Attacking WPA2 Enterprise

Giới thiệu

Việc sử dụng rộng rãi các thiết bị di động và cầm tay trong môi trường doanh nghiệp đòi hỏi thực hiện đúng các cơ sở hạ tầng mạng không dây để cung cấp cho họ kết nối và đảm bảo các chức năng kinh doanh.

WPA-Enterprise là lý tưởng cho các tập đoàn: nó không sử dụng một PSK duy nhất trong đó tất cả người dùng sử dụng để kết nối với mạng không dây, nhưng mỗi người dùng có các thông tin riêng của họ mà họ sử dụng để xác thực vào mạng. Điều này cho phép sự linh hoạt và quản lý tập trung cho các tài khoản miền.

thông tin liên lạc không dây có thể chứa rất nhiều thông tin nhạy cảm đó, nếu một người sử dụng trái phép là khả năng đánh hơi hoặc kết nối với các điểm truy cập không dây, có thể lấy ra và hậu quả là thỏa hiệp bí mật, tính toàn vẹn và tính sẵn sàng của dữ liệu các tổ chức.

Lý lịch

chuẩn WPA-Enterprise, còn được gọi là WPA-802.1X, được thiết kế cho các mạng không dây doanh nghiệp sử dụng một supplicant, thực hiện chứng thực và một máy chủ xác thực. Các supplicant là một thiết bị khách hàng đó là trách nhiệm làm cho các yêu cầu với mạng WLAN, cung cấp thông tin đến bộ thực hiện chứng thực. Việc xác thực thường là một điểm truy cập doanh nghiệp, mà giao diện với máy chủ xác thực, thực hiện thông qua RADIUS hoặc giao thức IAS, để xác nhận và xác thực khách hàng sử dụng.

Công nghệ này dựa trên Extensible Authentication Protocol (EAP) để gửi tin nhắn giữa các supplicant và máy chủ xác thực, cho phép triển khai nhiều cho các công ty để đóng gói các gói tin: EAP-TLS, EAP-TTLS / MSCHAPv2, PEAP / EAP-MSCHAPv2, PEAP / EAP-GTC, PEAP-TLS, EAP-SIM, EAP-AKA, EAP-FAST và LEAP.

Bài viết này sẽ tập trung vào việc triển khai EAP-TTLS (với đường hầm Transport Layer Security) và PEAP (Protected EAP); những hiện thực là phổ biến nhất trong các doanh nghiệp Wi-Fi hiện nay, bởi vì chúng được coi là rất kiên cường tấn công. Mặc dù nếu kỹ thuật khác nhau, họ hoạt động tương tự như cung cấp bảo mật thông qua một đường hầm TLS để đảm bảo thông tin không thể được ngửi, không giống như các cấu hình EAP khác.

Phương WPA2-Enterprise

Các cách tiếp cận phương pháp luận sử dụng bao gồm một bước đầu tiên của việc chuẩn bị cơ sở hạ tầng mạng lưới, tiếp theo một điều tra của các thiết bị không dây và cuối cùng là giai đoạn tấn công để kết nối với khách hàng để có được các thông tin. Các cuộc tấn công bao gồm giả mạo mạng mục tiêu và cung cấp một tín hiệu tốt hơn cho khách hàng hơn so với điểm truy cập hợp pháp, để thực hiện một cuộc tấn công Man-In-The-Middle giữa khách hàng và cơ sở hạ tầng mạng, bởi vì hiện nay đường hầm TLS là đủ an toàn và không dễ dàng có thể tấn công. Để thực hiện kiểu tấn công này bạn cần phải được thể chất gần đến mục tiêu, đặc biệt là ở trong phạm vi hoạt động của các điểm truy cập doanh nghiệp.

Trong một cuộc tấn công điển hình, đó cũng là giai đoạn các trinh sát để xác định tất cả các truy cập điểm, khách hàng và thu thập những thông tin nhất có thể về mục tiêu, về công nghệ và triển khai cụ thể. Tuy nhiên, thông tin này, EAP loại đặc biệt, có thể được xác định bằng cách kiểm tra những cái bắt tay EAP sử dụng một sniffer (ví dụ Wireshark).

Xây dựng hạ tầng

Điều đầu tiên cần làm trước khi bắt đầu cuộc tấn công là để tạo ra cơ sở hạ tầng để tái tạo môi trường doanh nghiệp của mạng không dây, trong đó nên càng bình đẳng càng tốt đến mục tiêu. bước chuẩn bị này được sử dụng để mô phỏng các mạng thực sự và làm cho khách hàng tin tưởng để kết nối với cơ sở hạ tầng thực tế. Như đã đề cập ở trên, các thành phần cơ bản cần thiết là một máy chủ RADIUS và một điểm truy cập.

