Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar Wireshark e FreeRADIUS a fim decifrar o 802.11 WPA2-Enterprise/EAP/dot1x sobre - areje o sniffer wireless

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (964.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de Abril de 2019
ID do documento:214275
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a Como do acesso protegido por wi-fi de descriptografia 2 - a empresa (WPA2-Enterprise) ou Sem fio cifrado do 802.1x (dot1x) sobre - areja o sniffer (OTA), com todos os métodos do Extensible Authentication Protocol (EAP). 

    É relativamente fácil decifrar a captação do 802.11 OTA PSK based/WPA2-personal enquanto o EAP de quatro vias completo sobre apertos de mão LAN (EAPoL) é capturado. Contudo, a chave pré-compartilhada (PSK) não é recomendada sempre de uma perspectiva da Segurança. Rachar uma senha duro-codificada é apenas uma questão de tempo. 

    Daqui, muitas empresas escolhem o dot1x com Remote Authentication Dial-In User Service (RADIUS) como uma solução melhor da Segurança para sua rede Wireless.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • FreeRADIUS com o radsniff instalado 
    • Wireshark/Omnipeek ou algum software que for capaz de decifrar o tráfego Wireless do 802.11
    • Privilégio obter o segredo compartilhado entre o servidor do acesso de rede (NAS) e o autenticador  
    • Capacidade para capturar a captação do pacote de informação de RADIUS entre o NAS e o autenticador da primeira solicitação de acesso (do NAS ao autenticador) à última aceitação de acesso (do autenticador ao NAS) durante todo a sessão EAP 
    • Capacidade para executar sobre - Captação do ar (OTA) que contém apertos de mão de quatro vias de EAPoL

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Servidor Radius (FreeRADIUS ou ISE)
    • Sobre - Dispositivo de captura do ar 
    • Dispositivo de Apple macOS/OS X ou de Linux 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Neste exemplo, dois chaves mestres (PMK) são derivados por pares dos pacotes de informação de RADIUS capturados de ISE 2.3, porque o timeout de sessão neste SSID é 1800 segundos, e da captação dada aqui são 34 minutos (2040 segundos) por muito tempo. 

    Segundo as indicações da imagem, EAP-PEAP é usado como um exemplo, mas este pode ser aplicado a toda a autenticação wireless baseada dot1x. 

    Procedimento

    Etapa 1. Decrypt PMK do pacote de aceitação acesso.

    Execute o radsniff contra a captação do raio entre o NAS e o autenticador a fim extrair o PMK. A razão pela qual dois pacotes de aceitação acesso são extraídos durante a captação é que o temporizador do timeout de sessão está ajustado a 30 minutos neste SSID particular e na captação tem 34 minutos de comprimento. A autenticação é executada duas vezes.  

    FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan_merged.pcapng -s <shared-secret between NAS and Authenticator> -x
 
<snip>

2018-11-16 11:39:01.230000 (24) Access-Accept Id 172 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000

User-Name = "frlu_2"

State = 0x52656175746853657373696f6e3a306134323466326130303030303565373562656530393732

Class = 0x434143533a3061343234663261303030303035653735626565303937323a4953452d322d332f3332383237313233382f33303432

EAP-Message = 0x03c50004

Message-Authenticator = 0x38c67b9ba349842c9624889a45cabdfb

MS-MPPE-Send-Key = 0xa464cc15c0df8f09edc249c28711eb13a6db2d1a176f1196edcc707579fd6793

MS-MPPE-Recv-Key = 0xddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b<<<<<<<<<<<<<<<<<<PMK

Authenticator-Field = 0x6cd33b4d4dde05c07d9923e17ad6c218

<snip>

2018-11-16 11:39:01.470000 (48) Access-Accept Id 183 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000

User-Name = "frlu_2"

State = 0x52656175746853657373696f6e3a306134323466326130303030303565373562656530393732

Class = 0x434143533a3061343234663261303030303035653735626565303937323a4953452d322d332f3332383237313233382f33303434

EAP-Message = 0x03910004

Message-Authenticator = 0x81c572651679e15e54a900f3360c0aa9

MS-MPPE-Send-Key = 0xeae42cf7c6cd26371eee29856c51824fbb5bbb298874125928470114d009b5fb

MS-MPPE-Recv-Key = 0x7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e<<<<<<<<<<<<<<<<<PMK

Authenticator-Field = 0xa523dd9ec2ce93d19fe4fc2e21537a5d

    Nota: Remova por favor toda a etiqueta do LAN virtual (VLAN) da captação do pacote de informação de RADIUS, se não, o radsniff não reconhece o arquivo do pcap da entrada. A fim remover toda a etiqueta VLAN, por exemplo, o editcap pode ser usado. 

