brazzn
Posts: 3
Joined: Fri Apr 29, 2016 12:11 pm

WLAN-Router mittels EAP-Authentifizierung

Fri Apr 29, 2016 12:13 pm

Hallo liebe Community,

ich stehe vor einem recht großen Problem, bei dem ich dringend Hilfe benötige. Kurz zum Thema. Ich bin Student der Medieninformatik und schreibe gerade meine Bachelor-Arbeit.

Als Thema muss ich einen WLAN-Router mit dem Raspberry Pi bauen, welcher als "Fake-Access Point" für die Hochschule fungieren soll. Es soll ermöglicht werden sich an meinem Router mittels Username und Passwort (wie man es von Hochschulnetzwerken nun mal kennt) anzumelden. Allerdings sollen die eingegebenen Credentials nicht mit einem RADIUS-Server o.ä. abgeglichen werden. Es soll eine Plausibilitätsprüfung gemacht werden, so dass geprüft wird ob die eingegebenen Daten "möglich" sind (z.B. Passwort mindestens acht Zeichen und muss Buchstaben, Nummern und Sonderzeichen beinhalten). Ich habe endlos viel Recherche betrieben und bin nicht auf einen grünen Zweig zu dem Thema gekommen.

Mein aktueller Stand sieht so aus, dass ich den Router lauffähig bekomme, wenn ich ihn mit einem Netzwerkschlüssel betreibe (WPA-PSK). Ich kann den Router zwar auf WPA-EAP umstellen, bekomme auch die Login-Maske für die Benutzerdaten, schaffe es aber nicht mich daran anzumelden. Um die Funktionalität wenigstens zu prüfen wollte ich den Router im ersten Schritt über WPA-EAP mit einem "Testuser" in Betrieb nehmen. Allerdings scheiterte ich an diesem Versuch ebenfalls.

Verwendete Komponenten:
[*]Rasberry Pi 2 Model B
[*]Rasbian Jessie
[*]Edimax EW-7811Un
[*]hostapd
[*]isc-dhcp-server



Nachfolgend liste ich (hoffentlich) sämtliche relevanten Dateien auf.


/etc/network/interfaces

Code: Select all

# interfaces(5) file used by ifup(8) and ifdown(8)

# Please note that this file is written to be used with dhcpcd
# For static IP, consult /etc/dhcpcd.conf and 'man dhcpcd.conf'

# Include files from /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d

auto lo
iface lo inet loopback

iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet static
   address 192.168.42.1
   netmask 255.255.255.0

#allow-hotplug wlan1
#iface wlan1 inet manual
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

up iptables-restore < /etc/iptables.ipv4.nat

/etc/hostapd/hostapd.conf (Wenn ich die letzten beiden Zeilen nicht kommentiert habe startet die hostapd nicht richtig und somit läuft der Router nicht an.)

Code: Select all

interface=wlan0
ssid=MyAccesspoint

hw_mode=g
channel=6
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=myPassword
wpa_key_mgmt=WPA-EAP
wpa_pairwise=TKIP
rsn_pairwise=CCMP

#eap_server=1
#eap_user_file=/etc/hostapd/hostapd.eap_user
/etc/hostapd/hostapd.eap_user

Code: Select all

#Phase 1 users
"Test" MD5 "passwort"

#Phase 2 users
"Test" MD5 "passwort" [2]

/etc/dhcp/dhcpd.conf (nur der hinzugefügte Teil)

Code: Select all

subnet 192.168.42.0 netmask 255.255.255.0 {
  range 192.168.42.10 192.168.42.50;
  option broadcast-address 192.168.42.255;
  option routers 192.168.42.1;
  default-lease-time 600;
  max-lease-time 7200;
  option domain-name "local";
  option domain-name-servers 8.8.8.8, 8.8.4.4;
}

/etc/default/isc-dhcp-server

Code: Select all

# Defaults for isc-dhcp-server initscript
# sourced by /etc/init.d/isc-dhcp-server
# installed at /etc/default/isc-dhcp-server by the maintainer scripts

#
# This is a POSIX shell fragment
#

# Path to dhcpd's config file (default: /etc/dhcp/dhcpd.conf).
DHCPD_CONF=/etc/dhcp/dhcpd.conf

# Path to dhcpd's PID file (default: /var/run/dhcpd.pid).
#DHCPD_PID=/var/run/dhcpd.pid

# Additional options to start dhcpd with.
#       Don't use options -cf or -pf here; use DHCPD_CONF/ DHCPD_PID instead
#OPTIONS=""

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="wlan0"
Der Deamon zur hostapd.conf wurde angelegt und das IPV4-Forwarding ist auch eingebunden.
Die Inbetriebnahme des Routers mittels WPA-PSK habe ich anhand dieser Anleitung umgesetzt: https://learn.adafruit.com/setting-up-a ... l-software


Ich würde mich riesig freuen, wenn hier jemand ist, der sich mit dem Thema auskennt oder vielleicht etwas ähnliches umgesetzt hat und mir hierbei weiterhelfen könnte.

Liebe Grüße,
brazzn

franzhartwig
Posts: 12
Joined: Tue Jan 22, 2013 6:03 pm

Re: WLAN-Router mittels EAP-Authentifizierung

Sat Apr 30, 2016 9:21 am

Moin brazzn,

interessantes Projekt, so etwas wollte ich auch einmal für Demozwecke bauen. Konkrete Gedanken zur Realisierung habe ich mir aber noch nicht gemacht. Kurze Google-Suche ergab, dass Du wohl hostapd-wpe benötigst. Das ist ein Authenticator, der unabhängig von den eingegebenen Zugangsdaten ein "success" zurückgibt. Ob eine "Plausibilitätsprüfung" der Zugangsdaten damit realisiert werden kann, habe ich allerdings nicht geprüft.
Auf die Schnelle ein paar Links:

https://warroom.securestate.com/evil-tw ... stapd-wpe/
https://github.com/OpenSecurityResearch/hostapd-wpe
http://blog.gojhonny.com/2015/08/pwning ... pd-on.html

Viel Erfolg ...

brazzn
Posts: 3
Joined: Fri Apr 29, 2016 12:11 pm

Re: WLAN-Router mittels EAP-Authentifizierung

Sat Apr 30, 2016 7:27 pm

Vielen Dank für deine Hilfe!
Das hört sich alles schon mal sehr vielversprechend an. Klingt nach genau dem Szenario das ich benötige.
Ich werde es direkt versuchen und gebe Rückmeldung wenn ich weitergekommen bin.

brazzn
Posts: 3
Joined: Fri Apr 29, 2016 12:11 pm

Re: WLAN-Router mittels EAP-Authentifizierung

Sat Apr 30, 2016 9:43 pm

Nach mehrfachem Versuchen und weiterer Recherche stehe ich vor dem nächsten Problem.. Das starten des AP scheint nicht zu funktionieren. Anscheinend unterstützt die hostapd-wpe hier den Treiber nicht. Kann mir nur nicht vorstellen, dass das an meinem Edimax liegt. Könnte es ein Problem sein, dass ich hier mit Rasbian arbeite und nicht mit Kali?

Code: Select all

[email protected]:~/hostapd-2.2/hostapd $ ./hostapd-wpe ./hostapd-wpe.conf
Configuration file: ./hostapd-wpe.conf
nl80211: Driver does not support authentication/association or connect commands
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
Could not set interface wlan0 flags (DOWN): Operation not permitted
nl80211 driver initialization failed.
hostapd_free_hapd_data: Interface wlan0 wasn't started

Return to “Deutsch”