Evil Twin EAP-TLS
ある時点で、下記の投稿で提案された解決策を使用する必要がありましたが、https://github.com/OpenSecurityResearch/hostapd-wpeの手順は、現代のKali(2019v3)では機能していませんでした。
とにかく、それらを機能させるのは簡単です。
hostapd-wpe
を再コンパイルする前に、ここからhostapd-2.6
をダウンロードするだけでよく、apt-get install libssl1.0-dev
をインストールしてください。
ワイヤレスネットワークでのEAP-TLSの分析と悪用
背景:ワイヤレスネットワークにおけるEAP-TLS
EAP-TLSは、証明書を使用してクライアントとサーバー間の相互認証を提供するセキュリティプロトコルです。クライアントとサーバーがお互いの証明書を認証することでのみ接続が確立されます。
遭遇した課題
アセスメント中に、hostapd-wpe
ツールを使用する際に興味深いエラーが発生しました。ツールは、クライアントの証明書が不明な認証局(CA)によって署名されているため、クライアントの接続を拒否しました。これは、クライアントが偽のサーバー証明書を信頼していないことを示し、クライアント側のセキュリティ設定が緩いことを示しています。
目標:中間者攻撃(MiTM)の設定
目標は、ツールを変更して任意のクライアント証明書を受け入れることでした。これにより、悪意のある無線ネットワークとの接続が確立され、MiTM攻撃が可能となり、平文の資格情報やその他の機密データをキャプチャする可能性がありました。
解決策:hostapd-wpe
の変更
hostapd-wpe
の変更hostapd-wpe
のソースコードの分析により、クライアント証明書の検証がOpenSSL関数SSL_set_verify
内のパラメータ(verify_peer
)によって制御されていることがわかりました。このパラメータの値を1(検証)から0(検証しない)に変更することで、ツールは任意のクライアント証明書を受け入れるようになりました。
攻撃の実行
環境チェック:
airodump-ng
を使用してワイヤレスネットワークを監視し、ターゲットを特定します。偽のAPの設定: 修正された
hostapd-wpe
を実行して、ターゲットネットワークを模倣する偽のアクセスポイント(AP)を作成します。キャプティブポータルのカスタマイズ: キャプティブポータルのログインページをカスタマイズして、ターゲットユーザーにとって合法的で馴染みやすいものに見せます。
De-authentication攻撃: オプションで、クライアントを正規のネットワークから切断し、偽のAPに接続させるためにde-auth攻撃を実行します。
資格情報のキャプチャ: クライアントが偽のAPに接続し、キャプティブポータルとやり取りすると、彼らの資格情報がキャプチャされます。
攻撃からの観察
Windowsマシンでは、Webナビゲーションを試みると、システムが自動的に偽のAPに接続し、キャプティブポータルが表示される場合があります。
iPhoneでは、ユーザーに新しい証明書を受け入れるよう促され、その後キャプティブポータルが表示される場合があります。
結論
EAP-TLSは安全とされていますが、その効果は正しい構成と慎重なエンドユーザーの行動に大きく依存しています。誤った構成されたデバイスや疑い深いユーザーがローグ証明書を受け入れることで、EAP-TLSで保護されたネットワークのセキュリティが損なわれる可能性があります。
詳細については、https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/ をご覧ください。
参考文献
Last updated