Desidero sostituire il mio attuale setup WPA2 / PSK con WPA2 + 802.1x con autenticazione RADIUS. Ci sono vari algoritmi che possono essere usati per quello che può essere diviso approssimativamente in due gruppi:
a) l'utente utilizza un certificato per autenticarsi sul server
b) l'utente ha un nome utente + password per l'autenticazione.
Poiché a) richiede la distribuzione di un certificato agli utenti, voglio andare con l'opzione B.
Ora la domanda è: come posso mitigare l'attacco AP rouge?
Potrei distribuire il certificato del server RADIUS a tutti i client. Ma ciò neutralizzerebbe l'intera ragione per cui voglio implementare l'opzione B.
Ora, se utilizzo un certificato autofirmato, l'utente deve accettare manualmente questo certificato autofirmato. Un utente malintenzionato può facilmente impostare un AP rouge con il proprio certificato autofirmato e quindi rubare le credenziali degli utenti abbastanza facilmente (nessun utente controlla le impronte digitali).
Ma cosa succede se utilizzo un certificato firmato da una CA (come Let's Encrypt o qualsiasi altra CA che può essere trovata sulla maggior parte dei dispositivi) per il server RADIUS? Il cliente lo accetterà automaticamente?
Cosa impedisce a un utente malintenzionato di accedere alla stessa CA pubblica e ottenere un certificato valido per se stesso? (Esiste un modo per specificare di accettare solo i certificati per un determinato dominio?)
Le risposte alle domande precedenti sono valide per tutti i metodi 802.1x che forniscono l'autenticazione del server?
Ulteriori considerazioni:
Sono consapevole che potrebbero esserci attacchi all'interno della mia rete, ad esempio attacchi per acquisire e / o falsificare la comunicazione tra l'AP Wi-Fi e il server RADIUS. Per il mio setup, questi tipi di attacchi possono essere ignorati poiché sono collegati direttamente (fisicamente) o hanno una connessione VPN IPSec diretta.