En algún momento necesité usar la solución propuesta por el post a continuación, pero los pasos en https://github.com/OpenSecurityResearch/hostapd-wpe ya no funcionaban en kali moderno (2019v3). De todos modos, es fácil hacer que funcionen. Solo necesitas descargar el hostapd-2.6 desde aquí: https://w1.fi/releases/ y antes de compilar nuevamente hostapd-wpe instala: apt-get install libssl1.0-dev

Analizando y Explotando EAP-TLS en Redes Inalámbricas

Antecedentes: EAP-TLS en Redes Inalámbricas

EAP-TLS es un protocolo de seguridad que proporciona autenticación mutua entre el cliente y el servidor utilizando certificados. La conexión solo se establece si tanto el cliente como el servidor autentican los certificados del otro.

Desafío Encontrado

Durante una evaluación, se encontró un error interesante al usar la herramienta hostapd-wpe. La herramienta rechazó la conexión del cliente debido a que el certificado del cliente estaba firmado por una Autoridad de Certificación (CA) desconocida. Esto indicaba que el cliente no confiaba en el certificado del servidor falso, lo que apuntaba a configuraciones de seguridad laxas en el lado del cliente.

Objetivo: Configurar un Ataque de Hombre en el Medio (MiTM)

El objetivo era modificar la herramienta para aceptar cualquier certificado de cliente. Esto permitiría el establecimiento de una conexión con la red inalámbrica maliciosa y habilitaría un ataque de MiTM, capturando potencialmente credenciales en texto plano u otros datos sensibles.

Solución: Modificando hostapd-wpe

El análisis del código fuente de hostapd-wpe reveló que la validación del certificado del cliente estaba controlada por un parámetro (verify_peer) en la función OpenSSL SSL_set_verify. Al cambiar el valor de este parámetro de 1 (validar) a 0 (no validar), se hizo que la herramienta aceptara cualquier certificado de cliente.

Ejecución del Ataque

1. Verificación del Entorno: Utiliza airodump-ng para monitorear redes inalámbricas e identificar objetivos.

2. Configurar un AP Falso: Ejecuta el hostapd-wpe modificado para crear un Punto de Acceso (AP) falso imitando la red objetivo.

3. Personalización del Portal Cautivo: Personaliza la página de inicio de sesión del portal cautivo para que parezca legítima y familiar para el usuario objetivo.

4. Ataque de Desautenticación: Opcionalmente, realiza un ataque de desautenticación para desconectar al cliente de la red legítima y conectarlo al AP falso.

5. Captura de Credenciales: Una vez que el cliente se conecta al AP falso e interactúa con el portal cautivo, se capturan sus credenciales.

Observaciones del Ataque

• En máquinas con Windows, el sistema podría conectarse automáticamente al AP falso, presentando el portal cautivo al intentar la navegación web.

• En un iPhone, al usuario se le podría pedir que acepte un nuevo certificado y luego se le presentaría el portal cautivo.

Conclusión

Si bien EAP-TLS se considera seguro, su efectividad depende en gran medida de la configuración correcta y del comportamiento cauteloso de los usuarios finales. Dispositivos mal configurados o usuarios desprevenidos que aceptan certificados falsos pueden socavar la seguridad de una red protegida con EAP-TLS.

Para más detalles, consulta https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Referencias

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/