    Dica: Geralmente, o tempo de execução do comando do radsniff contra um arquivo do pcap do RAIO pode ser contado como uma escala dos segundos. Contudo, se o radsniff é colado neste estado mostrado no log, conecte por favor esta captura de pacote de informação (a) com uma outra captura de pacote de informação mais longa (b) entre o mesmos NAS e autenticador. Então, execute o comando do radsniff contra o pacote conectado (A+B). A única exigência da captura de pacote de informação (b) é que você pode executar o comando do radsniff contra ele e ver o resultado verboso. 

    FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan.pcap -s Cisco123 -x

Logging all events

Sniffing on (/Users/frlu/Downloads/radius_novlan.pcap)

    Neste exemplo, o controle do controlador do Wireless LAN (WLC) (a) de registro plano que é capturado através dos recursos de registro do pacote WLC, é conectado com uma captação mais longa do tcpdump do ISE (b). O registro do pacote WLC é usado como um exemplo porque é geralmente muito pequeno em tamanho. 

    Pacote WLC (a) de registro

    Tcpdump ISE (b)

    Fundido (A+B)

    Execute então o radsniff contra o pcap fundido (A+B) e você poderão ver a saída verboso.

    FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan_merged.pcapng -s <shared-secret between NAS and Authenticator> -x

    <snip> 

    2018-11-16 11:39:01.230000 (24) Access-Accept Id 172 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000 

    <snip>

    Etapa 2. Extrato PMK.

    A supressão do campo 0x em cada MS-MPPE-RECV-chave da saída verboso e os PMK que é precisada para o tráfego Wireless descodificam são apresentados então. 

    MS-MPPE-RECV-chave = 0xddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b

    PMK:
    ddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b

    MS-MPPE-RECV-chave = 0x7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e

    PMK:
    7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e

    Etapa 3. Decifre o sniffer OTA.

    Navegue a Wireshark > a preferências > a protocolos > a IEEE 802.11. Então tiquetaqueie na descriptografia Enable e clique sobre o botão Edit ao lado das chaves de descriptografia, segundo as indicações da imagem. 

    Selecione em seguida, por favor o WPA-PSK como o tipo chave, e põe os PMK derivados no campo chave, e clique-os então sobre ESTÁ BEM. Depois que isto é terminado, a captação OTA deve ser decifrada e você pode ver a informação da camada superior (3+). 

    Exemplo de um pacote decifrado do 802.11

    Se você compara o segundo resultado onde o PMK não é incluído, com o primeiro resultado, onde o PMK é incluído, o pacote 397886 é decifrado como dados de QoS do 802.11. 

    Exemplo de um pacote cifrado do 802.11

    Cuidado: Você pode encontrar a edição com o Wireshark na descriptografia, e nesse caso, mesmo se o PMK direito é fornecido, (ou se o PSK é usado, o SSID e o PSK são fornecidos), Wireshark não decifra a captação OTA. A ação alternativa é girar de vez em quando Wireshark algumas vezes até que a informação da camada superior possa ser obtida e pacotes do 802.11 estiver mostrado já não como dados de QoS, ou usar um outro PC/Mac onde Wireshark seja instalado. 

    Dica: O pmkXtract chamado código corrente alternada ++ é anexado na primeira publicação na informação relacionada. As tentativas compiladas eram com sucesso e um arquivo executável é obtido, mas o programa executável não parece executar corretamente a descriptografia para algumas razões do uknown. Além, um script do pitão que tenta extrair o PMK é afixado na área do comentário na primeira publicação, que pode mais ser explorada se os leitores estão interessados. 

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Frank Kaiqi Lu
      Engenheiro de TAC da Cisco
    • Byung Wook Cho
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco