Tengo algunos pcaps de tráfico para la conversación EAP-TTLS, llevados por RADIUS. También tengo algo que me lleva EAPoL, pero creo que la respuesta a ese caso podría ser incluso menos sencilla (aunque quizás no necesariamente). En ambos casos, puedo ver el contenido de EAP en Wireshark, y puedo profundizar hasta la negociación de TLS, el protocolo TLS cifrado.
Me sería útil ver el contenido de los datos encriptados, ya que contiene aún más capas del intercambio de autenticación que estoy investigando.
Todo esto se ha generado utilizando mis propios sistemas de prueba, por lo que tengo toda la información disponible, certificados, etc. y sé qué debería estar en los datos cifrados de TLS.
He seguido el tutorial de Wireshark, bastante a la letra. enlace
Pero no estoy teniendo mucha suerte con esto, y me preocupa que tal vez Wireshark solo sepa cómo tratar los casos de TLS menos complicados, es decir, los protocolos SSL comunes o comunes del jardín, como los que se ejecutan a través de TCP, como HTTP, SSH, RADIUS, SCP, etc.
Estoy viendo el caso un poco más complejo de SSL sobre EAP sobre RADIUS sobre UDP, por una parte, y el SSL aún más especializado sobre EAP sobre EAPoL, por otra.
"Pienso" puedo estar viendo los datos de la aplicación descifrados en uno o dos de los paquetes EAP, donde está presente la información del apretón de manos, pero esta información no parece ser transmitida al resto de ellos.
¿Podría ser que estoy demasiado lejos en la maleza aquí? O tal vez hay algo que me estoy perdiendo, ciertamente parece que debería ser posible.
Estoy seguro de que puedo solucionar esto de alguna manera descifrando fuera de línea (o tal vez usando el código NULL) pero pensé que estaría seguro de haber agotado todas las vías con wireshark primero.