Đối với các máy chủ RADIUS, chúng tôi sẽ sử dụng v2.1.12 FreeRADIUS, một trong những máy chủ RADIUS nguồn mở phổ biến nhất, với các bản vá không dây Pwnage Edition. Bản vá này được sử dụng để đăng nhập vào yêu cầu thực hiện, chứa thông tin quan trọng để xác thực (thách thức / phản ứng, tên người dùng và mật khẩu).

Để cài đặt nó trong một môi trường dựa trên Debian, bạn có thể chạy các lệnh sau:

$ Wget ftp://ftp.freeradius.org/pub/radius/old/freeradius-server-2.1.12.tar.bz2

$ Wget https://raw.github.com/brad-anton/freeradius-wpe/master/freeradius-wpe.patch

$ Tar -jxvf FreeRADIUS-server-2.1.12.tar.bz2

$ Cd FreeRADIUS-server-2.1.12

$ Vá -p1 <../freeradius-wpe.patch

$ ./configure

$ Make && make install

$ ldconfig

Sau đó, bạn sẽ chỉnh sửa các tập tin cấu hình để tùy chỉnh triển khai của chúng tôi:

/usr/local/etc/raddb/radiusd.conf
ipaddr = 127.0.0.1 # RADIUS Địa chỉ IP

default_eap_type = PEAP # Cấu hình EAP Type để PEAP

/usr/local/etc/raddb/clients.conf
khách hàng 192.168.0.0/16 {# dãy IP và các thông tin cho các khách hàng của chúng tôi

    bí mật = testing123 # RADIUS bí mật

    SHORTNAME = testAP # RADIUS SHORTNAME

}

Trong kịch bản mà khách hàng kiểm tra tính hợp lệ của các chứng chỉ, bạn phải mua và triển khai một chứng chỉ hợp lệ cho máy chủ RADIUS. Vấn đề này không được đề cập trong bài viết này.

Bây giờ chúng ta bắt đầu radius server bằng lệnh sau đây:

$ Radiusd -X // -X tham số cho chế độ degubbing

Khi mô phỏng các điểm truy cập để kết nối các nạn nhân để xác thực máy chủ của chúng tôi, chúng tôi sẽ sử dụng Hostapd v2.3 với "Jouni Malinen" thực hiện, một daemon không gian sử dụng cho các điểm truy cập không dây và máy chủ xác thực có thể hỗ trợ các chuẩn IEEE 802.11x và giao tiếp với RADIUS server.

Để cài đặt nó trong một môi trường dựa trên Debian, bạn có thể chạy các lệnh sau:

$ Apt-get install libnl-dev libssl-dev // dependancies

$ Wget http://hostap.epitest.fi/releases/hostapd-2.3.tar.gz

$ Tar -zxvf hostapd-2.3.tar.gz

$ Cd hostapd-2.3 / hostapd /

$ Cp defconfig .config

$ Make && make install

Để được bắt đầu, Hostapd đòi hỏi hostapd.conf tập tin cấu hình mà trong kịch bản này có thể như sau:

giao diện = wlan1 # Giao diện sử dụng cho Access Point

trình điều khiển = nl80211 # giao diện điều khiển loại

ssid = EnterpriseWireless # SSID của mạng không dây

logger_stdout = -1 # Mức bản ghi sự kiện

logger_stdout_level = 0

ieee8021x = 1 # Thiết lập quyền IEEE 802.1x

eapol_key_index_workaround = 0 # Giải pháp cho WinXP Supplicant

own_ip_addr = 127.0.0.1 # riêng địa chỉ IP của Access Point

auth_server_addr = 127.0.0.1 # địa chỉ IP RADIUS

auth_server_port = 1812 # RADIUS cảng

auth_server_shared_secret = testing123 # RADIUS bí mật

WPA = 2 # cấu hình WPA

wpa_key_mgmt = WPA-EAP # thuật toán quản lý chính

kênh = 1 # Kênh sử dụng

wpa_pairwise = TKIP CCMP # từng đôi mật mã WPA

Bây giờ chúng ta có thể bắt đầu các điểm truy cập giả, với lệnh sau đây:

$ Hostapd ./hostapd.conf

điều tra khách hàng và de-xác thực

Một khi giai đoạn chuẩn bị đã hoàn tất, chúng ta phải thực hiện các hoạt động điều tra và de-xác thực của khách hàng được kết nối với mạng mục tiêu để họ kết nối với cơ sở hạ tầng giả của chúng tôi. Chúng tôi có thể thực hiện các nhiệm vụ sử dụng Aircrack-NG, bộ phần mềm phổ biến nhất để đánh giá 802,11 mạng LAN không dây.

