Problemi con hotspot SSL, MtTM come eccezioni

0

Ho dei dubbi su come implementare l'hotspot per il mio avvio. L'idea è di aver implementato WPA2-Enterprise con server radius remoto e splash page. Questa implementazione è nata dopo il semplice motivo di ricordare la password sui dispositivi client, in modo che possano accedere all'AP senza dover immettere la password ogni volta che effettuano l'accesso.

Tuttavia, con il progredire dell'implementazione SSL sui siti web, si teme che possa aumentare notevolmente i problemi con l'innalzamento degli errori dei certificati a causa delle eccezioni di MiTM.

E come so, non esiste una soluzione per vecchi client / browser per evitare tale situazione.

Quindi qualcuno sa di più sulle statistiche, quanti clienti potrebbero essere interessati da questi problemi, oggi, in un mondo reale, e cosa ci si può aspettare?

Nota aggiuntiva: Forse non ero chiaro, molto comune Contro con i portali in cattività è che sollevano l'errore di certificato SSL non valido quando viene reindirizzato alla pagina di Splash / login, quindi la domanda riguarda l'usabilità del captive portal e l'attuale implementazione della soluzione nei browser.

    
posta Milos Radojevic 01.08.2017 - 15:07
fonte

1 risposta

1

Questa domanda è un po 'complicata, ma sembra che tu abbia confuso le metodologie di autenticazione di rete con SSL (TLS).

  1. WPA2 / Radius non è un proxy, quindi MiTM non è applicabile.
  2. SSL / TLS fornisce la crittografia end-to-end per il contenuto dei dati. Il modo in cui tali pacchetti sono instradati in termini di WiFi è irrilevante.

Pensa in questo modo: hai racchiuso una lettera in una cassastrong da 800 sterline. Puoi spostare la cassastrong dal punto A al punto B usando un treno (ethernet) o puoi farlo tramite un aereo (WiFi).

In entrambi i casi, la modalità di trasporto è irrilevante per il messaggio (la lettera) è la protezione (la cassastrong) e la sua consegna.

Il tuo radius server funge semplicemente da registro dei depositi ferroviari e degli aeroporti autorizzati dai quali è possibile inviare la lettera nella cassastrong.

Se sei preoccupato per il "peso" che gli utenti devono ricordare la loro password per accedere alla tua rete, allora sarai tristemente deluso dal genere umano. Sembra essere un prerequisito per gli utenti di lamentarsi delle proprie password e l'inconveniente di avere sicurezza. Sicurezza e facilità d'uso sono diametralmente opposte. Quindi, devi scendere a compromessi tra avere una grande sicurezza (incastrare il tuo wifi in cemento e affondarlo nel fondo dell'oceano) e avere una connessione wifi utilizzabile (aperta, non crittografata, clicca per connetterti a Internet).

Se sei disposto a caricare i tuoi sforzi in anticipo, puoi rendere "più semplice" la connessione al Wi-Fi implementando raggio che utilizza RSA o altra crittografia delle chiavi. Per l'utente, questo è "clicca per connettersi" facile perché tutta l'autenticazione è fatta dietro le quinte.

Se non puoi (o non vuoi farlo), devi dire ai tuoi utenti che dovranno ricordare le loro password. Se gli utenti sono dipendenti, è una loro sfortuna dover mettere "impegno" nel loro lavoro. Se gli utenti sono clienti, allora devi fare un giudizio su quanta sicurezza sono disposti a sopportare per accedere alle risorse di rete e dove è la tua responsabilità. Probabilmente gli utenti non ti permetteranno di configurare RSA, né vorranno digitare d892la0as9jfm10-9svnm come loro password.

In entrambi i casi, RADIUS non fa un proxy e quindi le preoccupazioni MiTM sono infondate.

    
risposta data 01.08.2017 - 17:24
fonte

Leggi altre domande sui tag