Корпоративный Wi-Fi на базе WPA2/WPA3-Enterprise выглядит солидно: индивидуальная аутентификация через RADIUS, туннелированные EAP-методы, сертификаты. На бумаге - крепость. На практике в большинстве проектов, которые я провожу, evil twin атака Wi-Fi позволяет перехватить доменные учётные данные, ни разу не зайдя в здание. Прямо с парковки, с ноутбуком и Alpha-адаптером на торпеде. Проблема не в криптографии - она в том, как реализована (точнее - как не реализована) цепочка доверия между клиентом и сервером аутентификации.
Здесь разберём пентест 802.1X на уровне протокольного стека: почему атака работает, как настроить hostapd-mana для перехвата EAP-хэндшейков, как крекать MSCHAPv2-хэши и что делать, когда WPA3-Enterprise стоит на пути. Всё с воспроизводимыми командами и конфигами из реальных ассессментов.
Как работает 802.1X и где ломается цепочка доверия
Прежде чем атаковать, нужно понимать, что именно мы ломаем.
Ссылка скрыта от гостей
, где три участника обмениваются данными в строгой последовательности:- Supplicant (клиент) - ноутбук или телефон сотрудника
- Authenticator (точка доступа) - пересылает EAP-фреймы между клиентом и сервером
- Authentication Server (RADIUS) - принимает решение об аутентификации
Фазы EAP-аутентификации и точка перехвата
В PEAP и EAP-TTLS аутентификация проходит в две фазы:- Phase 1 (outer) - устанавливается TLS-туннель между supplicant и RADIUS-сервером. Сервер предъявляет сертификат, клиент должен его проверить.
- Phase 2 (inner) - внутри туннеля передаются учётные данные. Для PEAP это MSCHAPv2 challenge-response, для EAP-TTLS - PAP, CHAP или тот же MSCHAPv2.
По данным исследования ScienceDirect, посвящённого атакам на Wi-Fi Enterprise сети (в контексте Eduroam), именно отсутствие принудительной валидации сертификата на стороне клиента - корневая причина успешных evil twin атак на WPA-Enterprise. Не баг протокола, а баг внедрения.
Почему клиенты не проверяют сертификат
На практике я постоянно встречаю три сценария:Android до версии 11 - по умолчанию не требует указания CA-сертификата для Enterprise-профилей. Пользователь видит предупреждение, жмёт «Подключиться» и идёт дальше. Классика.
Windows без GPO - если профиль Wi-Fi добавлен вручную, а не через групповую политику, валидация имени сервера и CA не настроена. А руками профили добавляют чаще, чем хотелось бы.
BYOD-устройства - личные телефоны и ноутбуки сотрудников, подключённые к корпоративному SSID без MDM-профиля, почти никогда не имеют правильной конфигурации.
Это не теоретическая проблема. Это причина, по которой перехват EAP учётных данных работает в большинстве корпоративных сред.
Разведка перед атакой: что искать в эфире
Перед развёртыванием evil twin нужно понять структуру целевой сети. Этап Wi-Fi Discovery (T1016.002, Discovery по MITRE ATT&CK).
Bash:
# Переводим адаптер в monitor mode
sudo airmon-ng start wlan0
# Пассивный сбор информации о сетях
sudo airodump-ng wlan0mon --band abg -w recon_dump- ENC/CIPHER/AUTH - для Enterprise-сети увидите
WPA2 / CCMP / MGT. ФлагMGTозначает 802.1X (EAP-based authentication), а не PSK. - BSSID и ESSID - фиксируем MAC-адрес и имя целевой сети. Имя будем клонировать.
- Канал - evil twin поднимаем на другом канале, чтобы снизить интерференцию с легитимной AP.
- Клиенты - наличие ассоциированных станций. Без активных клиентов атака бессмысленна - не с кем взаимодействовать.
Код:
eap && wlan.bssid == AA:BB:CC:DD:EE:FFНастройка hostapd-mana для evil twin атаки на WPA2 Enterprise
Проводите аудит безопасности Wi-Fi? Начните с проверки: какие EAP-методы используются и как настроены профили на клиентских устройствах. Попробуйте поднять evil twin в лабе против собственных устройств - результат может удивить. Именно это определяет, сработает ли атака в поле или нет.
