Авторизация wifi по сертификату
Как взламывают корпоративный Wi-Fi: новые возможности
В статье рассказывается о взломе WPA2-Enterprise с аутентификация через RADIUS-сервер.
Автор: Дмитрий Трифонов, исследовательский центр Positive Technologies
Статей о взломе Wi-Fi в Интернете достаточно много, но большинство из них касаются режима работы WEP/WPA(2)-Personal, в котором необходимо перехватить процедуру «рукопожатия» клиента и Wi-Fi-точки. Во многих корпоративных Wi-Fi-сетях используется режим безопасности WPA2-Enterprise, с аутентификацией по логину и паролю — как наименее затратный способ. При этом аутентификация осуществляется с помощью RADIUS-сервера.
ОС клиента устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, а проверка подлинности в основном происходит при помощи протокола MS-CHAPv2.
Для тестирования на проникновение в такой сети мы можем создать поддельную Wi-Fi-точку с RADIUS-сервером — и получить логин, запрос и ответ, которые использует MS-CHAPv2. Этого достаточно для дальнейшего брутфорса пароля.
Нам необходимы Kali Linux и карточка, поддерживающая работу в режиме Access Point, что можно проверить при помощи команды iw list, нас интересует строка:
Полученные учетные записи можно использовать для дальнейшего проникновения в корпоративную сеть через Wi-Fi или VPN, а также для получения доступа к корпоративной почте.
Как оказалось, перехватить хеши пользователей можно не всегда. Настольные ОС (Windows, MacOS, Linux), а также пользователи iOS защищены лучше всего. При первичном подключении ОС спрашивает, доверяете ли вы сертификату, который используется RADIUS-сервером в данной Wi-Fi-сети. При подмене легитимной точки доступа ОС спросит про доверие к новому сертификату, который использует RADIUS-сервер. Это произойдет даже при использовании сертификата, выданного доверенным центром сертификации (Thawte, Verisign).
При использовании устройств на базе Android сертификат по умолчанию не проверяется, но существует возможность указать корневой сертификат, который может использоваться в данной Wi-Fi-сети.
Устройства на основе Windows Phone по умолчанию проверяют сертификат. Также доступны опции проверки сертификата сервера:
- нет;
- всегда спрашивать;
- центр сертификации.
Резюмируя все сказанное, эксперты Positive Technologies рекомендуют следующие меры безопасности:
- пользователям — проверять сертификаты при подключении не только к интернет-банку, но и к корпоративному Wi-Fi;
- пользователям Android — установить корневой сертификат, который используется в корпоративной сети;
- администраторам — перейти на использование аутентификации на основе сертификатов (или не удивляться, если перед входом в офис периодически будут появляться люди с телефоном и антенной).
Подписывайтесь на каналы «SecurityLab» в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Настройка WiFi авторизации через RADIUS-сервер NPS на Mikrotik.
Использование для WiFi авторизации доменных учетных записей является очень удобным решением для любой организации где есть контроллер домена. Это удобно в случае если у вас несколько офисов т.к. можно подключаться под личным логином и паролем к wifi в любом офисе и безопасно в случае увольнения сотрудника т.к. его доменный профиль удаляется или блокируется.
Для настройки WiFi авторизации через доменный профиль необходимо будет выполнить следующие настройки:
- Настройка сервера политики сети NPS в Windows 2012
- Настройка RADIUS-клиента на Mikrotik.
Настройка сервера политики сети NPS в Windows 2012.
Открываем «Диспетчер сервера» и приступаем к установке роли «Сервер политики сети» через «Мастер добавления ролей и компонентов». Подробно рассматривать процедуру установки не буду, здесь нет никаких сложностей. У меня на сервере эта роль уже установлена (см. скриншот).
После установки Роли потребуется перезагрузка. Перезагружаем сервер и приступаем к настройке NPS.
Настраиваем подключение RADIUS-клиента.
В Диспетчере серверов открываем /Средства/Сервер политики сети.
Переходим в /NPS/Radius-клиенты и сервер/Radius-клиенты, щелкаем пр. клавишей мыши и выбираем пункт «Новый документ»
Указываем имя (любое понятное для себя), ip-адрес роутера Mikrotik и придумываем общий секрет посложней (можно воспользоваться генератором).
Создаем политики для WiFi авторизации.
На этом шаге настройки воспользуемся мастером настройки 802.1x.
Кликаем лев. клавишей мыши по пункту «NPS(Локально)», затем в правом окне разворачиваем пункт «Стандартная конфигурация».
В пункте сценария настройки выбираем «RADIUS-сервер для беспроводных или кабельных подключений 802.1x» и переходим по ссылке «Настройка 802.1x».
Выбираем пункт «Безопасные беспроводные подключения»
На следующем шаге добавляем RADIUS-клиенты, которые были подключены к RADIUS-серверу ранее.
В качестве метода проверки подлинности выбираем «Microsoft: защищенные EAP (PEAP)».
Выбираем группы пользователей домена, которым будет доступно подключение к WiFi.
