আমি কীভাবে 802.1X ব্যবহার করে একটি ওয়্যারলেস এপি এর শংসাপত্র ডাউনলোড করতে পারি?


11

আমি যতদূর বুঝতে পেরেছি, ডাব্লুপিএ-এন্টারপ্রাইজ (যেমন ডাব্লুপিএ প্লাস ৮০২.১ এক্স) ব্যবহার করে বেতার অ্যাক্সেস পয়েন্টগুলি সংযোগ সেটআপের সময় কোনও ক্লায়েন্টকে পাবলিক কী শংসাপত্র প্রেরণ করতে পারে। এটি কোনও দুর্বৃত্ত এপি (এইচটিটিপিএসের শংসাপত্রের বৈধতার অনুরূপ) এর সাথে সংযোগ স্থাপন করছে না তা নিশ্চিত করতে ক্লায়েন্ট এই শংসাপত্রটি যাচাই করতে পারে।

প্রশ্নাবলী:

  • আমি কি এটি সঠিকভাবে বুঝতে পেরেছি?
  • যদি হ্যাঁ, তবে এপি শংসাপত্রটি ডাউনলোড করার কোনও উপায় আছে? আদর্শভাবে, আমি এমন একটি সমাধান চাই যা লিনাক্সের আওতায় কাজ করে।

পরবর্তী সংযোগ প্রচেষ্টা যাচাই করার জন্য এটি ব্যবহার করার জন্য আমি একটি স্ব-স্বাক্ষরিত শংসাপত্র ডাউনলোড করতে চাই। এপি অপারেটরকে কোনও ফাইলের জন্য জিজ্ঞাসা করার চেয়ে এটি সহজ হবে be


আমি স্যারটি ডাউনলোড এবং সংরক্ষণের জন্য বিশেষত কোনও সরঞ্জাম জানি না, তবে এটি পরিষ্কার হয়ে যায়, যাতে আপনি এটি ওয়্যারশার্ক বা টিসিপিডম্প দিয়ে ক্যাপচার করতে পারেন। আমি ডিবাগ / ভার্বোজ ডাব্লুপিএ_এসপ্লিক্যান্ট লগগুলিতে সার্টিফিকেট ডেটা প্রত্যাহার মনে করি, যাতে আপনি এটির দিকেও নজর দিতে পারেন। এই পন্থাগুলির যে কোনও একটিতে সঠিক X.509 .cer ফাইলে পিসিএপ / লগ ফর্ম থেকে এনে পেতে কিছুটা তথ্য মংিং লাগতে পারে।
স্পিফ

উত্তর:


11

হ্যাঁ, সর্বাধিক প্রচলিত ডাব্লুপিএ-এন্টারপ্রাইজ কনফিগারেশনগুলি পিইএপি বা টিটিএলএস উভয়ই ব্যবহার করে, উভয়ই 802.1X এর বেশি EAP এর উপর TLS প্রয়োগ করে।

সাধারণত এই উদ্দেশ্যে শংসাপত্রটি ইতিমধ্যে কোথাও নেটওয়ার্ক অপারেটর দ্বারা প্রকাশিত হয়। এটি ব্যবহারকারীর কাছে চাইতে হবে এমন কিছু নয় ।

দুঃখজনকভাবে, wpa_supplicant এর কাছে ডিবাগ মোডে শংসাপত্রগুলি ডাম্প করার কোনও বিকল্প নেই। (আমি যদি আরও ভাল উপায় খুঁজে পাই তবে আমি এটি আপডেট করব)) তবে এখনও আপনি প্রকৃত EAPOL প্রমাণীকরণ প্রক্রিয়া পর্যবেক্ষণ করতে পারেন। প্রথমে ওয়িরশার্ক ইনস্টল করুন।

সংযোগ বিচ্ছিন্ন হওয়ার পরে, ইন্টারফেসটি নিজে হাতে আনুন এবং এটিতে ক্যাপচার শুরু করুন:

$ sudo ip link set wlan0 up
$ wireshark -ki wlan0 &

Wpa_supplicant শুরু করুন এবং শীঘ্রই আপনি টিএলএস হ্যান্ডশেকটি দেখতে পাবেন:

