W pewnym momencie potrzebowałem skorzystać z proponowanego rozwiązania w poniższym poście, ale kroki opisane w https://github.com/OpenSecurityResearch/hostapd-wpe nie działały już w nowoczesnym kali (2019v3). W każdym razie, łatwo jest je uruchomić. Wystarczy pobrać hostapd-2.6 stąd: https://w1.fi/releases/ i przed ponownym kompilowaniem hostapd-wpe zainstalować: apt-get install libssl1.0-dev

Analiza i wykorzystanie EAP-TLS w sieciach bezprzewodowych

Tło: EAP-TLS w sieciach bezprzewodowych

EAP-TLS to protokół bezpieczeństwa zapewniający wzajemną autentykację między klientem a serwerem za pomocą certyfikatów. Połączenie jest nawiązywane tylko wtedy, gdy zarówno klient, jak i serwer autentykują certyfikaty drugiej strony.

Napotkane wyzwanie

Podczas oceny napotkano interesujący błąd przy użyciu narzędzia hostapd-wpe. Narzędzie odrzuciło połączenie klienta z powodu certyfikatu klienta podpisanego przez nieznanego dostawcę certyfikatów (CA). Wskazywało to na to, że klient ufał fałszywemu certyfikatowi serwera, co wskazywało na luźne konfiguracje zabezpieczeń po stronie klienta.

Cel: Ustawienie ataku Man-in-the-Middle (MiTM)

Celem było zmodyfikowanie narzędzia tak, aby akceptowało dowolny certyfikat klienta. Pozwoliłoby to na nawiązanie połączenia z złośliwą siecią bezprzewodową i umożliwiło atak typu MiTM, potencjalnie przechwytując poufne dane uwierzytelniające lub inne wrażliwe dane.

Rozwiązanie: Modyfikacja hostapd-wpe

Analiza kodu źródłowego hostapd-wpe ujawniła, że walidacja certyfikatu klienta była kontrolowana przez parametr (verify_peer) w funkcji OpenSSL SSL_set_verify. Zmieniając wartość tego parametru z 1 (walidacja) na 0 (brak walidacji), narzędzie zostało zmuszone do akceptowania dowolnego certyfikatu klienta.

Wykonanie ataku

1. Sprawdzenie środowiska: Użyj airodump-ng, aby monitorować sieci bezprzewodowe i zidentyfikować cele.

2. Utwórz fałszywy punkt dostępowy (AP): Uruchom zmodyfikowany hostapd-wpe, aby utworzyć fałszywy punkt dostępowy (AP) naśladujący docelową sieć.

3. Dostosowanie portalu przechwytującego: Dostosuj stronę logowania portalu przechwytującego, aby wyglądała legalnie i znajomo dla użytkownika docelowego.

4. Atak deautoryzacji: Opcjonalnie przeprowadź atak deautoryzacji, aby odłączyć klienta od prawidłowej sieci i podłączyć go do fałszywego AP.

5. Przechwytywanie danych uwierzytelniających: Po podłączeniu klienta do fałszywego AP i interakcji z portalem przechwytującym, przechwytywane są jego dane uwierzytelniające.

Obserwacje z ataku

• Na komputerach z systemem Windows system może automatycznie łączyć się z fałszywym AP, wyświetlając portal przechwytujący przy próbie nawigacji internetowej.

• Na iPhone'ach użytkownik może zostać poproszony o zaakceptowanie nowego certyfikatu, a następnie wyświetlony zostanie portal przechwytujący.

Wnioski

Choć EAP-TLS uważane jest za bezpieczne, jego skuteczność w dużej mierze zależy od poprawnej konfiguracji i ostrożnego zachowania użytkowników końcowych. Niewłaściwie skonfigurowane urządzenia lub niespodziewający się użytkownicy akceptujący fałszywe certyfikaty mogą podważyć bezpieczeństwo sieci zabezpieczonej protokołem EAP-TLS.

Aby uzyskać dalsze szczegóły, sprawdź https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Odwołania

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/