802.1X и 802.11 - можете ли вы предотвратить мошенническую точку доступа с самого начала?

521
Brad

Предполагает ли механизм аутентификации 802.1X, что вы изначально подключились к доверенной сети? Что меня удивляет, так это то, что если я настрою клонированную точку доступа, чтобы обмануть пользователей, чтобы они подключались через меня, если они подключились ко мне до того, как подключились к соответствующей сети, как бы они поняли, что я не являюсь подходящей сетью? Моя точечная точка доступа может использовать 802.1X, и я могу дать им свои сообщения аутентификации, и они могут использовать мой открытый ключ для расшифровки? Это не говорит им, что они не в той сети?

Я предполагаю, что 802.1X хорош в предотвращении атак такого типа, если у вас уже есть открытый ключ доверенной сети на вашем компьютере? Но теперь я снова сбит с толку: как мой компьютер узнает, какой открытый ключ использовать при подключении к сети? Он не может хранить открытые ключи в соответствии с SSID, потому что SSID не уникальны.

1
Какой у вас вопрос? Непонятно из того, что ты написал. 12 лет назад 0
Смотрите выше для редактирования Brad 12 лет назад 0
Вашему компьютеру не нужно знать, какой открытый ключ использовать. Он просто подключается к сети и затем проверяет, является ли используемый открытый ключ доверенным. Если это так, он аутентифицируется с соответствующими учетными данными, зная, что он обращается к нужной сети. David Schwartz 12 лет назад 0
@ Дэвид, насколько я понимаю, 802.1X обеспечивает взаимную аутентификацию с использованием криптографии с открытым ключом. Если сервер предоставляет открытый ключ, то это противоречит точке, в которой ключ является открытым, конечно, я должен получить его не с сервера, а откуда-то ... публично, чтобы я знал, что это их открытый ключ? Я не понимаю, как это сделать на 802.1X для беспроводной? Brad 12 лет назад 0
@Brad Я думаю, ты не понимаешь, как работают открытые ключи. Вы храните открытый ключ, связанный с личностью. Сервер подтверждает, что он владеет этим открытым ключом, а затем вы подтверждаете, что владеете этим удостоверением. Готово. Итак, сервер говорит: «Это мой открытый ключ, и вот доказательство, что он мой». Клиент говорит: «Ааа, у меня есть личность владельца этого ключа, вот он, и вот доказательство, что он мой». Сервер говорит: «Да, это ты». David Schwartz 12 лет назад 0
@ Давид, я думал, что сервер возвращает дайджест от клиента, подписанный его закрытым ключом. Клиент расшифровывает это с помощью открытого ключа сервера, читает собственный дайджест и, следовательно, знает, что отправителем был тот, кто получил дайджест? Однако как клиент узнает, какой открытый ключ использовать в зашифрованном дайджесте? Brad 12 лет назад 0
@Brad Это не зашифровано, это подписано. И дайджест может включать открытый ключ (обычный метод) или клиент может попробовать их все. David Schwartz 12 лет назад 0
Если я отправлю вам номер телефона и скажу, что это Microsoft, вы звоните, и отвечающий говорит, что он работает на Microsoft, которая не доказывает, что это Microsoft, не так ли? Если бы я зашел в Google и сказал, что это число - Microsoft, то это докажет .....? Brad 12 лет назад 0
Не ясно, какой из двух вопросов вы смущены. Является ли ваш вопрос "как я узнаю, что открытый ключ принадлежит правильному объекту?" Или это «как я узнаю, что сущность, с которой я разговариваю, владеет открытым ключом, для которого у меня есть личность»? David Schwartz 12 лет назад 0

1 ответ на вопрос

1
David Schwartz

[H] Как мой компьютер знает, какой открытый ключ использовать при подключении к сети? Он не может хранить открытые ключи в соответствии с SSID, потому что SSID не уникальны?

У клиента есть набор учетных данных, который используется в различных сетях. Каждое удостоверение связано с открытым ключом, принадлежащим этой соответствующей сети. Аутентификация происходит следующим образом:

1) Клиент подключается к сети.

2) Сеть аутентифицируется на клиенте, используя закрытый ключ, соответствующий его открытому ключу.

3) Клиент теперь знает, что сеть владеет определенным открытым ключом. Клиент проверяет, есть ли у него идентификатор, соответствующий этому открытому ключу.

4) Клиент подтверждает свою идентичность серверу с помощью идентификатора клиента, связанного с открытым ключом сети.

Клиенту не нужно заранее знать, к какой сети он подключается.

Похожие вопросы