Decodificación de bytes del túnel en EAP-TLS o EAP-TTLS usando Wireshark

2

Tengo algunos pcaps de tráfico para la conversación EAP-TTLS, llevados por RADIUS. También tengo algo que me lleva EAPoL, pero creo que la respuesta a ese caso podría ser incluso menos sencilla (aunque quizás no necesariamente). En ambos casos, puedo ver el contenido de EAP en Wireshark, y puedo profundizar hasta la negociación de TLS, el protocolo TLS cifrado.

Me sería útil ver el contenido de los datos encriptados, ya que contiene aún más capas del intercambio de autenticación que estoy investigando.

Todo esto se ha generado utilizando mis propios sistemas de prueba, por lo que tengo toda la información disponible, certificados, etc. y sé qué debería estar en los datos cifrados de TLS.

He seguido el tutorial de Wireshark, bastante a la letra. enlace

Pero no estoy teniendo mucha suerte con esto, y me preocupa que tal vez Wireshark solo sepa cómo tratar los casos de TLS menos complicados, es decir, los protocolos SSL comunes o comunes del jardín, como los que se ejecutan a través de TCP, como HTTP, SSH, RADIUS, SCP, etc.

Estoy viendo el caso un poco más complejo de SSL sobre EAP sobre RADIUS sobre UDP, por una parte, y el SSL aún más especializado sobre EAP sobre EAPoL, por otra.

"Pienso" puedo estar viendo los datos de la aplicación descifrados en uno o dos de los paquetes EAP, donde está presente la información del apretón de manos, pero esta información no parece ser transmitida al resto de ellos.

¿Podría ser que estoy demasiado lejos en la maleza aquí? O tal vez hay algo que me estoy perdiendo, ciertamente parece que debería ser posible.

Estoy seguro de que puedo solucionar esto de alguna manera descifrando fuera de línea (o tal vez usando el código NULL) pero pensé que estaría seguro de haber agotado todas las vías con wireshark primero.

    
pregunta robert 17.10.2014 - 18:05
fuente

2 respuestas

2

Si tiene claves RSA y el transporte utiliza un conjunto de cifrado que no es DHE, debería poder descifrar EAP-TLS con Wireshark. Sin embargo, hubo un error que se corrigió en la versión de desarrollo (v1.99.10rc0-191-g5e635ad) y aparecerá terminan en la versión 2.0.

En este momento tiene que especificar valores ficticios para el número de puerto y demás, pero después debería poder descifrar el tráfico EAP-TLS. Vaya a Editar, Preferencias, Protocolos SSL, lista de claves RSA. Luego complete los siguientes detalles:

  • dirección IP: cualquiera
  • Puerto: 0
  • Protocolo: datos (cualquier cosa funcionaría aquí)
  • Archivo clave: ruta a su archivo clave
  • Contraseña: vacía para archivos de clave con formato PEM, una contraseña para los formatos PKCS # 12 de lo contrario.
respondido por el Lekensteyn 21.09.2015 - 17:06
fuente
1

Robert: hace poco me enfrenté con el mismo problema. Wireshark no decodifica SSL sobre EAP. Lo que puedes hacer es falsificar Wireshark y tomar la conversación completa de SSL y construirla una sesión de pseudopcc con los datos SSL de los paquetes eap originales y retransmitir los marcos. Utilicé Python Raw Sockets para generar la sesión TCP y luego capturar la sesión TCPP de Wireshark (tenga en cuenta que solo necesita un PC Raw Sockets le permite generar marcos con cualquier fuente / destino combinado). Configura el descifrado ssl como si lo hiciera. fue una sesión tcp original que configuró el campo de protocolo para comer en lugar de HTTP. tenga en cuenta que los datos se descifrarán, pero eap sobre ssl no se interpreta correctamente de forma correcta a través de wireshark, por lo que es posible que tenga que hacer un poco de decodificación de datos / encabezado de eap a mano, pero al menos no estará cifrado. Aquí hay un enlace a un artículo de Cisco que brinda más información sobre lo que describí anteriormente para el descifrado de eap-peap. enlace .

Espero que esto ayude

    
respondido por el FemtoEng 20.10.2014 - 06:57
fuente

Lea otras preguntas en las etiquetas