Esiste un modo per verificare l'identità di un router tramite WiFi?

2

Devo trovare un modo per "verificare l'identità di un router" a fini di sicurezza.

Stavo pensando in qualche processo che consiste nel nascondere il SSID del router e nel verificare l'indirizzo MAC del router durante l'esecuzione della connessione. Il problema è che l'SSID, anche se nascosto, può essere facilmente rilevato, così come l'indirizzo MAC, una password anche con la sicurezza WPA2 non è completamente utile quando i non-tecnici sono connessi a quella rete perché l'ingegneria sociale.

Quindi questa informazione consentirebbe a un utente malintenzionato di falsificare l'identità del router, e forse con un segnale WiFi più strong questo hacker potrebbe far sì che i computer preconfigurati passino dalla rete reale a quella falsa, consentendo all'utente malintenzionato di vedere tutti i pacchetti trasmesso all'interno e all'esterno della rete.

Voglio sapere se esiste uno schema simile a SSL per verificare l'identità del router a cui si sta connettendo, al fine di evitare questo tipo di attacchi.

    
posta Miguel Campos 29.06.2017 - 06:45
fonte

4 risposte

1

Esiste uno schema simile a SSL: EAP-TLS ed EAP-TTLS. È simile a SSL in quanto non controlla l'identità dell'hardware (router, hardware del server ...) ma fa l'autenticazione a livello di software - utilizzando TLS con certificati in entrambi i casi.

Ovviamente, come l'utilizzo di TLS in HTTPS, ha bisogno di un po 'di fiducia iniziale su cui l'autenticazione può essere costruita. Con HTTPS questo è nella maggior parte dei casi fatto avendo i certificati firmati da una CA pubblica che viene spedita come trust con il browser o il sistema operativo. Con EAP-TLS questo può essere fatto anche se in realtà è comune usare CA non pubbliche, cioè avere una PKI privata.

Tuttavia, EAP-TLS non è molto utilizzato per hotspot pubblici o piccole reti domestiche e la maggior parte dei router SoHo non lo supporta nemmeno. È usato principalmente in ambienti aziendali. Per le reti più piccole di solito viene utilizzato WPA-PSK dove l'autenticazione viene eseguita avendo un segreto condiviso tra client e access point. Questo è sufficiente per identificare in modo sicuro il tuo router a casa purché tu usi una password complessa che non è nota a un potenziale aggressore.

Per quanto riguarda gli hotspot pubblici che non utilizzano alcuna password o che utilizzano password ampiamente conosciute: non ci si può fidare di questi per molte ragioni. Uno è che un utente malintenzionato potrebbe aprire un hotspot rouge con lo stesso nome e password e non si può dire la differenza. Inoltre, queste reti sono utilizzate da utenti non fidati e di solito non sono protette contro lo spoofing ARP o simili che rende possibili gli attacchi uomo medio. Se è davvero necessario utilizzare tali reti, è meglio utilizzare una VPN o simili per tunnelare il traffico verso una rete affidabile.

    
risposta data 29.06.2017 - 07:08
fonte
1

Due opzioni:

Utilizza una VPN sul client in modo da evitare qualsiasi uomo nel mezzo e ti colleghi alla rete in questo modo. Anche se attraversa un cattivo attore.

Utilizzare RADIUS in una configurazione EAP-TLS per offrire l'autenticazione a radius client e server. Il client in questa configurazione sarebbe l'AP e non il dispositivo degli utenti finali (una concezione errata comune in RADIUS per i nuovi amministratori)

    
risposta data 29.06.2017 - 07:05
fonte
0

Un router WiFi OpenBSD / FreeBSD con authpf farà esattamente questo. La chiave ssh del server non cambierà spesso, se mai, ed è possibile controllare il comportamento degli utenti con un alto grado di granularità. Raccomando le schede PCI athn - > link Dato che pfSense è basato su FreeBSD, otterresti il giro più veloce (in termini di configurazione) usando quello su un PCENGINES Alix / APU o Soekris.

    
risposta data 29.06.2017 - 14:12
fonte
0

Per riaffermare ciò che l'OP chiede in un modo diverso, se non sbaglio, è: "Come posso mantenere sicuro il mio punto di accesso wifi dopo che la chiave di crittografia o la password sono trapelate a tutti". Risposta: usa WPA enterprise (radius) che usa una password diversa per tutti, quindi questo non può accadere, o usa uno qualsiasi dei metodi per usare il wifi aperto in modo sicuro.

    
risposta data 03.04.2018 - 01:32
fonte

Leggi altre domande sui tag