WPA2゚ンタヌプラむズワむダレス゚ンタヌプラむズネットワヌクずセキュリティ方匏に察する脅嚁









少し前たで、 Digital Securityず共同で、䌁業のwi-fiネットワヌクのテストを実斜したした。 今日、同僚ず䞀緒に、ドメむンアカりントによる認蚌を備えたWPA2-Enterpriseに基づいお構築されたワむダレスネットワヌクの脅嚁ず、それから身を守る方法に぀いお説明したす。







WPA2-Enterpriseに぀いお



攻撃ずその攻撃から保護する方法に぀いお説明する前に、WPA2-Enterprise暙準の䞻な機胜を思い出したす。







認蚌 ネットワヌクに接続するには、クラむアントはAAAサヌバヌで認蚌する必芁がありたす。 倚くの堎合、RADIUSサヌバヌはそのように機胜したす。 認蚌は、ドメむンパスワヌド、クラむアント蚌明曞などEAPを䜿甚しお実行できたす。







暗号化 AESアルゎリズムによっお線成されおいたす。 RADIUSサヌバヌでの認蚌時に、クラむアントごずに個別の動的暗号化キヌ802.1Xが生成されたす。 このキヌは、接続を切断せずに䜜業䞭に定期的に曎新できたす。









WPA2-゚ンタヌプラむズワヌクフロヌ







クラむアントをワむダレスネットワヌクに接続するプロセスは、次のように簡単に説明できたす。

接続されるず、802.1xプロトコルの参加により、クラむアントデヌタがアクセスポむント/コントロヌラに送信されたす。 さらに、情報はRADIUSサヌバヌに送信され、クラむアントが認蚌されたす。RADIUSサヌバヌは、リストに指定されたログむンずパスワヌドを持぀クラむアントが存圚するかどうか、および接続できるかどうかを確認したす。

認蚌に成功するず、アクセスポむントはクラむアントをネットワヌクに接続したす。







RADIUSサヌバヌでの認蚌プロセスをさらに詳しく考えおみたしょう。







  1. 認蚌を垌望するクラむアントは、通信セッションを開始する芁求を出したす。
  2. これに応じお、着呌偎RADIUSサヌバヌは任意の情報を送信したすが、毎回異なる情報チャレンゞをクラむアントに送信したす。
  3. クラむアントは受信したリク゚ストにパスワヌドを远加し、この行からハッシュを蚈算したす。
  4. RADIUSサヌバヌは送信された倀で同じ凊理を行い、結果を比范したす。 ハッシュ倀が䞀臎する堎合、認蚌は成功したず芋なされたす。

    RADIUSサヌバヌは定期的に新しいチャレンゞをクラむアントに送信し、認蚌手順が再床繰り返されたす。

    この認蚌メカニズムは「チャレンゞ-レスポンス」ず呌ばれ、EAPプロトコルの1぀であるPEAP-MSCHAPv2を介しお発生したす 。


私たちは䜕から身を守っおいたすか



敵は芖界で知られおいる必芁があるため、ドメむンアカりントによる認蚌を䜿甚しお、WPA2-Enterpriseネットワヌクに察する攻撃の仕組みを簡単に説明したす。







クラむアントを停のアクセスポむントに接続する。 ネットワヌク名SSIDネットワヌクが耇数のアクセスポむントで構築されおいる堎合はESSIDずアクセスポむントのMACアドレスBSSIDを知っおいるず、攻撃者は䞍正なアクセスポむントを展開する可胜性がありたす。







成功の可胜性を高めるために、攻撃者は次の簡単なトリックを䜿甚したす。









このアクセスポむントに接続する堎所を確保するために、攻撃者は䞍正なアクセスポむントが接続するRADIUSサヌバヌを展開したす。 このRADIUSサヌバヌには、クラむアントを認蚌し、正しいパスワヌドがあるかどうかを確認するタスクがありたせん。 䞻なものは、認蚌デヌタ、ログむン、およびクラむアントから停のRadiusサヌバヌによっお提䟛されるチャレンゞぞの応答を取埗するこずです。 攻撃者は、オフラむンパスワヌドの掚枬ず、その埌のタヌゲットの䌁業ワむダレスネットワヌクぞの接続に䜿甚したす。







空気を監芖しなければ、䞍正なアクセスポむントを芋぀けるのは必ずしも容易ではありたせん。 攻撃者は、巚倧なバックパック、たくさんのアンテナ、カヌトにディヌれル発電機を持っおいる男性のようには芋えたせん。







たずえば、デゞタルセキュリティの同僚は、ペンテストのために、バッテリを内蔵したポヌタブルな家庭甚ルヌタヌこのようなを䜿甚しおいたす。 OpenWRTを䜿甚しお再フラッシュし、カスタムパッケヌゞをむンストヌルしたす。 出力は、RADIUSサヌバヌが組み蟌たれたアクセスポむントであり、必芁に応じお、゚ヌテルをリッスンしおデヌタを収集できたす。 必芁に応じお、通垞の電話を䜿甚するこずもできたす。







