Zaštita wirelessa - WPA/WPA2 Enterprise - PEAP

Kao što je pokazano u prijašnjem blog postu WPA/WPA2-PSK infrastruktura je ranjiva na napade, da li korištenjem kratkih (tj. loših) passphraseova (što će biti demonstrirano u nekom budućem blogu)  ili ranjivostima u samim Access Pointovima. Rješenje je izbjegavanje korištenja Pre Shared Keyeva (PSK) te korištenje WPA/WPA2-Enterprisea.

WPA Enterprise ili WPA-802.1X je dizajniran za veće mreže te zahtjeva korištenje Radius autentifikacijskog servera što je kompliciranije rješenje ali i sigurnije. PEAP se koristi za autentifikaciju korisnika.

Protected Extensible Authentication Protocol ili u našem slučaju PEAPv0/EAP-MSCHAPv2 je protokol koji enkapsulira EAP unutar enkriptiranog TLS tunela. MSCHAPv2 je unutarnji autentifikacijski protokol. Za one koji žele znati više: PEAP na wikipediji.

Za demonstraciju ovakve infrastrukture potreban nam je prvo Access Point koji podržava ovaj tip autentifikacije klijenata što nije problem jer bi ga trebao podržavati svaki AP. Ja ću koristiti Siemenes Gigaset sx763.

Za podizanje Radius servera iskoristit ćemo Zeroshell, malu embedded network distribuciju linuxa kojoj je jedan od mnogih featurea i ugrađeni Radius Server. Pošto je distribucija multifunkcionalna sigurno ću ju spominjati i u daljnjim postovima. Bootati ćemo ju u omiljenom virtualizacijskom softveru.

Konfiguracija infrastrukture

Nakon bootanja dočekati će nas ekran preko kojeg možemo konfigurirati osnovne postavke kao IP adresu, password itd:

Nakon podešavanja IP adrese ako nam ne paše defaultni spojimo se na web sučelje na definiranoj IP adresi sa usernameom admin i passwordom zeroshell.

 Zanima nas prvo Radius dio gdje moramo pokrenuti Radius server:

Nakon toga potrebno je autorizirati Access point sa njegovim shared secretom:

Nakon toga potrebno je reći Zeroshellu gdje se nalazi Active Directory sa kojim se može syncati ili pošto ga nemamo, dodati cemo ručno jednog usera:

Gdje je bitno da ostavimo kvačicu kod RADIUS kućice.

Zatim podešavamo Access Point:

Potrebno je odabrati WPA2/WPA security, upisati IP adresu Radius servera (naš Zeroshell) te key koji podesili u Radius konfiguraciji. S time smo završili konfiguraciju infrastrukture te prelazimo na klijente.

Konfiguracija klijenata

Za primjer konfiguracije klijenata koristiti ćemo Iphone no konfiguracija ostalih klijenata ili računala se sastoji od istih koraka.

Prvo pronalazimo mrežu na koju se želimo spojiti:

U našem slučaju je to mreža starhawk. Kod pokušaja spajanja biti ćemo upitani za username i password:

Nakon točno upisanog passworda moramo prihvatiti certifikat:

Nakon čega se uspješno spajamo:

I to je to, WiFi infrastruktura nam je sigurnija nego prije :)