সার্ভারহেলোর সাথে সাথে সার্ভারটি তার শংসাপত্রগুলি প্রেরণ করবে। এই জাতীয় প্রথম প্যাকেট নির্বাচন করুন, তারপরে এটিকে খনন করুন:

802.1X
└─Extensible Authentication Protocol
  └─Secure Sockets Layer
    └─Handshake Protocol: Certificatte
      └─Certificates

"শংসাপত্র ( স্টাফ )" এর প্রথম উদাহরণটিতে ডান ক্লিক করুন এবং "নির্বাচিত প্যাকেট বাইটগুলি রফতানি করুন" চয়ন করুন। বাইনারি ডিআর ফর্ম্যাটে ওয়্যারশার্ক এটিকে ফাইল হিসাবে সংরক্ষণ করবে। অন্যান্য সমস্ত শংসাপত্রগুলির জন্য এটি পুনরাবৃত্তি করুন। শীর্ষস্থানীয় এক (রেডিয়াস সার্ভারের) এমন তথ্য রয়েছে যা আপনি কনফিগার করতে পারেন altsubject_match; শেষটি (রুট সিএ) wpa_supplicant হিসাবে দেওয়া উচিত ca_cert

এখন আপনার কাছে বাইনারি ডিআর ফর্ম্যাটে কয়েকটি *.crtবা *.derফাইল রয়েছে। এগুলিকে পিইএম "পাঠ্য" ফর্ম্যাটে রূপান্তর করুন:

openssl x509 -inform DER < mycert.der > mycert.pem

(যদি আপনার wpa_supplicant ওপেনএসএসএল টিএলএস হ্যান্ডলার হিসাবে ব্যবহার করে থাকে তবে আপনাকে অবশ্যই এটি "রুট সিএ" শংসাপত্র প্রদান করতে হবে; এটি সার্ভারের শংসাপত্র দেওয়ার ফলে কাজ করবে না।

মনে রাখবেন যে এটিও সম্ভব যে ওয়্যারশার্কে দেখা শেষ শংসাপত্রটি কোনও মূল সিএর নয়, তবে কেবল আপনার ডিরেক্টরিতে একটি রুট সিএ দ্বারা জারি করা হয়েছে/etc/ssl/certs ... যদি এটি হয় তবে সেটিও অবশ্যই নির্ধারণ করুন domain_suffix_match- অন্যথায়, পাবলিক সিএ ব্যবহার করা নিরাপদ হবে (৮০২.১ এক্স দুর্ভাগ্যক্রমে জানে না যে "হোস্টনাম" এর বিরুদ্ধে যাচাই করার জন্য কীভাবে এইচটিটিপিএস করবে would)


বিস্তারিত লেখার জন্য ধন্যবাদ। এটি কিছুটা জটিল মনে হচ্ছে; তবে যদি এটি করার সহজতম উপায় হয় তবে আমি চেষ্টা করব।
sleske

হ্যাঁ, এটি সত্যিই কাজ করেছে, আমি ইএপি এক্সচেঞ্জটি ডাউনলোড করেছি tpcpdumpতবে মনোযোগের মতো কাজ করেছি । যদিও মজার, আমার স্ট্রিমটিতে কেবল একটি সার্ভার হ্যালো, শংসাপত্র, ... এন্ট্রি
এমটিরেস

আমার উদাহরণে টিএলএস বার্তাটি একাধিক ইএপি প্যাকেট জুড়ে খণ্ডিত হয়েছে কারণ এটি অনেক বড় (বিশেষত যদি এটি বিশাল আরএসএ শংসাপত্রের একটি গোছা প্রেরণ করে)। যদিও এটি সর্বদা মোট মাত্র একটি টিএলএস সার্ভারহেলো।
user1686

আমি যদি কিছু ভুল বলছি তবে দয়া করে আমাকে সহ্য করুন। এই জাতীয় ক্রিয়াকলাপের প্রয়োজন হ'ল একটি শংসাপত্র ডাউনলোড করা এবং এটি এমন ডিভাইসে প্রয়োগ করা যা প্রথম সংযোগে শংসাপত্রটি ডাউনলোড এবং গ্রহণ করতে দেয় না।
মাউরো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.