Che cos'è "identità anonima" nel WPA aziendale?

6

Quando ci si connette a una rete protetta WPA aziendale, ho l'opzione di aggiungere una "identità anonima" (vedi screenshot correlato). Non capisco cosa sia il punto però.

Chi arriva a vedere questa identità? Cosa viene offuscato da questa identità anonima?

    
posta Droplet 20.09.2015 - 10:11
fonte

3 risposte

4

L'identità anonima viene utilizzata in PEAP (Protected Extensible Authentication Protocol) in modo che l'autenticatore possa scegliere il server di autenticazione corretto per elaborare le credenziali. Ad esempio, l'invio di identità anonime di foo@example al server RADIUS di esempio.

Vedi qui per ulteriori informazioni.

L'identità anonima viene inviata in chiaro. Alcuni sistemi client hanno un'opzione di privacy per l'identità anonima. In questo caso anziché foo@example inviato nella risposta del client, viene inviato solo @example , che protegge l'identità effettiva dell'utente. Tutto ciò che un intercettatore può vedere è che vogliono autenticarsi con Example.

    
risposta data 22.09.2015 - 10:19
fonte
3

What is “anonymous identity” in enterprise WPA?

Quasi tutti i metodi EAP in uso per 802.1X con autenticazione WPA / WPA2 wireless utilizzano un metodo di autenticazione "esterno" semplicemente per stabilire un tunnel TLS tra il client e il server di autenticazione (cioè un server RADIUS) e un'autenticazione "interna" per fornire credenziali effettive attraverso il tunnel TLS sicuro.

L'"identità anonima" viene utilizzata per il processo di autenticazione esterno e non è necessario che corrisponda alle credenziali fornite nell'autenticazione interna, sebbene se non viene fornita alcuna identità anonima, l'impostazione predefinita è l'utente dell'identità interna (aka nome utente) per entrambe le cose.

Who get to see this identity ?

Questo dipende. Poiché l'autenticazione esterna non è protetta da alcun tipo di crittografia, nulla può vedere / elaborare l'autenticazione esterna. Questa lista contiene alcune (ma non necessariamente tutte) delle cose che possono eventualmente vedere l'identità esterna:

  • Dispositivi vicino al client che possono "ascoltare" e acquisire l'autenticazione esterna
  • NAS (dispositivo che inoltra il traffico associato all'autenticazione tra il client e il server RADIUS) che in genere è l'AP o il controller wireless
  • Il server RADIUS che fornisce l'autenticazione (che in realtà ha accesso alle identità sia esterne che interne)
  • Server RADIUS intermedi se il primo server RADIUS inoltra la richiesta ad altri server RADIUS
  • Qualsiasi dispositivo che costituisce il percorso di rete tra NAS e server RADIUS o tra server RADIUS (quando le autenticazioni sono proxy) - se il percorso si estende al di fuori della rete controllata localmente, questo può includere dispositivi su Internet o controllati da terze parti
  • Qualsiasi sistema che abbia accesso ai dati di cui sopra o che i dati di esportazione di cui sopra siano

What is obfuscated by this anonymous identity ?

Come già notato, l'uso dell'identità anonima impedisce l'azione predefinita di usare l'identità interiore anche per l'identità esterna. Ciò che è esattamente offuscato dipenderà dal supplicante OS / EAP e dalle esigenze del processo di autenticazione in uso.

In particolare, dovresti sempre essere in grado di offuscare [almeno parte del] nome utente.

Per alcuni supplicanti EAP, è possibile sostituire sia un nome utente e dominio / regno diversi. Per gli altri (supplicant EAP nativo di Windows per uno), si può solo essere in grado di sostituire il nome utente.

Qualsiasi requisito del processo di autenticazione determinerà anche ciò che può essere offuscato. Ad esempio, se il server RADIUS utilizza il dominio / ambito nella gestione dell'autenticazione, potrebbe essere richiesto di mantenere il dominio / ambito anche se il sistema operativo consente di modificarlo. Oppure, un server RADIUS può utilizzare la corrispondenza regolare sul nome utente per determinare come gestire l'autenticazione esterna (ad esempio: i nomi utente che contengono xxx sono gestiti localmente, altri sono inoltrati a un altro server RADIUS), quindi l'identità anonima dovrebbe possibilmente mantenere almeno la parte del nome utente se dovesse corrispondere alla regex.

    
risposta data 20.01.2019 - 19:53
fonte
2

Da documentazione (solo un esempio di configurazione):

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
    ssid="example"
    scan_ssid=1
    key_mgmt=WPA-EAP
    eap=TTLS
    identity="[email protected]"
    anonymous_identity="[email protected]"
    password="foobar"
    ca_cert="/etc/cert/ca.pem"
    phase2="auth=MD5"
}

È la tua identità che è hiden perché (la tua vera identità) viene inviata solo attraverso un tunnel TLS crittografato.

Ci sono tre voci:

Puoi vedere che la tua identità anonima rappresentata dalla stringa utilizzata nel parametro anonymous_identity viene inviata non crittografata, mentre la tua vera identità ( username , password ) viene inviata solo crittografata e nessuno le vede.

    
risposta data 20.09.2015 - 11:03
fonte

Leggi altre domande sui tag