Назад | Перейти на главную страницу

WPA2 Enterprise: никаких рисков для предварительно настроенных клиентов, когда дело доходит до несанкционированных точек доступа?

Мы используем по умолчанию PEAP и MS-CHAPv2 в качестве внутренней аутентификации.

Когда дело доходит до несанкционированных точек доступа, меня беспокоили риски, связанные с безопасностью, но мой коллега сказал мне, что для предварительно настроенных клиентов рисков нет.

Он сказал мне, что риски есть только для клиентов, у которых Wi-Fi не настроен заранее, потому что большинство пользователей доверяют поддельному сертификату. Вместо этого для предварительно сконфигурированных клиентов все соискатели будут разрывать или отклонять соединение, и пользователю не разрешается доверять поддельному сертификату. Но почему это? Может быть, потому что соискатели проверяют, установлен ли уже сертификат для этого SSID?

Кроме того, просители всегда были в безопасности в этом вопросе? Или патчи были применены во время? В последнем случае как мне узнать, когда были применены исправления и в каких версиях ОС? Это было бы полезно, потому что, например, я мог бы предложить использовать мобильные устройства Apple только с iOS 7 и выше (я просто предположил, я не знаю, правильная ли это версия).

Есть три способа, которыми проситель может проверить, что разговаривает с легитимным сервером:

  • Убедитесь, что атрибут сертификата, представленного сервером RADIUS, соответствует ожидаемому. Обычно это CN.
  • Убедитесь, что между одним из доверенных центров сертификации и сертификатом, представленным сервером RADIUS, существует доверительное отношение (обратите внимание, что сервер RADIUS может отправлять дополнительные сертификаты, чтобы помочь завершить эту цепочку).
  • Убедитесь, что сервер отправил ответ сшивания OCSP как часть рукопожатия. По сути, это сервер, выполняющий проверку OCSP от имени клиента и пересылающий ответ.

Профили / конфигурации обычно привязаны к SSID. Если обнаружена конфигурация, соответствующая текущему SSID, она будет использоваться для определения того, какие проверки выполнять, и установки значений для таких вещей, как ожидаемый CN и CA.

Если эти проверки не пройдут, сеанс TLS будет уничтожен до того, как будет запущена вторая фаза метода EAP.

Если профиль / конфигурация для SSID не найдены, большинство соискателей (протестированных с Win10 и macOS High Sierra) предложат пользователю принять представленный сертификат, но не будут включать ни одну из вышеперечисленных проверок для результирующего эфемерного профиля конфигурации. . Если сертификат, представленный сервером RADIUS, изменится, соискатель предложит пользователю еще раз подтвердить, что он доверяет этому новому сертификату, не сообщая явно, что сертификат был изменен. Если пользователь принимает новый сертификат, соискатель изменяет существующую временную конфигурацию и запускает этап 2.

Так что ваш коллега прав по всем пунктам.

Что касается патчей, то это очень сложный вопрос. Насколько мне известно, такое поведение было последовательным с тех пор, как оно было введено в различные операционные системы, но я не могу этого гарантировать. Я знаю, что, по крайней мере, первоначальный выпуск соискателя Microsoft в Win 2K SP4 демонстрировал поведение, описанное выше, и знаю, что Win 10 также демонстрирует это, но помимо этого, я не знаю, согласованно ли оно.