Introdução
Este documento descreve a Como do acesso protegido por wi-fi de descriptografia 2 - a empresa (WPA2-Enterprise) ou Sem fio cifrado do 802.1x (dot1x) sobre - areja o sniffer (OTA), com todos os métodos do Extensible Authentication Protocol (EAP).
É relativamente fácil decifrar a captação do 802.11 OTA PSK based/WPA2-personal enquanto o EAP de quatro vias completo sobre apertos de mão LAN (EAPoL) é capturado. Contudo, a chave pré-compartilhada (PSK) não é recomendada sempre de uma perspectiva da Segurança. Rachar uma senha duro-codificada é apenas uma questão de tempo.
Daqui, muitas empresas escolhem o dot1x com Remote Authentication Dial-In User Service (RADIUS) como uma solução melhor da Segurança para sua rede Wireless.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- FreeRADIUS com o radsniff instalado
- Wireshark/Omnipeek ou algum software que for capaz de decifrar o tráfego Wireless do 802.11
- Privilégio obter o segredo compartilhado entre o servidor do acesso de rede (NAS) e o autenticador
- Capacidade para capturar a captação do pacote de informação de RADIUS entre o NAS e o autenticador da primeira solicitação de acesso (do NAS ao autenticador) à última aceitação de acesso (do autenticador ao NAS) durante todo a sessão EAP
- Capacidade para executar sobre - Captação do ar (OTA) que contém apertos de mão de quatro vias de EAPoL
As informações neste documento são baseadas nestas versões de software e hardware:
- Servidor Radius (FreeRADIUS ou ISE)
- Sobre - Dispositivo de captura do ar
- Dispositivo de Apple macOS/OS X ou de Linux
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Neste exemplo, dois chaves mestres (PMK) são derivados por pares dos pacotes de informação de RADIUS capturados de ISE 2.3, porque o timeout de sessão neste SSID é 1800 segundos, e da captação dada aqui são 34 minutos (2040 segundos) por muito tempo.
Segundo as indicações da imagem, EAP-PEAP é usado como um exemplo, mas este pode ser aplicado a toda a autenticação wireless baseada dot1x.


Procedimento
Etapa 1. Decrypt PMK do pacote de aceitação acesso.
Execute o radsniff contra a captação do raio entre o NAS e o autenticador a fim extrair o PMK. A razão pela qual dois pacotes de aceitação acesso são extraídos durante a captação é que o temporizador do timeout de sessão está ajustado a 30 minutos neste SSID particular e na captação tem 34 minutos de comprimento. A autenticação é executada duas vezes.
FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan_merged.pcapng -s <shared-secret between NAS and Authenticator> -x
<snip>
2018-11-16 11:39:01.230000 (24) Access-Accept Id 172 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000
User-Name = "frlu_2"
State = 0x52656175746853657373696f6e3a306134323466326130303030303565373562656530393732
Class = 0x434143533a3061343234663261303030303035653735626565303937323a4953452d322d332f3332383237313233382f33303432
EAP-Message = 0x03c50004
Message-Authenticator = 0x38c67b9ba349842c9624889a45cabdfb
MS-MPPE-Send-Key = 0xa464cc15c0df8f09edc249c28711eb13a6db2d1a176f1196edcc707579fd6793
MS-MPPE-Recv-Key = 0xddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b<<<<<<<<<<<<<<<<<<PMK
Authenticator-Field = 0x6cd33b4d4dde05c07d9923e17ad6c218
<snip>
2018-11-16 11:39:01.470000 (48) Access-Accept Id 183 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000
User-Name = "frlu_2"
State = 0x52656175746853657373696f6e3a306134323466326130303030303565373562656530393732
Class = 0x434143533a3061343234663261303030303035653735626565303937323a4953452d322d332f3332383237313233382f33303434
EAP-Message = 0x03910004
Message-Authenticator = 0x81c572651679e15e54a900f3360c0aa9
MS-MPPE-Send-Key = 0xeae42cf7c6cd26371eee29856c51824fbb5bbb298874125928470114d009b5fb
MS-MPPE-Recv-Key = 0x7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e<<<<<<<<<<<<<<<<<PMK
Authenticator-Field = 0xa523dd9ec2ce93d19fe4fc2e21537a5d
Nota: Remova por favor toda a etiqueta do LAN virtual (VLAN) da captação do pacote de informação de RADIUS, se não, o radsniff não reconhece o arquivo do pcap da entrada. A fim remover toda a etiqueta VLAN, por exemplo, o editcap pode ser usado.
Dica: Geralmente, o tempo de execução do comando do radsniff contra um arquivo do pcap do RAIO pode ser contado como uma escala dos segundos. Contudo, se o radsniff é colado neste estado mostrado no log, conecte por favor esta captura de pacote de informação (a) com uma outra captura de pacote de informação mais longa (b) entre o mesmos NAS e autenticador. Então, execute o comando do radsniff contra o pacote conectado (A+B). A única exigência da captura de pacote de informação (b) é que você pode executar o comando do radsniff contra ele e ver o resultado verboso.
FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan.pcap -s Cisco123 -x
Logging all events
Sniffing on (/Users/frlu/Downloads/radius_novlan.pcap)
Neste exemplo, o controle do controlador do Wireless LAN (WLC) (a) de registro plano que é capturado através dos recursos de registro do pacote WLC, é conectado com uma captação mais longa do tcpdump do ISE (b). O registro do pacote WLC é usado como um exemplo porque é geralmente muito pequeno em tamanho.
Pacote WLC (a) de registro