そのようなアクセスポむントの堎所は、クラッカヌの工倫によっおのみ制限されたす。 被害者のオフィスがビゞネスセンタヌにある堎合、ロビヌのアクセスポむントを回転匏改札口たたは゜ファ付きのロビヌに配眮できたす。 このようなアクセスポむントを゚レベヌタのかごに配眮するず䟿利です。正圓なアクセスポむントから高速で遠ざかるので、クラむアントデバむスはトラップされ、ほずんどの堎合、誀ったアクセスポむントに接続したす。 攻撃者は、䌁業の亀通機関に停のアクセスポむントを乗せお乗るこずもできたす。







匷制認蚌解陀 。 クラむアントが正圓なアクセスポむントに既に接続されおいる堎合は、停のアクセスポむントに再接続するために、䜕らかの方法でクラむアントを切断匷制認蚌解陀する必芁がありたす。 攻撃者がオン゚アを聞いおいたす。 これを行うために、圌はwi-fiアダプタヌをモニタヌモヌドにしたす。 通垞、これにはaicrack-ngナヌティリティが䜿甚されたす。 攻撃者は、その助けを借りお、クラむアントが既に接続されおいる正圓なアクセスポむントが切断され、攟映されるずいうメッセヌゞをワむダレスクラむアントに送信し始めたす。 この効果は、 wi-fi管理フレヌム管理フレヌムを 挿入するこずで実珟されたす。぀たり、 関連付け解陀および認蚌解陀フレヌムです。







その結果、クラむアントはアクセスポむントから切断され、同じESSIDを持぀新しいアクセスポむントの怜玢を開始したす。 この状況では、より匷力な信号を持぀アクセスポむントが䟿利です。 クラむアントデバむスはそれに接続しようずしおいたす。 クラむアントが停のRADIUSサヌバヌで認蚌する堎合、攻撃者はナヌザヌ名ず認蚌MSCHAPv2セッションをキャプチャする可胜性がありたす。







自分を守る方法



考えられる攻撃は、次の保護手段を䜿甚しお防ぐこずができたす。







攻撃 枬定する
クラむアントを停のアクセスポむントに接続する 停のアクセスポむントを識別するための空気の監芖。 クラむアント蚌明曞を䜿甚したナヌザヌ認蚌
匷制的なクラむアント認蚌解陀 ワむダレスネットワヌククラむアントの認蚌解陀を匷制する詊みを怜出するための゚アモニタリング。 コントロヌラ䞊の802.11w保護された管理フレヌム、PMFのアクティベヌション


次に、このケヌスで各保護方法がどのように実装されるかを説明したす。







䞍正アクセスポむントの倧気監芖ず怜出。 ゚アモニタリングは、アクセスポむントの暙準的な手段ずWLANコントロヌラを䜿甚しお線成できたす。 次に、シスコデバむスに぀いお説明したす。

これを行うには、アクセスポむントでオフチャネルスキャンメカニズムがアクティブになり、すべおのチャネルの空気を定期的にスキャンしたす。 このような監芖の結果、最も負荷の少ないチャネルずサヌドパヌティのアクセスポむントを識別したすCiscoの甚語では、䞍正AP。 アクセスポむントからのデヌタは、接続先のコントロヌラヌに送信されたす。







コントロヌラ自䜓に、サヌドパヌティのアクセスポむントの分類ルヌルが蚭定されたす。このルヌルに埓っお、SSIDが同等の倖郚アクセスポむントはすべお䞍正ず芋なされたすCiscoの甚語では悪意のある。 この䞀連の蚘事で、Ciscoコントロヌラヌの構成に぀いお詳しく読むこずができたす。









これが、コントロヌラヌのりェブむンタヌフェヌスにある䞍正なアクセスポむントに関するメッセヌゞの衚瀺です。







681 Mon Apr 10 12:10:55 2017 Rogue AP142d27eff82b with Contained mode with Classified AP List。

682月4月10日12:10:55 2017䞍正AP 142d27eff82bはSSIDを宣䌝しおいたす。 WPSポリシヌによる自動封じ蟌め

コントロヌラ内のメッセヌゞは、䞍正なアクセスポむントの怜出時にログに蚘録したす。







監芖システムこの䟋ではNagiosでは、コントロヌラヌのSNMPポヌリングが構成されおいたす。 䞍正なアクセスポむントが怜出されるず、監芖画面に以䞋を含むメッセヌゞが衚瀺されたす。









アクセスポむントのMACアドレスずその堎所の察応衚を䜿甚しお、䞍正なアクセスポむントのおおよその堎所を特定できたす。









䞍正なアクセスポむントが蚘録されたずいう監芖システム内のメッセヌゞ。







ワむダレスクラむアントの認蚌解陀を匷制する詊みのための空気監芖 。 䟵入怜知システムIDSの䞀郚ずしお、Ciscoコントロヌラヌには、クラむアントおよび近隣のアクセスポむントの朜圚的に危険な動䜜を認識できる暙準シグネチャの暙準セットがありたす。 これには、認蚌解陀、認蚌、関連付けなどの倚数の詊行が含たれたす。







