Evil Twin EAP-TLS

Reading time: 3 minutes

어떤 시점에서 아래 게시물에서 제안된 솔루션을 사용해야 했지만 https://github.com/OpenSecurityResearch/hostapd-wpe에서의 단계가 현대 Kali(2019v3)에서는 더 이상 작동하지 않았습니다.
어쨌든, 그것들을 작동하게 하는 것은 쉽습니다.
여기에서 hostapd-2.6을 다운로드하기만 하면 됩니다: https://w1.fi/releases/ 그리고 hostapd-wpe를 다시 컴파일하기 전에: apt-get install libssl1.0-dev를 설치하세요.

Analyzing and Exploiting EAP-TLS in Wireless Networks

Background: EAP-TLS in Wireless Networks

EAP-TLS는 클라이언트와 서버 간의 상호 인증을 제공하는 보안 프로토콜로, 인증서를 사용합니다. 클라이언트와 서버가 서로의 인증서를 인증할 때만 연결이 설정됩니다.

Challenge Encountered

평가 중에 hostapd-wpe 도구를 사용할 때 흥미로운 오류가 발생했습니다. 도구는 클라이언트의 인증서가 알려지지 않은 인증 기관(CA)에 의해 서명되었기 때문에 클라이언트의 연결을 거부했습니다. 이는 클라이언트가 가짜 서버의 인증서를 신뢰하고 있음을 나타내며, 클라이언트 측의 보안 구성에 느슨함이 있음을 시사합니다.

Objective: Setting Up a Man-in-the-Middle (MiTM) Attack

목표는 도구를 수정하여 모든 클라이언트 인증서를 수용하는 것이었습니다. 이를 통해 악성 무선 네트워크와의 연결을 설정하고 MiTM 공격을 가능하게 하여 평문 자격 증명이나 기타 민감한 데이터를 캡처할 수 있습니다.

Solution: Modifying hostapd-wpe

hostapd-wpe의 소스 코드를 분석한 결과, 클라이언트 인증서 검증은 OpenSSL 함수 SSL_set_verify의 매개변수(verify_peer)에 의해 제어된다는 것을 알게 되었습니다. 이 매개변수의 값을 1(검증)에서 0(검증하지 않음)으로 변경함으로써 도구가 모든 클라이언트 인증서를 수용하도록 만들었습니다.

Execution of the Attack

1. Environment Check: airodump-ng를 사용하여 무선 네트워크를 모니터링하고 대상을 식별합니다.
2. Set Up Fake AP: 수정된 hostapd-wpe를 실행하여 대상 네트워크를 모방하는 가짜 액세스 포인트(AP)를 생성합니다.
3. Captive Portal Customization: 캡티브 포털의 로그인 페이지를 사용자에게 합법적이고 친숙하게 보이도록 사용자 정의합니다.
4. De-authentication Attack: 선택적으로, 클라이언트를 합법적인 네트워크에서 분리하고 가짜 AP에 연결하도록 하기 위해 비인증 공격을 수행합니다.
5. Capturing Credentials: 클라이언트가 가짜 AP에 연결하고 캡티브 포털과 상호작용하면 그들의 자격 증명이 캡처됩니다.

Observations from the Attack

• Windows 기기에서는 시스템이 가짜 AP에 자동으로 연결될 수 있으며, 웹 탐색을 시도할 때 캡티브 포털이 표시됩니다.
• iPhone에서는 사용자가 새로운 인증서를 수락하라는 메시지를 받을 수 있으며, 그 후 캡티브 포털이 표시됩니다.

Conclusion

EAP-TLS는 안전하다고 여겨지지만, 그 효과는 올바른 구성과 최종 사용자의 신중한 행동에 크게 의존합니다. 잘못 구성된 장치나 악성 인증서를 수락하는 무심한 사용자는 EAP-TLS로 보호된 네트워크의 보안을 약화시킬 수 있습니다.

자세한 내용은 https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/를 확인하세요.

References

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/