę i Roba Lowe (@roblowe6981) za monitowanie mnie o przesłanie pliku przechwytywania * *