আমি কীভাবে 802.1X ব্যবহার করে একটি ওয়্যারলেস এপি এর শংসাপত্র ডাউনলোড করতে পারি?

আমি যতদূর বুঝতে পেরেছি, ডাব্লুপিএ-এন্টারপ্রাইজ (যেমন ডাব্লুপিএ প্লাস ৮০২.১ এক্স) ব্যবহার করে বেতার অ্যাক্সেস পয়েন্টগুলি সংযোগ সেটআপের সময় কোনও ক্লায়েন্টকে পাবলিক কী শংসাপত্র প্রেরণ করতে পারে। এটি কোনও দুর্বৃত্ত এপি (এইচটিটিপিএসের শংসাপত্রের বৈধতার অনুরূপ) এর সাথে সংযোগ স্থাপন করছে না তা নিশ্চিত করতে ক্লায়েন্ট এই শংসাপত্রটি যাচাই করতে পারে।

প্রশ্নাবলী:

• আমি কি এটি সঠিকভাবে বুঝতে পেরেছি?
• যদি হ্যাঁ, তবে এপি শংসাপত্রটি ডাউনলোড করার কোনও উপায় আছে? আদর্শভাবে, আমি এমন একটি সমাধান চাই যা লিনাক্সের আওতায় কাজ করে।

পরবর্তী সংযোগ প্রচেষ্টা যাচাই করার জন্য এটি ব্যবহার করার জন্য আমি একটি স্ব-স্বাক্ষরিত শংসাপত্র ডাউনলোড করতে চাই। এপি অপারেটরকে কোনও ফাইলের জন্য জিজ্ঞাসা করার চেয়ে এটি সহজ হবে be

হ্যাঁ, সর্বাধিক প্রচলিত ডাব্লুপিএ-এন্টারপ্রাইজ কনফিগারেশনগুলি পিইএপি বা টিটিএলএস উভয়ই ব্যবহার করে, উভয়ই 802.1X এর বেশি EAP এর উপর TLS প্রয়োগ করে।

সাধারণত এই উদ্দেশ্যে শংসাপত্রটি ইতিমধ্যে কোথাও নেটওয়ার্ক অপারেটর দ্বারা প্রকাশিত হয়। এটি ব্যবহারকারীর কাছে চাইতে হবে এমন কিছু নয় ।

দুঃখজনকভাবে, wpa_supplicant এর কাছে ডিবাগ মোডে শংসাপত্রগুলি ডাম্প করার কোনও বিকল্প নেই। (আমি যদি আরও ভাল উপায় খুঁজে পাই তবে আমি এটি আপডেট করব)) তবে এখনও আপনি প্রকৃত EAPOL প্রমাণীকরণ প্রক্রিয়া পর্যবেক্ষণ করতে পারেন। প্রথমে ওয়িরশার্ক ইনস্টল করুন।

সংযোগ বিচ্ছিন্ন হওয়ার পরে, ইন্টারফেসটি নিজে হাতে আনুন এবং এটিতে ক্যাপচার শুরু করুন:

$ sudo ip link set wlan0 up
$ wireshark -ki wlan0 &

Wpa_supplicant শুরু করুন এবং শীঘ্রই আপনি টিএলএস হ্যান্ডশেকটি দেখতে পাবেন:

সার্ভারহেলোর সাথে সাথে সার্ভারটি তার শংসাপত্রগুলি প্রেরণ করবে। এই জাতীয় প্রথম প্যাকেট নির্বাচন করুন, তারপরে এটিকে খনন করুন:

802.1X
└─Extensible Authentication Protocol
  └─Secure Sockets Layer
    └─Handshake Protocol: Certificatte
      └─Certificates

"শংসাপত্র ( স্টাফ )" এর প্রথম উদাহরণটিতে ডান ক্লিক করুন এবং "নির্বাচিত প্যাকেট বাইটগুলি রফতানি করুন" চয়ন করুন। বাইনারি ডিআর ফর্ম্যাটে ওয়্যারশার্ক এটিকে ফাইল হিসাবে সংরক্ষণ করবে। অন্যান্য সমস্ত শংসাপত্রগুলির জন্য এটি পুনরাবৃত্তি করুন। শীর্ষস্থানীয় এক (রেডিয়াস সার্ভারের) এমন তথ্য রয়েছে যা আপনি কনফিগার করতে পারেন altsubject_match; শেষটি (রুট সিএ) wpa_supplicant হিসাবে দেওয়া উচিত ca_cert।

এখন আপনার কাছে বাইনারি ডিআর ফর্ম্যাটে কয়েকটি *.crtবা *.derফাইল রয়েছে। এগুলিকে পিইএম "পাঠ্য" ফর্ম্যাটে রূপান্তর করুন:

openssl x509 -inform DER < mycert.der > mycert.pem

(যদি আপনার wpa_supplicant ওপেনএসএসএল টিএলএস হ্যান্ডলার হিসাবে ব্যবহার করে থাকে তবে আপনাকে অবশ্যই এটি "রুট সিএ" শংসাপত্র প্রদান করতে হবে; এটি সার্ভারের শংসাপত্র দেওয়ার ফলে কাজ করবে না।

মনে রাখবেন যে এটিও সম্ভব যে ওয়্যারশার্কে দেখা শেষ শংসাপত্রটি কোনও মূল সিএর নয়, তবে কেবল আপনার ডিরেক্টরিতে একটি রুট সিএ দ্বারা জারি করা হয়েছে/etc/ssl/certs ... যদি এটি হয় তবে সেটিও অবশ্যই নির্ধারণ করুন domain_suffix_match- অন্যথায়, পাবলিক সিএ ব্যবহার করা নিরাপদ হবে (৮০২.১ এক্স দুর্ভাগ্যক্রমে জানে না যে "হোস্টনাম" এর বিরুদ্ধে যাচাই করার জন্য কীভাবে এইচটিটিপিএস করবে would)