%20in%20Wireshark.png)
Die Netzwerkpakete, die ich entschlüsseln möchte, verwenden Benutzernamen und Passwort, um mich mit EAP-PEAP anzumelden. Nicht auf einem Captive Portal. Wo würde ich den Benutzernamen beim Entschlüsseln von Netzwerkpaketen eingeben? Ich kann die Handshakes erhalten.
Antwort1
Nirgends.
Das Aufzeichnen des PEAP-Handshakes ist nutzlos, da der Sitzungsschlüssel fürEAP-TLS,EAP-PEAP,EAP-TTLSwird aus dem TLS-Mastergeheimnis abgeleitet, das durch den TLS-Handshake geschützt ist – es ist dasselbe wie bei HTTPS-Verbindungen und bietet das gleiche Maß an Sicherheit vor Überwachung. 1
Der TLS-Handshake hatNEINBeziehung zum Benutzernamen oder Passwort, daher ist die Kenntnis dieser auch nicht hilfreich.
(In seltenen Fällenkönntemit dem Zertifikat/Schlüssel des RADIUS-Servers entschlüsselbar sein, aber wahrscheinlich verwenden die meisten TLS-Handshakes nur den DH-Schlüsselaustausch.)
Ihre einzige Möglichkeit besteht also darin, den Schlüssel zu erhaltenvom RADIUS-Server selbst(z.B. Ausführliches Logging aktivieren – die Schlüssel werden an den Access Point übermittelt und sind somit in den MS-MPPE-*-KeyAttributen zu finden. Anschließend können Sie die Schlüssel hinzufügenals rohes PSK.
"Roh"EAP-MSCHAPv2(ohne EAP-TLS-Schutz) SchlüsselSindabgeleitet aus dem Passwort-Hash und der im Handshake gefundenen „NtResponse“. (Aber nicht der Benutzername.) Sie können den resultierenden PSK wahrscheinlich mit verschiedenen Linux-Tools berechnen und ihn zu Wireshark hinzufügen (erneut als wpa-psk), aber Wireshark selbst ist dazu nicht in der Lage.
(Nicht, dass Sie WPA-Enterprise jemals ohne EAP-TLS sehen sollten, aber ...)
1 (Solange der Client das Zertifikat überprüft. Wenn dies nicht der Fall ist, ist er anfällig für aktive MITM-Angriffe (Rogue Access Points), aber immer noch nicht für passives Abfangen.)