Tcpdump ISE (b)

Fundido (A+B)

Execute então o radsniff contra o pcap fundido (A+B) e você poderão ver a saída verboso.
FRLU-M-51X5:pcaps frlu$ radsniff -I /Users/frlu/Downloads/radius_novlan_merged.pcapng -s <shared-secret between NAS and Authenticator> -x
<snip>
2018-11-16 11:39:01.230000 (24) Access-Accept Id 172 /Users/frlu/Downloads/radius_novlan_merged.pcapng:10.66.79.42:32771 <- 10.66.79.36:1812 +0.000 +0.000
<snip>
Etapa 2. Extrato PMK.
A supressão do campo 0x em cada MS-MPPE-RECV-chave da saída verboso e os PMK que é precisada para o tráfego Wireless descodificam são apresentados então.
MS-MPPE-RECV-chave = 0xddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b
PMK:
ddb0b09a7d6980515825950b5929d02f236799f3e8a87f163c8ca41a066d8b3b
MS-MPPE-RECV-chave = 0x7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e
PMK:
7cce47eb82f48d8c0a91089ef7168a9b45f3d798448816a3793c5a4dfb1cfb0e
Etapa 3. Decifre o sniffer OTA.
Navegue a Wireshark > a preferências > a protocolos > a IEEE 802.11. Então tiquetaqueie na descriptografia Enable e clique sobre o botão Edit ao lado das chaves de descriptografia, segundo as indicações da imagem.

Selecione em seguida, por favor o WPA-PSK como o tipo chave, e põe os PMK derivados no campo chave, e clique-os então sobre ESTÁ BEM. Depois que isto é terminado, a captação OTA deve ser decifrada e você pode ver a informação da camada superior (3+).

Exemplo de um pacote decifrado do 802.11

Se você compara o segundo resultado onde o PMK não é incluído, com o primeiro resultado, onde o PMK é incluído, o pacote 397886 é decifrado como dados de QoS do 802.11.
Exemplo de um pacote cifrado do 802.11

Cuidado: Você pode encontrar a edição com o Wireshark na descriptografia, e nesse caso, mesmo se o PMK direito é fornecido, (ou se o PSK é usado, o SSID e o PSK são fornecidos), Wireshark não decifra a captação OTA. A ação alternativa é girar de vez em quando Wireshark algumas vezes até que a informação da camada superior possa ser obtida e pacotes do 802.11 estiver mostrado já não como dados de QoS, ou usar um outro PC/Mac onde Wireshark seja instalado.
Dica: O pmkXtract chamado código corrente alternada ++ é anexado na primeira publicação na informação relacionada. As tentativas compiladas eram com sucesso e um arquivo executável é obtido, mas o programa executável não parece executar corretamente a descriptografia para algumas razões do uknown. Além, um script do pitão que tenta extrair o PMK é afixado na área do comentário na primeira publicação, que pode mais ser explorada se os leitores estão interessados.
Informações Relacionadas