que tipo EAP está usando?

como parte da minha função, avalio WLAN existentes para suporte de voz. Durante a pesquisa, gosto de verificar de forma independente o máximo possível das informações que recebi usando a análise de Protocolo.. Uma configuração que sempre lutei para encontrar foi a segurança em uso, particularmente quando EAP / Dot1X estava em uso.

eu descobri a maior parte e consegui responder minhas últimas perguntas quando fiz o curso CWAP recentemente com Peter Mackenzie (@MackenzieWiFi). Então, aqui está uma olhada em detectar a segurança em uso em um SSID.

Normalmente, informações sobre a segurança empregada em um SSID podem ser encontradas no RSN IE (elemento de informação) de Beacons e respostas de sonda. RSN significa Rede de segurança robusta, que acredito ter sido introduzida com 802.11 i. esta foi a emenda que fez do Wi-Fi Alliances WPA2 security suite uma parte oficial do padrão 802.11. Você não encontrará um IE RSN no WEP ou WPA (1) em execução do SSID, pois eles são pré-802.11 i.

para ilustrar este ponto, a captura de tela abaixo mostra uma resposta de sonda de um SSID usando autenticação aberta (esquerda) e um SSID usando autenticação WPA2 (direita). Você pode ver o RSN IE na resposta do Probe WPA2 abaixo, mas não na resposta do Probe de autenticação aberta (pré-802.11 i).

vale a pena recapitular aqui que WPA2 é o método de gerenciamento de autenticação e chave para todos os SSID 802.11 i, se eles usam uma chave pré compartilhada ou EAP (Extensible Authentication Protocol). Muitas vezes as pessoas assumem WPA2 é apenas o que você usa em casa em SSID com uma senha e EAP é outra coisa. Este não é o caso, WPA2 é usado para definir o processo de aperto de mão seguro para PSK e SSID EAP, portanto, você verá nas opções do Windows para WPA2-Personal (PSK) e WPA2-Enterprise (EAP).

então, supondo que você esteja trabalhando com um SSID WPA2, então você precisa olhar para o RSN IE (elemento de informação) nos Beacons para o SSID ou nas respostas da sonda para um cliente de conexão. O mistério não termina aí. Se você está acostumado a olhar para 802.11 quadros então você saberá que eles são basicamente um idioma diferente! Entender o que todos esses Bits significam é suficiente para fazer alguém ficar de olhos cruzados. Felizmente, tanto o Omnipeek quanto o Wireshark fazem um bom trabalho ao decodificar (traduzir) esses Bits em informações úteis.

a captura de tela abaixo mostra o RSN IE de uma resposta de sonda WPA2-PSK. Sem a magia do nosso software de analisador de Protocolo, teríamos que saber que 00-0F-AC-04 significava que o CCMP estava em uso para criptografia e que 00-0F-AC-02 significava que uma chave pré-compartilhada (PSK) estava em uso para credenciais de acesso. Em vez disso, Omnipeek, neste caso, coloca uma linda nota verde muco no final nos dizendo isso (Wireshark faz isso também).

caso alguém tenha esquecido, o CCMP é a derivada 802.11 i do AES usada para criptografar conexões WPA2. Quando você vê CCMP você pode lê-lo como AES.

também é útil saber que o Extensible Authentication Protocol (EAP) é apenas uma estrutura para passar algum tipo de mecanismo de autenticação e codificação, não é um mecanismo definido em si. Implementações como PEAP ou EAP-TLS são mecanismos de autenticação específicos que se baseiam na estrutura EAP para especificar exatamente como uma troca de autenticação deve ocorrer.

por algum motivo, o EAP tornou-se a terminologia usada para acesso de credenciais baseado em RADIUS em redes 802.11. No entanto, é realmente EAP encapsulado no padrão IEEE 802.1 X (ou Dot1X como é comumente conhecido) que é usado para proteger nossos SSID “EAP”.

Ok. Chega! A minha cabeça está doendo. E o EAP SSID? Como verificamos essas configurações em nossa análise de Protocolo? Bem, há uma razão pela qual mergulhei nessa descrição muito concisa e ingrata (e provavelmente um pouco errada) do EAP. E isso é porque você não vai encontrá-lo listado em seus quadros!

a captura de tela abaixo mostra uma resposta de sonda de um SSID WPA2-EAP. Observe como o AKMP Suite está listado como 802.1 X, não EAP? Frustrantemente, você não encontrará o tipo EAP (PEAP, EAP-TLS, etc) listado em quaisquer Beacons ou respostas de sonda. Isso ocorre porque o AP vai usar 802.1 X entre o cliente e ele mesmo. Os quadros EAP encapsulados serão enviados para o servidor RADIUS que decide qual tipo EAP usar. Na verdade, ao configurar um SSID para EAP, você não poderá especificar um tipo de EAP a ser usado (…a menos que você esteja usando o controlador/ponto de acesso como o servidor RADIUS também).

Nota: A Resposta da sonda acima mostra que o SSID também suporta 802.11 r ou Transição Rápida (FT), como é conhecido no padrão.

para que você possa verificar se o SSID está usando WPA2-EAP, mas isso não é suficiente se você estiver tentando configurar seu cliente corretamente para se conectar. Como verificamos o tipo específico de EAP em uso? Bem, tanto quanto eu sei, a única maneira é tentar se conectar ao SSID e assistir às mensagens EAP (conhecidas como mensagens EAP sobre LAN ou EAPOL). A imagem abaixo mostra um servidor RADIUS pedindo a um cliente (neste caso um iPhone) para usar EAP-TLS para Autenticação.

mas para suportar EAP – TLS, um certificado precisa ser carregado no cliente, o que não fizemos neste teste. Assim, o cliente envia um reconhecimento Negativo (n-Ack) para o servidor RADIUS em declínio EAP-TLS, como você pode ver abaixo. Todos esses quadros acontecem em sequência, então você pode dizer que o NAk é para a solicitação EAP-TLS anterior.

felizmente, o servidor RADIUS está configurado com vários mecanismos de autenticação, Portanto, agora solicita que o cliente use PEAP.

desta vez, o cliente suporta o PEAP, por isso responde reiterando o uso do PEAP e inicia o processo de aperto de mão dizendo “Olá”.


haverá muito mais mensagens EAPOL em sua análise de Protocolo à medida que o cliente e o servidor RADIUS continuam o desafio e a chave envolvida no tipo EAP em uso.

todas essas informações estão contidas nos cabeçalhos 802.11, portanto, podem ser visualizadas sem a necessidade de descriptografar nenhuma captura. Se você quiser procurar por si mesmo e brincar, pode baixar a captura de associação EAP usada para essas capturas de tela aqui.

espero que isso ajude você a entender um pouco mais sobre a análise de protocolo do 802.11 mecanismos de autenticação e se mostra útil quando você tem um cliente lutando para se conectar a um SSID. Como sempre, deixe seus comentários abaixo e conecte-se comigo no Twitter em @Mac_WiFi.

** obrigado a Keith Miller (@packetologist) pela pequena correção e Rob Lowe (@roblowe6981) por me solicitar o upload do arquivo de captura **

Deixe uma resposta

O seu endereço de email não será publicado.