Sử dụng lệnh này, bạn có thể liệt kê các mạng không dây với máy khách kết nối của nó:

$ Mon0 airodump-ng mon0 // = giao diện không dây trong chế độ promiscuous

Sau một vài phút, bạn sẽ có các bản đồ hoàn chỉnh của tất cả các mạng không dây và khách hàng xác định trong khu vực. Tại thời điểm này, chúng ta phải xác định các khách hàng kết nối với cơ sở hạ tầng và mục tiêu de-xác thực nó bằng lệnh sau đây:

$ Aireplay-ng -deauth 1 -a 00: 01: E3: AD: F2: 27 -c 00: 27: 19: CD: D5: 4A mon0

// -deauth = Tấn công deauthentication

// -a = Địa chỉ MAC của điểm truy cập

// C = địa chỉ MAC của khách hàng

Ngoài ra, bạn có thể mong đợi rằng một khách hàng kết nối với cơ sở hạ tầng của chúng tôi riêng của mình, nhưng điều này có thể dẫn đến một chờ đợi thời gian rất lớn, thường không có.

Chụp và crack các thông tin

Sau một vài phút, nếu chúng ta có tín hiệu tốt hơn, khách hàng sẽ kết nối với cơ sở hạ tầng của chúng tôi, cung cấp thông tin của bạn, mã hóa bằng giao thức MS-CHAPv2, hình thức thách thức và phản ứng, mà sẽ được lưu trữ trong FreeRADIUS-server-WPE. log file.

Bước cuối cùng là để có được các thông tin trong văn bản rõ ràng từ trao đổi xác thực. Với hoạt động này, chúng tôi sẽ sử dụng các công cụ Asleap mà chúng ta có thể thực hiện một cuộc tấn công ẩn dựa trên từ điển. Ngoài ra, bạn có thể sử dụng John the Ripper, bằng cách xác định các định dạng NETNTLM.

Nếu danh sách từ của chúng ta chứa mật khẩu, chúng tôi sẽ có thể xác định nó như trong trường hợp này. Trong thực tế, như đã đề cập, nó là rất quan trọng để có một danh sách từ khoá tốt để đảm bảo rằng các cuộc tấn công thành công.

phần cứng không dây

Đáng chú ý đặc biệt là phần cứng được sử dụng để hỗ trợ các hoạt động này. Tôi có cá nhân được thử nghiệm và đã làm việc thành công các thiết bị mạng như sau:

Alfa tầm xa USB adapter, với chipset Atheros
TP-Link tăng cao USB Adapter không dây, với chipset Atheros
Asus Router RT-AC66U
D-Link DIR-601
Phần kết luận

Bài viết này đã được mô tả một cuộc tấn công có thể vào mạng WPA2-Enterprise, mà không có giảm nhẹ duy nhất. Để đảm bảo EAP-TTLS và PEAP cho các loại tấn công, bạn có thể sử dụng các phương pháp tiếp cận của quốc phòng trong chiều sâu. Các biện pháp đối phó đầu tiên là thực thi những khách hàng để xác nhận các chứng chỉ và tránh những thiết bị máy khách kết nối vào mạng khi điều khiển bị lỗi.

Thứ hai, đó là khuyến cáo không sử dụng thông tin tên miền, nhưng nếu điều này là cần thiết, nó sẽ sử dụng một chính sách mật khẩu mạnh bởi các từ khóa đó rất phức tạp và khó đoán thông qua các cuộc tấn công dựa trên từ điển.

Cuối cùng, nó liên tục nên theo dõi các phạm vi của mạng không dây của bạn, bằng cách sử dụng IDS không dây, ví dụ, và được chuẩn bị để nhanh chóng đáp ứng với các điểm truy cập giả mạo hoặc lừa đảo. Ngoài ra, nó nên cô lập mạng không dây từ mạng nội bộ.

Tài liệu tham khảo

https://en.wikipedia.org
http://securitysynapse.blogspot.it/
http://blog.opensecurityresearch.com/
http://www.privacywonk.net/2010/10/security-how-to-wpa2-enterprise-on-your-home-network.php
Hack xúc không dây, 3rd Edition không dây bảo mật Secret & Giải pháp

Comments

Popular posts from this blog

Thiết lập card không dây trên Kali Linux

Monitor mode

Giới thiệu - Scapy