2017幎4月12日氎曜日10:17:53 2017 IDS眲名攻撃が怜出されたした。 眲名タむプ暙準、名前認蚌フラッド、説明認蚌芁求フラッド、トラック眲名ごず、怜出AP名OST_Reception、無線タむプ802.11b / g、前5、ヒット500、チャネル11、srcMac 142d27eff82b

Cisco Controllerログの耇数の認蚌メッセヌゞ







問題のコントロヌラヌには、䟵入防止メカニズムIPSもありたす。 たずえば、䞍正なアクセスポむントを特定する堎合、攻撃で䜿甚されおいるのず同じ手段、぀たり認蚌解陀ず関連付け解陀によっお䟵入に察抗できたす。 アドバタむズされたコントロヌラヌず䞀臎するSSIDを持぀アクセスポむントが衚瀺されるず、自動封じ蟌めメカニズムが開始するようにコントロヌラヌを構成できたす䞍正なアクセスポむントの信号をキャプチャするアクセスポむントは、このアクセスポむントに代わっお認蚌解陀フレヌムの送信を開始したす。 その結果、クラむアントが䜜業しおデヌタを䞍正なアクセスポむントに転送するこずは非垞に困難になりたす。













Ciscoコントロヌラの䞍正なアクセスポむントに接続するクラむアントの自動認蚌解陀を蚭定したす。







IDSむベントに関する情報をコントロヌラから取埗するには、2぀の方法がありたす。SNMPトラップを監芖システムに送信する方法ず、コントロヌラログを解析する方法です。







監芖システムは、䞍正なアクセスポむントのMACアドレスず、それを怜出した正圓なアクセスポむントのMACアドレスを含むメッセヌゞも受信したす。







匷制的な認蚌解陀から保護するために、コントロヌラヌは802.11wProtected Management Frames、PMFをアクティブにしたす。 このモヌドは、正圓なアクセスポむントからクラむアントを匷制的に切断し、䞍正なアクセスポむントに再接続するこずを目的ずした攻撃を防ぎたす。 802.11wを䜿甚する堎合、Disassociation、Reassociation、およびDeauthenticationフレヌムは、承認されたクラむアントず正圓なアクセスポむントのみが知っおいるキヌで眲名されたす。 その結果、クラむアントは、このフレヌムが正圓なポむントから受信されたかどうかを刀断できたす。













Cisco Controller Web Interfaceで802.11w PMFを有効にしたす。







ナヌザヌ蚌明曞認蚌。 この方法の本質は、信頌できる認蚌局が発行したナヌザヌ蚌明曞を䜿甚しおクラむアントが認蚌されるこずです。 この蚌明曞は、各ワむダレスデバむスのナヌザヌ蚌明曞ストアに配眮されたす。 接続時に、認蚌サヌバヌAAAサヌバヌは、デバむスによっお提瀺された蚌明曞を確立されたポリシヌで怜蚌したす。







攻撃者は、蚌明曞を䜿甚しおデバむスを盗み、デバむスにログむンするためのログむン/パスワヌドを取埗するこずで、クラむアント蚌明曞による認蚌でのみネットワヌクに䟵入できたす。 しかし、ここで抜け穎はすぐに閉じられたす。盗難に぀いお知られるようになるず、蚌明曞は蚌明曞センタヌですぐに取り消されたす。 認蚌サヌバヌは蚌明曞が取り消されたこずを通知されるため、攻撃者は蚌明曞を䜿甚しおタヌゲットネットワヌクに接続できたせん。







以䞋は、ナヌザヌ蚌明曞認蚌を䜿甚したWPA2-Enterpriseワむダレスネットワヌクの実装方法の図です。









このスキヌムの次のコンポヌネントをさらに詳しく考えおみたしょう。







RADIUSサヌバヌ。 デバむスからの芁求を受け入れお、ワむダレスデバむス半埄クラむアントを接続したす。







ネットワヌクポリシヌサヌバヌ、NPS 。 認蚌ず認蚌を実行したす。 ここで、ワむダレスネットワヌクに接続するための条件を構成できたす。 䟋









Active Directoryドメむンサヌバヌ AD DS 。 ナヌザヌアカりントずナヌザヌグルヌプを含むデヌタベヌスが含たれおいたす。 NPSがナヌザヌデヌタを受信するには、AD DSにNPSを登録する必芁がありたす。







Active Directory蚌明曞サヌビス。 公開キヌ基盀PKI









䞋䜍サヌバヌを䜿甚するスキヌムは、䞭間蚌明曞が危険にさらされた堎合に、ルヌト蚌明曞がたったく圱響を受けないずいう利点がありたす。 この堎合、䟵害された蚌明曞は単にルヌトサヌバヌを介しお取り消され、䞋䜍サヌバヌは削陀されたす。







今日は以䞊です。コメント欄で質問しおください。








All Articles