Глава 8. Атака корпоративных WPA и RADIUS

Чем больше шкаф, тем громче падает.

__ Пословица__

Корпоративный WPA всегда окружён непробиваемым ореолом. Большинство сетевых администраторов считают его надёжным решением для обеспечения безопасности беспроводной сети. В этой главе мы увидим, что это уже не так.

В этой главе мы узнаем, как использовать различные инструменты и методы Kali для атаки на корпоративный WPA.

8.1 Настройка FreeRADIUS-WPE

Нам нужен RADIUS-сервер для реализации корпоративной атаки WPA. Наиболее широко используемым открытым исходным кодом RADIUS является FreeRADIUS. Однако он сложен в настройке, и каждый раз настраивать его для атаки утомительно.

Joshua Wright — известный исследователь безопасности, который написал патч для FreeRADIUS, упрощающий его настройку и выполнение атак. Этот патч называется FreeRADIUS-WPE. Kali не поставляется с FreeRADIUS-WPE, поэтому нам нужно выполнить следующие шаги для настройки:

1. Посетите https://github.com/brad-anton/freeradius-wpe и вы найдёте ссылку для скачивания: https://github.com/brad-anton/ freeradius-wpe/raw/master/freeradius-server-wpe_2.1.12-1_i386. deb.

2. После загрузки установите пакет с помощью команды dpkg –i freeradius-server-wpe_2.1.12-1_ i386.deb:

Теперь нам нужно быстро настроить Radius-сервер на Kali.

Практическое занятие — использование FreeRADIUS-WPE для создания AP

1. Подключите один из портов LAN коммутатора к порту Ethernet вашего хоста Kali. В нашем случае интерфейс — eth0. Запустите этот интерфейс и получите IP-адрес через DHCP:

2. Войдите в точку доступа и настройте её на режим безопасности WPA/WPA2-Enterprise. Установите версию на WPA2 и шифрование на AES. Затем в разделе EAP (802.1x) введите IP-адрес Radius-сервера, который является IP-адресом вашего хоста Kali. Пароль Radius — «test»:

3. Теперь откройте новый терминал и перейдите в каталог /usr/local/etc/raddb. Здесь находятся все файлы конфигурации FreeRADIUS-WPE:

4. Откройте файл eap.conf. Вы увидите, что тип по умолчанию установлен на MD5. Измените его на PEAP:

5. Откройте файл clients.conf. Это место, где мы определяем белый список клиентов, которые могут подключаться к нашему Radius-серверу. Интересно отметить, что если вы просмотрите ниже, игнорируя примеры настроек, диапазон 192.168.0.0/16 имеет секрет по умолчанию, установленный на «test», который мы использовали на шаге 2:

6. Запускаем RADIUS-сервер с помощью команды radiusd –s –X:

7. Как только сервер запустится, вы увидите кучу отладочной информации на экране, но в конечном итоге сервер стабилизируется и будет прослушивать порт. Отлично! Мы можем начать эксперименты этой главы.

Что произошло?

Мы успешно настроили FreeRADIUS-WPE. Мы будем использовать его в оставшейся части экспериментов этой главы.

Попробуйте сами — поиграйте с RADIUS

FreeRADIUS-WPE имеет множество опций. Ознакомление с ними — хорошая идея. Провести время, просматривая различные файлы конфигурации и то, как они взаимодействуют, очень важно.

8.2 Атака PEAP

Защищённый расширенный протокол аутентификации (PEAP) — наиболее распространённая версия EAP. Это родной EAP для Windows.

PEAP имеет две версии:

• PEAPv0 использует EAP-MSCHAPv2 (наиболее распространён, поскольку поддерживается Windows).
• PEAPv1 использует EAP-GTC.

PEAP использует сертификат сервера для проверки подлинности RADIUS-сервера. Почти все атаки PEAP используют ненадлежащую конфигурацию проверки сертификата.

В следующем эксперименте мы рассмотрим, как взломать PEAP, когда клиент отключил проверку сертификата.

Практическое занятие — взлом PEAP

Следуйте этим шагам, чтобы начать:

1. Ещё раз проверьте файл eap.conf, чтобы убедиться, что PEAP включён:

2. Перезапустите Radius-сервер, используя команду radiusd –s –X:

3. Следите за журналами, созданными FreeRADIUS-WPE:

4. Windows поддерживает PEAP. Убедитесь, что проверка сертификата отключена:

5. Нам нужно нажать на вкладку «Настроить» рядом с «Защищённым паролем» и сказать Windows не использовать автоматически наше имя пользователя и пароль Windows:

6. Нам также нужно выбрать «Аутентификация пользователя» в диалоговом окне «Дополнительные настройки»:

7. Когда клиент подключится к точке доступа, клиент запросит имя пользователя и пароль. Мы используем «Monster» в качестве имени пользователя и «abcdefghi» в качестве пароля:

8. Как только мы закончим, мы увидим ответ на вызов MSCHAP-v2 в журнале.

9. Теперь мы используем asleap, чтобы взломать его, используя файл списка паролей, содержащий «abcdefghi». Мы сможем взломать его. (Для демонстрационных целей мы создали однострочный файл с именем list, содержащий список.)

Что произошло?

С помощью FreeRADIUS-WPE мы создали приманку. Корпоративный клиент был неправильно настроен без проверки сертификата PEAP. Это позволяет нам представить наш поддельный сертификат клиенту, который с радостью его принимает. Как только это происходит, внутренний протокол проверки подлинности MSCHAP-v2 вступает в силу. Поскольку клиент использует наш поддельный сертификат для расшифровки данных, мы можем легко прочитать имя пользователя, вызов и ответную пару.

MSCHAP-v2 легко поддаётся словарной атаке. Мы использовали asleap для взлома пары вызова и ответа, потому что она выглядит основанной на слове из словаря.

Попробуйте сами — атакуйте варианты PEAP

PEAP можно неправильно настроить множеством способов. Даже если проверка сертификата включена, если администратор не упомянул сервер проверки в списке серверов, злоумышленник может получить реальный сертификат из другого домена из любого перечисленного центра сертификации. Клиент всё равно примет его. Возможны и другие варианты этой атаки.

Мы рекомендуем вам изучить различные возможности этой главы. Корпоративный WPA на основе PEAP или EAP-TTLS. Это два наиболее распространённых механизма аутентификации для предприятий.

В следующей главе мы рассмотрим, как использовать всё, что мы изучили, в реальных тестах на проникновение.