LEAP暗号化WLANのテスト

Lightweight Extensible Authentication Protocol（LEAP）は、外部RADIUSサーバーを使用してユーザーを認証するシスコベースのレガシー認証プロトコルです。 ハッシュ関数-MS-CHAPおよびMS-CHAPv2を使用して、ワイヤレスクライアントと認証サーバーの両方の擬似相互認証を実行します。

LEAPの脆弱性は、という事実にあります-

• ユーザーのユーザー名はクリアテキストで送信されます。したがって、ハッカーはソーシャルエンジニアリングなどを使用して、ユーザーのパスワードを取得するだけで済みます。
• ユーザーのパスワードはMS-CHAPv2でハッキングされます-アルゴリズムはオフライン辞書攻撃に対して脆弱です。

前のケースと同じように、airodump-ngから始めて、環境内でブロードキャストされているWLANを見つけましょう。

ブロードキャストWLAN

ご覧のとおり、WLANの「LABテスト」はWPA2ネットワークとして表示されます。 このタイプの認証モードは「MGT」に変更されます。つまり、静的な事前共有キー（PSK）はありませんが、認証サービスは外部認証サーバー（例： 半径）。 その時点では、特定のWLANネットワークがLEAP、PEAP、EAP-TLS、EAP-TTLS、または他の種類のEAPテクノロジーに基づいているかどうかはわかりません。

次のステップでは、パケットの詳細を確認するために Wireshark を有効にします。これにより、侵入テスト担当者は多くの貴重な情報を得ることができます。

Wiresharkを有効化

ご覧のとおり、認証サーバーは最初にEAP-TTLSをネゴシエートしようとしましたが、クライアントは拒否しました。 次の2つのメッセージでは、LEAPの使用に同意しています。

最初の2つのメッセージでは、認証サーバーがユーザー名（ID）を要求し、クライアントが応答します。ご覧のように、クライアントの応答はクリアテキストで送信されます。

クライアントの返信

その時点で、ワイヤレスクライアントの有効なユーザー名が「LAB_user」であることは既にわかっています。 パスワードを確認するために、*リクエスト/レスポンス*交換を見てみましょう。

リクエストレスポンス

802.1x認証ヘッダーの下部で、認証サーバーがチャレンジテキスト「197ad3e4c81227a4」でワイヤレスクライアントにチャレンジしたことを確認できます。 次に、バックグラウンドで、ワイヤレスクライアントはMS-CHAPv2アルゴリズムをLAB_userのパスワードと組み合わせて使用​​し、値のハッシュを取得しました-「ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89」、認証サーバーに送り返されました。 前の章からご存知のように、幸いなことに、MS-CHAPv2はオフライン辞書攻撃に対して脆弱です。 そのために、 asleap と呼ばれる、LEAPパスワードを解読するための非常に一般的なツールを使用します。

Asleap

ご覧のように、パケットキャプチャに基づいて、 asleap は802.1Xパケット交換のすべての情報を導き出し、MS-CHAPv2ハッシュをクラックすることができました。 ユーザーのパスワード：「LAB_user」は「f8be4a2c」です。

繰り返しになりますが、実稼働環境ではLEAP認証が表示されない可能性が非常に高くなります-少なくとも今では、その理由を十分に証明しています。