前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >无线网络 EAP 认证

无线网络 EAP 认证

作者头像
信安之路
发布2018-08-08 14:26:22
4.1K0
发布2018-08-08 14:26:22
举报
文章被收录于专栏:信安之路

本文作者 98,擅长无线安全,过往文章:《wifi渗透-狸猫换太子》、《无线渗透--‘钓鱼’wifi》,完成 3 篇文章,欢迎加入我们的作者大军,争取为大家带来更多更好的关于无线攻防的文章。最后欢迎不同研究安全不同领域的同学加入我们一起学习成长。

平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2 也不是绝对安全的一种 wifi,他的安全性有点依赖密码,也就是说当你的 wifi 密码泄露了他就变的不太安全了。

对于需要无线安全能力强的企业他们就不可以选用 wap2,wap2 可以暴力破解,以及利用一些社会工程学的一些软件进行破解,EAP 的出现就是为了满足对于安全要求高的企业。

EAP 是什么? EAP 全称叫 802.1X/EAP 他常常给误解成 802.11x。802.1x 是基于端口的访问控制标准,是一种授权架构,允许或阻止流量通过端口访问网络资源,他主要是三部分构成:

1 请求方:也就是需要链接网络的设备

2 认证方:也就是认证你这个设备是否可以进入这个网络里面

3 认证服务器 :对请求方进行身份验证,并将认证结果告诉认证方

这就是 802.1X/EAP 的认证过程。

EAP 的类型又那些?

EAP 的意思就是可扩展认证协议的缩写。最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-LEAP、EAP-TTLS、EAP-Fast、EAP-PEAP

下面我就简单的介绍一下:

EAP-MD-5 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。 EAP-MD-5 通常 不建议用于 WiFi LAN 执行,因为它可能衍生用户密码。 它仅提供单向验证-没有相互验证的 WiFi 客户端和网络。 更为重要的是,它不提供衍生动态、按对话有限对等保密 ( WEP ) 密钥的方法

EAP-LEAP Cisco 开发了一种名为轻量级 EAP ( LEAP 或 EAP-Cisco ) 的协议,以克服 802.11 安全中的一些缺点.使用 LEAP 时, AP 使用一个外部的远程验证拨号用户服务 ( RADIUS ) 服务器来实际处理客户端认证.实际上,AP 和无线客户端将通过 RADIUS 服务器,通过交换挑战和响应来相互认证,使用的凭证是用户名和密码。

EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 V** 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。

EAP-TTLS ( 隧道传输层安全 ) 是由 Funk Software and Certicom 开发,作为 EAP-TLS 的扩 展。 此安全方法提供基于证书的相互验证,客户端和网络通过加密通道 ( 或 "隧道" ),以及衍生动态、每一用户、每次会话 WEP 密钥。 与 EAP-TLS、EAP-TTLS 仅需要服务器方面的证书。

EAP-FAST ( 通过安全隧道灵活认证 ) 是由 Cisco 开发。 而不是使用证书,相互认证是通过 PAC ( 保护性接入身分凭证 ),可通过验证服务器进行动态管理。 PAC 可以配备 ( 一次性分发 ) 到客户端手动或自动。 手动提供送到客户端通过磁盘或可靠的网络分发方法。 自动提供是指带内,通过空气、发布。

EAP-PEAP ( 受保护的可扩展验证协议 ) 提供了一种安全传输验证数据的方法,包括传统的密码协议,通过 802.11 WiFi 网络。PEAP 来实现通过使用隧道 PEAP 客户端和验证服务器之间。 希望同竞争对手标准隧道传输层安全性 ( TTLS )、PEAP 验证 WiFi LAN 客户端使用服务器单边证书,从而简化了的执行和管理安全 WiFi 局域网。

如图(图片来自 cwsp,部分知识参考与 wcsp cwna 百度)

WAP2 和 802.1X/EAP 比,wap2 没有认证服务器这个环节。对于无线安全来说,如果你的无线给入侵者进去了入侵者就可能接触到你的金融服务器/企业机密/还有个人医疗信息安全等等。这些领域的无线要求很高的安全才可以,如果不安全可想而知对于一个企业来说可能是致命的打击。我相信大家都看过没有绝对安全的系统这个电影,虽然有点不实际,但是他们告我我们真的是没有绝对安全的系统,只是他们很难找到罢了。

同样 EAP 认证也是,无线安全最怕的不是你的系统不安全而是你的员工没有意识到,就比如非法无线接入点,大多数情况下安装这些非法的接入点不是黑客而是自己的员工,他们没有意识到这样做的后果,wifi 已经成为我们生活的一部分了,有些员工会在自己的工作地方安装非法接入点,来弥补企业无线没有办法覆盖到的地方,这样做网络管理员没有办法发现这是非法接入点,对于一个企业来说就白白的给黑客一个入侵的口子。入侵监控显得尤为重要,攻击者可以用无线网络进行入侵,所以企业必须对对有线端口进行监控,来防止员工私自装非法接入点,WIDS(Wireless Intrusion Detection System 无线入侵检测系统)就是来监控无线是否存在非法接入点,WIDS 是由 WIDS 服务器,管理控制台,传感器,组成的。WIDS 最适合监控第二层攻击,比如 MAC 欺骗,非法解除认证关联帧等等,对于平常的抓包暴力破解基本没有用,钓鱼也是没有用的,WIDS 有移动版本,也就是说你在破解和入侵一个 wifi 的时候是需要在这个 wifi 的范围里面的,如果一家企业在人流量很大的地方被黑客非法攻击,这个时候便携式 WIDS 就出场了,他可以抓到入侵者的非法设备,从而进行跟踪来确定他的具体位置。WIDS 的传感器只有监听模式,对 2.4G 14 个信号段和 5G 24 个信号段进行无间断的扫描来发现非法接入点,所以企业一定需要制定一些安全策略来保证企业网络安全,同时需要定期的培训员工的安全意识。EAP 这么好为什么没有多少企业用(设备和维护成本高)你们可能没有听过双面恶魔 AP 但是你们见过他的弟弟无线钓鱼就是基于双面恶魔的。最后我们来对比一下这些 EAP:

还有 REAPV0 和 PEAPV1 我就不介绍了,最近不是爆出 wap2 有漏洞吗,那我是不是用 EAP 最好了,你家又不是有很机密的东西,而且就算有(小姐姐)我们家用一般都不会给别人恶意破解,EAP 认证还需要你有 RADIUS(认证方服务器)这些无疑需要很多钱,系统安全做好了,自己也要做好安全,定期更改密码绑定 MAC 隐藏 SSID 这些就足够了。下面我附上 WAP2 漏洞(密钥重装攻击)这个漏洞的价值在于学术研究,这个漏洞对环境是有要求的

https://github.com/vanhoefm/krackattacks-scripts

(以上部分参考于 cwna 书籍)

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-11-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • EAP 的类型又那些?
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档