802.1X und 802.11 - Können Sie einen Rogue Access Point von Anfang an verhindern?

615
Brad

Geht der Authentifizierungsmechanismus von 802.1X davon aus, dass Sie anfangs bereits mit dem vertrauenswürdigen Netzwerk verbunden sind? Was mich verwirrt, ist, wenn ich einen geklonten Zugangspunkt einrichte, der Benutzer dazu bringt, sich über mich zu verbinden, und wenn sie sich mit mir verbinden, bevor sie sich mit dem richtigen Netzwerk verbinden, wie würden sie dann jemals erkennen, dass ich nicht das richtige Netzwerk war? Mein ausweichender Zugangspunkt kann 802.1X verwenden, und ich kann ihnen meine Authentifizierungsnachrichten geben und sie können meinen öffentlichen Schlüssel zum Entschlüsseln verwenden. Es sagt ihnen nicht, dass sie im falschen Netzwerk sind?

Ich gehe davon aus, dass 802.1X diese Art von Angriff nur verhindern kann, wenn sich auf Ihrem Computer bereits der öffentliche Schlüssel des vertrauenswürdigen Netzwerks befindet? Aber jetzt bin ich wieder verwirrt: Woher weiß mein Computer, welchen öffentlichen Schlüssel ich verwenden soll, wenn ich mich mit einem Netzwerk verbinde? Die öffentlichen Schlüssel können nicht gemäß SSIDs gespeichert werden, da SSIDs nicht eindeutig sind.

1
Was ist genau deine Frage? Aus dem, was Sie geschrieben haben, ist nicht klar. vor 12 Jahren 0
Siehe oben für die Bearbeitung Brad vor 12 Jahren 0
Ihr Computer muss nicht wissen, welchen öffentlichen Schlüssel Sie verwenden möchten. Es stellt einfach eine Verbindung zum Netzwerk her und prüft, ob der verwendete öffentliche Schlüssel ein Schlüssel ist, dem er vertraut. Wenn dies der Fall ist, authentifiziert es sich mit den zugehörigen Anmeldeinformationen und weiß, dass es mit dem richtigen Netzwerk kommuniziert. David Schwartz vor 12 Jahren 0
@David, so wie ich es verstehe, bietet 802.1X die gegenseitige Authentifizierung unter Verwendung der Kryptographie mit öffentlichen Schlüsseln. Wenn der Server den öffentlichen Schlüssel bereitstellt, der den Punkt des öffentlichen Schlüssels vereitelt, sollte ich ihn jedoch nicht vom Server beziehen, sondern von irgendwoher ... public, damit ich weiß, dass es sein öffentlicher Schlüssel ist. Ich verstehe nicht, wie dies auf 802.1X für Wireless erfolgt? Brad vor 12 Jahren 0
Ich glaube, Sie verstehen nicht, wie öffentliche Schlüssel grundlegend funktionieren. Sie speichern einen öffentlichen Schlüssel, der an eine Identität gebunden ist. Der Server weist nach, dass er den öffentlichen Schlüssel besitzt, und Sie beweisen, dass Sie diese Identität besitzen. Erledigt. Der Server sagt also: "Dies ist mein öffentlicher Schlüssel und hier ist der Beweis, dass er mir gehört." Der Kunde sagt: "Ah, ich habe eine Identität für den Besitzer dieses Schlüssels. Hier ist er und hier ist der Beweis, dass er mir gehört." Der Server sagt: "Ja, das bist du." David Schwartz vor 12 Jahren 0
@David, ich dachte, der Server gibt einen Auszug aus dem Client zurück, signiert mit seinem privaten Schlüssel. Der Client entschlüsselt dies mit dem öffentlichen Schlüssel des Servers, liest seinen eigenen Digest und weiß daher, dass der Absender die Person war, die den Digest erhalten hat? Woher weiß der Client jedoch, welchen öffentlichen Schlüssel der verschlüsselte Digest verwenden soll? Brad vor 12 Jahren 0
@Brad Es ist nicht verschlüsselt, es ist signiert. Der Digest kann entweder den öffentlichen Schlüssel enthalten (die übliche Methode) oder der Client kann alle ausprobieren. David Schwartz vor 12 Jahren 0
Wenn ich Ihnen eine Telefonnummer sende und Ihnen sage, es sei Microsoft, klingeln Sie und die antwortende Person sagt, er arbeite für Microsoft, das beweist nicht, dass Microsoft es ist, oder? Wenn ich auf google ging und sagte, die Nummer ist Microsoft - würde das beweisen ...? Brad vor 12 Jahren 0
Es ist nicht klar, welches von zwei Themen Sie verwirrt haben. Ist Ihre Frage "Woher weiß ich, dass der öffentliche Schlüssel zur richtigen Entität gehört?" Oder ist es "woher weiß ich, dass die Entität, mit der ich spreche, den öffentlichen Schlüssel besitzt, für den ich eine Identität habe?" David Schwartz vor 12 Jahren 0

1 Antwort auf die Frage

1
David Schwartz

[H] Woher weiß mein Computer, welchen öffentlichen Schlüssel ich verwenden soll, wenn ich mich mit einem Netzwerk verbinde? Die öffentlichen Schlüssel können nicht gemäß SSIDs gespeichert werden, da SSIDs nicht eindeutig sind.

Der Client verfügt über eine Reihe von Anmeldeinformationen, die in verschiedenen Netzwerken verwendet werden. Jedem Berechtigungsnachweis ist ein öffentlicher Schlüssel zugeordnet, der dem entsprechenden Netzwerk gehört. Die Authentifizierung läuft wie folgt ab:

1) Client verbindet sich mit dem Netzwerk.

2) Das Netzwerk authentifiziert sich beim Client mit dem privaten Schlüssel, der seinem öffentlichen Schlüssel entspricht.

3) Der Client weiß jetzt, dass das Netzwerk einen bestimmten öffentlichen Schlüssel besitzt. Der Client prüft, ob er eine Identität hat, die diesem öffentlichen Schlüssel entspricht.

4) Der Client weist seine Identität gegenüber dem Server mit der Identität des Clients aus, der dem öffentlichen Schlüssel des Netzwerks zugeordnet ist.

Der Client muss nicht vorab wissen, mit welchem ​​Netzwerk er sich verbindet.

Verwandte Probleme