Esiste un modo per verificare l'identità di un router tramite WiFi?

Esiste uno schema simile a SSL: EAP-TLS ed EAP-TTLS. È simile a SSL in quanto non controlla l'identità dell'hardware (router, hardware del server ...) ma fa l'autenticazione a livello di software - utilizzando TLS con certificati in entrambi i casi.

Ovviamente, come l'utilizzo di TLS in HTTPS, ha bisogno di un po 'di fiducia iniziale su cui l'autenticazione può essere costruita. Con HTTPS questo è nella maggior parte dei casi fatto avendo i certificati firmati da una CA pubblica che viene spedita come trust con il browser o il sistema operativo. Con EAP-TLS questo può essere fatto anche se in realtà è comune usare CA non pubbliche, cioè avere una PKI privata.

Tuttavia, EAP-TLS non è molto utilizzato per hotspot pubblici o piccole reti domestiche e la maggior parte dei router SoHo non lo supporta nemmeno. È usato principalmente in ambienti aziendali. Per le reti più piccole di solito viene utilizzato WPA-PSK dove l'autenticazione viene eseguita avendo un segreto condiviso tra client e access point. Questo è sufficiente per identificare in modo sicuro il tuo router a casa purché tu usi una password complessa che non è nota a un potenziale aggressore.

Per quanto riguarda gli hotspot pubblici che non utilizzano alcuna password o che utilizzano password ampiamente conosciute: non ci si può fidare di questi per molte ragioni. Uno è che un utente malintenzionato potrebbe aprire un hotspot rouge con lo stesso nome e password e non si può dire la differenza. Inoltre, queste reti sono utilizzate da utenti non fidati e di solito non sono protette contro lo spoofing ARP o simili che rende possibili gli attacchi uomo medio. Se è davvero necessario utilizzare tali reti, è meglio utilizzare una VPN o simili per tunnelare il traffico verso una rete affidabile.

Due opzioni:

Utilizza una VPN sul client in modo da evitare qualsiasi uomo nel mezzo e ti colleghi alla rete in questo modo. Anche se attraversa un cattivo attore.

Utilizzare RADIUS in una configurazione EAP-TLS per offrire l'autenticazione a radius client e server. Il client in questa configurazione sarebbe l'AP e non il dispositivo degli utenti finali (una concezione errata comune in RADIUS per i nuovi amministratori)

Un router WiFi OpenBSD / FreeBSD con authpf farà esattamente questo. La chiave ssh del server non cambierà spesso, se mai, ed è possibile controllare il comportamento degli utenti con un alto grado di granularità. Raccomando le schede PCI athn - > link Dato che pfSense è basato su FreeBSD, otterresti il giro più veloce (in termini di configurazione) usando quello su un PCENGINES Alix / APU o Soekris.

Per riaffermare ciò che l'OP chiede in un modo diverso, se non sbaglio, è: "Come posso mantenere sicuro il mio punto di accesso wifi dopo che la chiave di crittografia o la password sono trapelate a tutti". Risposta: usa WPA enterprise (radius) che usa una password diversa per tutti, quindi questo non può accadere, o usa uno qualsiasi dei metodi per usare il wifi aperto in modo sicuro.