L'identità anonima viene utilizzata in PEAP (Protected Extensible Authentication Protocol) in modo che l'autenticatore possa scegliere il server di autenticazione corretto per elaborare le credenziali. Ad esempio, l'invio di identità anonime di foo@example al server RADIUS di esempio.
Vedi qui per ulteriori informazioni.
L'identità anonima viene inviata in chiaro. Alcuni sistemi client hanno un'opzione di privacy per l'identità anonima. In questo caso anziché foo@example inviato nella risposta del client, viene inviato solo @example , che protegge l'identità effettiva dell'utente. Tutto ciò che un intercettatore può vedere è che vogliono autenticarsi con Example.
What is “anonymous identity” in enterprise WPA?
Quasi tutti i metodi EAP in uso per 802.1X con autenticazione WPA / WPA2 wireless utilizzano un metodo di autenticazione "esterno" semplicemente per stabilire un tunnel TLS tra il client e il server di autenticazione (cioè un server RADIUS) e un'autenticazione "interna" per fornire credenziali effettive attraverso il tunnel TLS sicuro.
L'"identità anonima" viene utilizzata per il processo di autenticazione esterno e non è necessario che corrisponda alle credenziali fornite nell'autenticazione interna, sebbene se non viene fornita alcuna identità anonima, l'impostazione predefinita è l'utente dell'identità interna (aka nome utente) per entrambe le cose.
Who get to see this identity ?
Questo dipende. Poiché l'autenticazione esterna non è protetta da alcun tipo di crittografia, nulla può vedere / elaborare l'autenticazione esterna. Questa lista contiene alcune (ma non necessariamente tutte) delle cose che possono eventualmente vedere l'identità esterna:
What is obfuscated by this anonymous identity ?
Come già notato, l'uso dell'identità anonima impedisce l'azione predefinita di usare l'identità interiore anche per l'identità esterna. Ciò che è esattamente offuscato dipenderà dal supplicante OS / EAP e dalle esigenze del processo di autenticazione in uso.
In particolare, dovresti sempre essere in grado di offuscare [almeno parte del] nome utente.
Per alcuni supplicanti EAP, è possibile sostituire sia un nome utente e dominio / regno diversi. Per gli altri (supplicant EAP nativo di Windows per uno), si può solo essere in grado di sostituire il nome utente.
Qualsiasi requisito del processo di autenticazione determinerà anche ciò che può essere offuscato. Ad esempio, se il server RADIUS utilizza il dominio / ambito nella gestione dell'autenticazione, potrebbe essere richiesto di mantenere il dominio / ambito anche se il sistema operativo consente di modificarlo. Oppure, un server RADIUS può utilizzare la corrispondenza regolare sul nome utente per determinare come gestire l'autenticazione esterna (ad esempio: i nomi utente che contengono xxx sono gestiti localmente, altri sono inoltrati a un altro server RADIUS), quindi l'identità anonima dovrebbe possibilmente mantenere almeno la parte del nome utente se dovesse corrispondere alla regex.
Da documentazione (solo un esempio di configurazione):
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network={
ssid="example"
scan_ssid=1
key_mgmt=WPA-EAP
eap=TTLS
identity="[email protected]"
anonymous_identity="[email protected]"
password="foobar"
ca_cert="/etc/cert/ca.pem"
phase2="auth=MD5"
}
È la tua identità che è hiden perché (la tua vera identità) viene inviata solo attraverso un tunnel TLS crittografato.
Ci sono tre voci:
Puoi vedere che la tua identità anonima rappresentata dalla stringa utilizzata nel parametro anonymous_identity viene inviata non crittografata, mentre la tua vera identità ( username , password ) viene inviata solo crittografata e nessuno le vede.