В результате получаем следующие результаты политик.
Политика запросов на подключение:
Сетевая политика:
На этом настройка NPS в качестве RADIUS-сервера для WiFi-авторизации завершена. Приступаем к настройке роутера Mikrotik.
Настройка подключения Mikrotik к RADIUS-серверу.
Чтобы добавить в Mikrotik подключение к RADIUS-серверу открываем меню RADIUS и жмем плюсик.
- Отмечаем нужную службу «Services» — в случае WiFi авторизации это «wireless».
- Указываем «Adsress» Radius-сервера — это ip-адрес настроенного ранее сервера сетевой политики NPS.
- Заполняем Secret, который был указан при добавлении radius-клиента в NPS.
Все остальные настройки оставляем как есть, если только вы не решили изменить на NPS стандартные порты подключения 1812 и 1813.
Добавляем профиль авторизации: /Wireless/Security profiles. Здесь в Authentication types оставляем только WPA2 EAP.
Указываем в нашем действующем WiFi интерфейсе новый Security profile.
На этом настройка Mikrotik в качестве RADIUS-клиента закончена.
Для диагностики неисправности подключений можно включить Logging для RADIUS: /System/Logging/+. В «Topics» выбираем «radius».
Открываем Log и пробуем подключиться к точке доступа.
Количество успешных и сброшенных подключений можно посмотреть во вкладке Status созданного подключения к radius-серверу.
Авторизация в сети Wi-Fi
Что такое авторизация в Wi-Fi сети
У каждого оборудования, предназначенного для преобразования, приёма и передачи данных есть уникальный идентификатор — mac-адрес. При авторизации в Wi-Fi сети пользователи вводят на специальной странице свой номер мобильного телефона. Система связывает его с mac-адресом устройства и открывает доступ к интернету. По одному номеру можно получить возможность пользоваться сетью с нескольких устройств: с компьютера, планшета или телефона.
Зачем нужна авторизация пользователей в Wi-Fi сети
Все организации и индивидуальные предприниматели, предоставляющие доступ в интернет, по закону обязаны идентифицировать личность пользователей сети Wi-Fi и хранить эти данные не менее 6 месяцев. Зачем требуется авторизация в Wi-Fi сети? Все просто: чтобы не допустить анонимного мошенничества.
Способы авторизации
Авторизация пользователей может осуществляться по SMS, звонку на бесплатный номер, с использованием данных портала Госуслуг или по ваучеру. Некоторые провайдеры предлагают подключить авторизацию через социальные сети, однако этот способ не соответствует федеральному законодательству.
1. Авторизация по СМС. На странице авторизации пользователь указывает свой номер телефона. На него высылается сообщение с кодом, который надо будет ввести в появившейся строке.
2. Авторизация по звонку. Пользователь вводит свой номер на портале авторизации и звонит на бесплатную горячую линию. Звонок сбрасывается, доступ в интернет открывается.
3. Авторизация по аккаунту на портале www.gosuslugi.ru. Со страницы авторизации происходит переадресация на портал Госуслуги. Пользователь вводит логин, пароль и открывает доступ к своей странице. Такой способ удобен бизнесу: владелец точки доступа получает важные данные о своих посетителях, которые можно использовать при проведении маркетинговых мероприятий.
4. Авторизация по ваучерам. Не требует затрат на отправку СМС-сообщений. Позволит вашим гостям получить доступ в сеть по уникальным логину и паролю. Их автоматически генерирует система при создании ваучера. Способ подойдёт отелям, гостиницам, санаториям. Иностранные клиенты смогут подключиться к беспроводной сети, не используя мобильную связь в роуминге.
Зачем авторизация бизнесу
Государству требуется авторизация в Wi-Fi сетях, чтобы обеспечить безопасность. Однако идентификация полезна и организации: в ваших руках оказывается мощный инструмент для развития бизнеса. Вот лишь некоторые возможности:
- Перенаправляйте клиентов на страницу с анонсом конкурсов или акций.
- Настройте переадресацию на ваш аккаунт в соцсетях и предложите пользователям подписаться на него, оставить отзыв или выложить фотографию с хештегом. Взамен можно подарить клиенту скидку или комплимент от заведения.
- Разместите на платной основе баннеры других организаций.
- Фильтруйте контент: вы можете оградить ваших клиентов от нежелательной информации, а также заблокировать сайты конкурентов.
Как подключить авторизацию в Wi-Fi сети
Удобно подключать услугу авторизации через вашего интернет-провайдера, когда и оборудование, и связь, и программное обеспечение предоставляет один оператор. Это быстрее и выгоднее. Например, у МГТС действуют специальные тарифы и скидки для обладателей пакета услуг.
Чтобы заключить договор с МГТС, обратитесь в любой Центр продаж и обслуживания или отправьте заявку на электронный адрес sales@mgts.ru.
С собой необходимо иметь:
- заявление, оформленное на бланке организации;
- копии учредительных документов организации;
- документы, подтверждающие право владения или пользования помещением;
- доверенность на подписание договоров.
