ある時点で、下記の投稿で提案された解決策を使用する必要がありましたが、https://github.com/OpenSecurityResearch/hostapd-wpeの手順は、現代のKali（2019v3）では機能していませんでした。 とにかく、それらを機能させるのは簡単です。 hostapd-wpeを再コンパイルする前に、ここからhostapd-2.6をダウンロードするだけでよく、apt-get install libssl1.0-devをインストールしてください。

ワイヤレスネットワークでのEAP-TLSの分析と悪用

背景：ワイヤレスネットワークにおけるEAP-TLS

EAP-TLSは、証明書を使用してクライアントとサーバー間の相互認証を提供するセキュリティプロトコルです。クライアントとサーバーがお互いの証明書を認証することでのみ接続が確立されます。

遭遇した課題

アセスメント中に、hostapd-wpeツールを使用する際に興味深いエラーが発生しました。ツールは、クライアントの証明書が不明な認証局（CA）によって署名されているため、クライアントの接続を拒否しました。これは、クライアントが偽のサーバー証明書を信頼していないことを示し、クライアント側のセキュリティ設定が緩いことを示しています。

目標：中間者攻撃（MiTM）の設定

目標は、ツールを変更して任意のクライアント証明書を受け入れることでした。これにより、悪意のある無線ネットワークとの接続が確立され、MiTM攻撃が可能となり、平文の資格情報やその他の機密データをキャプチャする可能性がありました。

解決策：hostapd-wpeの変更

hostapd-wpeのソースコードの分析により、クライアント証明書の検証がOpenSSL関数SSL_set_verify内のパラメータ（verify_peer）によって制御されていることがわかりました。このパラメータの値を1（検証）から0（検証しない）に変更することで、ツールは任意のクライアント証明書を受け入れるようになりました。

攻撃の実行

1. 環境チェック: airodump-ngを使用してワイヤレスネットワークを監視し、ターゲットを特定します。

2. 偽のAPの設定: 修正されたhostapd-wpeを実行して、ターゲットネットワークを模倣する偽のアクセスポイント（AP）を作成します。

3. キャプティブポータルのカスタマイズ: キャプティブポータルのログインページをカスタマイズして、ターゲットユーザーにとって合法的で馴染みやすいものに見せます。

4. De-authentication攻撃: オプションで、クライアントを正規のネットワークから切断し、偽のAPに接続させるためにde-auth攻撃を実行します。

5. 資格情報のキャプチャ: クライアントが偽のAPに接続し、キャプティブポータルとやり取りすると、彼らの資格情報がキャプチャされます。

攻撃からの観察

• Windowsマシンでは、Webナビゲーションを試みると、システムが自動的に偽のAPに接続し、キャプティブポータルが表示される場合があります。

• iPhoneでは、ユーザーに新しい証明書を受け入れるよう促され、その後キャプティブポータルが表示される場合があります。

結論

EAP-TLSは安全とされていますが、その効果は正しい構成と慎重なエンドユーザーの行動に大きく依存しています。誤った構成されたデバイスや疑い深いユーザーがローグ証明書を受け入れることで、EAP-TLSで保護されたネットワークのセキュリティが損なわれる可能性があります。

詳細については、https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/ をご覧ください。

参考文献

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/