어느 순간에는 아래 게시물에서 제안된 솔루션을 사용해야 했지만 https://github.com/OpenSecurityResearch/hostapd-wpe의 단계는 최신 칼리(2019v3)에서 작동하지 않았습니다. 어쨌든, 이를 작동시키는 것은 쉽습니다. 여기에서 hostapd-2.6을 다운로드하면 됩니다: https://w1.fi/releases/ 그리고 hostapd-wpe를 다시 컴파일하기 전에 apt-get install libssl1.0-dev를 설치하세요.

무선 네트워크에서 EAP-TLS 분석 및 악용

배경: 무선 네트워크에서의 EAP-TLS

EAP-TLS는 인증서를 사용하여 클라이언트와 서버 간 상호 인증을 제공하는 보안 프로토콜입니다. 클라이언트와 서버가 서로의 인증서를 인증하는 경우에만 연결이 설정됩니다.

마주친 도전 과제

평가 중에 hostapd-wpe 도구를 사용할 때 흥미로운 오류가 발생했습니다. 도구가 클라이언트의 연결을 거부했는데, 이는 클라이언트의 인증서가 알 수 없는 인증 기관(CA)에 의해 서명되었기 때문입니다. 이는 클라이언트가 가짜 서버의 인증서를 신뢰했다는 것을 나타내며, 클라이언트 측의 보안 구성이 느슨하다는 것을 의미합니다.

목표: Man-in-the-Middle (MiTM) 공격 설정

목표는 도구를 수정하여 모든 클라이언트 인증서를 허용하도록 하는 것이었습니다. 이를 통해 악의적인 무선 네트워크와의 연결을 설정하고 MiTM 공격을 수행하여 일반 텍스트 자격 증명이나 기타 민감한 데이터를 포착할 수 있게 됩니다.

솔루션: hostapd-wpe 수정

hostapd-wpe의 소스 코드 분석 결과, 클라이언트 인증서 유효성 검사는 OpenSSL 함수 SSL_set_verify의 매개변수(verify_peer)에 의해 제어되었습니다. 이 매개변수의 값을 1(검증)에서 0(검증하지 않음)으로 변경함으로써 도구가 모든 클라이언트 인증서를 허용하도록 만들 수 있었습니다.

공격 실행

1. 환경 확인: airodump-ng를 사용하여 무선 네트워크를 모니터링하고 대상을 식별합니다.

2. 가짜 AP 설정: 수정된 hostapd-wpe를 실행하여 대상 네트워크를 모방하는 가짜 액세스 포인트(AP)를 생성합니다.

3. 캡티브 포털 사용자 정의: 캡티브 포털의 로그인 페이지를 신뢰할 수 있고 대상 사용자에게 익숙한 것처럼 사용자 정의합니다.

4. De-authentication 공격: 선택적으로, 클라이언트를 정상 네트워크에서 연결 해제하고 가짜 AP에 연결합니다.

5. 자격 증명 포착: 클라이언트가 가짜 AP에 연결하고 캡티브 포털과 상호 작용할 때 자격 증명이 포착됩니다.

공격으로부터의 관찰

• Windows 기기에서는 웹 탐색을 시도할 때 가짜 AP에 자동으로 연결되어 캡티브 포털이 표시될 수 있습니다.

• iPhone에서는 사용자에게 새 인증서를 수락하도록 요청한 다음 캡티브 포털이 표시될 수 있습니다.

결론

EAP-TLS는 안전하다고 여겨지지만, 올바른 구성과 조심스러운 사용자 행동에 매우 의존합니다. 잘못 구성된 장치나 의심하지 않는 사용자가 위조 인증서를 수락할 경우 EAP-TLS로 보호된 네트워크의 보안이 약화될 수 있습니다.

자세한 내용은 https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/를 참조하세요.

참고 자료

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/