本文作者 98,擅长无线安全,过往文章:《wifi渗透-狸猫换太子》、《无线渗透--‘钓鱼’wifi》,完成 3 篇文章,欢迎加入我们的作者大军,争取为大家带来更多更好的关于无线攻防的文章。最后欢迎不同研究安全不同领域的同学加入我们一起学习成长。
平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2 也不是绝对安全的一种 wifi,他的安全性有点依赖密码,也就是说当你的 wifi 密码泄露了他就变的不太安全了。
对于需要无线安全能力强的企业他们就不可以选用 wap2,wap2 可以暴力破解,以及利用一些社会工程学的一些软件进行破解,EAP 的出现就是为了满足对于安全要求高的企业。
EAP 是什么? EAP 全称叫 802.1X/EAP 他常常给误解成 802.11x。802.1x 是基于端口的访问控制标准,是一种授权架构,允许或阻止流量通过端口访问网络资源,他主要是三部分构成:
1 请求方:也就是需要链接网络的设备
2 认证方:也就是认证你这个设备是否可以进入这个网络里面
3 认证服务器 :对请求方进行身份验证,并将认证结果告诉认证方
这就是 802.1X/EAP 的认证过程。
EAP 的意思就是可扩展认证协议的缩写。最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-LEAP、EAP-TTLS、EAP-Fast、EAP-PEAP
下面我就简单的介绍一下:
EAP-MD-5 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。 EAP-MD-5 通常 不建议用于 WiFi LAN 执行,因为它可能衍生用户密码。 它仅提供单向验证-没有相互验证的 WiFi 客户端和网络。 更为重要的是,它不提供衍生动态、按对话有限对等保密 ( WEP ) 密钥的方法
EAP-LEAP Cisco 开发了一种名为轻量级 EAP ( LEAP 或 EAP-Cisco ) 的协议,以克服 802.11 安全中的一些缺点.使用 LEAP 时, AP 使用一个外部的远程验证拨号用户服务 ( RADIUS ) 服务器来实际处理客户端认证.实际上,AP 和无线客户端将通过 RADIUS 服务器,通过交换挑战和响应来相互认证,使用的凭证是用户名和密码。
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 V** 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-TTLS ( 隧道传输层安全 ) 是由 Funk Software and Certicom 开发,作为 EAP-TLS 的扩 展。 此安全方法提供基于证书的相互验证,客户端和网络通过加密通道 ( 或 "隧道" ),以及衍生动态、每一用户、每次会话 WEP 密钥。 与 EAP-TLS、EAP-TTLS 仅需要服务器方面的证书。
EAP-FAST ( 通过安全隧道灵活认证 ) 是由 Cisco 开发。 而不是使用证书,相互认证是通过 PAC ( 保护性接入身分凭证 ),可通过验证服务器进行动态管理。 PAC 可以配备 ( 一次性分发 ) 到客户端手动或自动。 手动提供送到客户端通过磁盘或可靠的网络分发方法。 自动提供是指带内,通过空气、发布。
EAP-PEAP ( 受保护的可扩展验证协议 ) 提供了一种安全传输验证数据的方法,包括传统的密码协议,通过 802.11 WiFi 网络。PEAP 来实现通过使用隧道 PEAP 客户端和验证服务器之间。 希望同竞争对手标准隧道传输层安全性 ( TTLS )、PEAP 验证 WiFi LAN 客户端使用服务器单边证书,从而简化了的执行和管理安全 WiFi 局域网。
如图(图片来自 cwsp,部分知识参考与 wcsp cwna 百度)
WAP2 和 802.1X/EAP 比,wap2 没有认证服务器这个环节。对于无线安全来说,如果你的无线给入侵者进去了入侵者就可能接触到你的金融服务器/企业机密/还有个人医疗信息安全等等。这些领域的无线要求很高的安全才可以,如果不安全可想而知对于一个企业来说可能是致命的打击。我相信大家都看过没有绝对安全的系统这个电影,虽然有点不实际,但是他们告我我们真的是没有绝对安全的系统,只是他们很难找到罢了。
同样 EAP 认证也是,无线安全最怕的不是你的系统不安全而是你的员工没有意识到,就比如非法无线接入点,大多数情况下安装这些非法的接入点不是黑客而是自己的员工,他们没有意识到这样做的后果,wifi 已经成为我们生活的一部分了,有些员工会在自己的工作地方安装非法接入点,来弥补企业无线没有办法覆盖到的地方,这样做网络管理员没有办法发现这是非法接入点,对于一个企业来说就白白的给黑客一个入侵的口子。入侵监控显得尤为重要,攻击者可以用无线网络进行入侵,所以企业必须对对有线端口进行监控,来防止员工私自装非法接入点,WIDS(Wireless Intrusion Detection System 无线入侵检测系统)就是来监控无线是否存在非法接入点,WIDS 是由 WIDS 服务器,管理控制台,传感器,组成的。WIDS 最适合监控第二层攻击,比如 MAC 欺骗,非法解除认证关联帧等等,对于平常的抓包暴力破解基本没有用,钓鱼也是没有用的,WIDS 有移动版本,也就是说你在破解和入侵一个 wifi 的时候是需要在这个 wifi 的范围里面的,如果一家企业在人流量很大的地方被黑客非法攻击,这个时候便携式 WIDS 就出场了,他可以抓到入侵者的非法设备,从而进行跟踪来确定他的具体位置。WIDS 的传感器只有监听模式,对 2.4G 14 个信号段和 5G 24 个信号段进行无间断的扫描来发现非法接入点,所以企业一定需要制定一些安全策略来保证企业网络安全,同时需要定期的培训员工的安全意识。EAP 这么好为什么没有多少企业用(设备和维护成本高)你们可能没有听过双面恶魔 AP 但是你们见过他的弟弟无线钓鱼就是基于双面恶魔的。最后我们来对比一下这些 EAP:
还有 REAPV0 和 PEAPV1 我就不介绍了,最近不是爆出 wap2 有漏洞吗,那我是不是用 EAP 最好了,你家又不是有很机密的东西,而且就算有(小姐姐)我们家用一般都不会给别人恶意破解,EAP 认证还需要你有 RADIUS(认证方服务器)这些无疑需要很多钱,系统安全做好了,自己也要做好安全,定期更改密码绑定 MAC 隐藏 SSID 这些就足够了。下面我附上 WAP2 漏洞(密钥重装攻击)这个漏洞的价值在于学术研究,这个漏洞对环境是有要求的
https://github.com/vanhoefm/krackattacks-scripts
(以上部分参考于 cwna 书籍)