Является ли веб-аутентификация уровня 3 с помощью PSK второго уровня более безопасным?

Я настроил Cisco WLC для аутентификации пользователей с использованием внешней проверки веб-сайтов на уровне 3. Соединения Wi-Fi клиента более устойчивы к подслушивающим устройствам с предварительно разделенным ключом на уровне 2, а просто имеют открытую сеть и просто используют веб-авторизацию уровня 3

Например, скажем, есть клиент, который подключается к Wi-Fi, но не имеет имени пользователя /пароля для веб-авторизации уровня 3. Если Wi-Fi был открытым доступом, клиент мог бы нюхать радиоволны и читать незашифрованные данные (например, HTTP-соединения или, возможно, этот PDF-файл печатается на сетевом принтере). Что делать, если Wi-Fi имеет PSK? Имеет ли клиент, не прошедший проверку на уровне 3, менее или одинаковый объем видимости для незашифрованного трафика?

Основываясь на комментарии @ BatchyX, насколько сложно перехватить рукопожатие WPA2 и получить PSK, не зная об этом? Эта сеть находится в сценарии кафе, где есть много клиентов и постоянный трафик.

Есть ли лучший способ защитить сеть? Существует ли вариант 802.1X, который позволит использовать ключи для каждого пользователя без требования к сертификату для каждого пользователя?

Спасибо!

3 голоса | спросил berto 4 12013vEurope/Moscow11bEurope/MoscowMon, 04 Nov 2013 23:10:00 +0400 2013, 23:10:00

1 ответ


5

Веб-аутентификация на самом деле больше означает ограничение /разрешение гостевого доступа в чистой сети, для которой не требуется настройка дополнительных клиентов. Он не предназначен для обеспечения безопасного доступа.

Таким образом, если клиент не использует только зашифрованные сеансы (HTTPS, SSH, SFTP, VPN и т. д.), то они гораздо более безопасны с использованием PSK, чем веб-аутентификация.

Изменить расширенный вопрос: Вообще говоря, клиент, подключающийся к сети любым способом, не «захватывает» какой-либо трафик в воздухе. Атакующие, захватившие трафик, не будут подключены к сети.

Если клиентское устройство подключено к SSID, который не имеет шифрования, любой пользователь в этой области может «слушать», пока есть данные, идущие в /из клиента. Любая из этих данных, которые не зашифрованы другими средствами, будет легко декодироваться кем-то, кто захочет это сделать. Чтобы быть полностью понятным, «веб-аутентификация L3» не обеспечивает шифрования. В частности, чтобы ответить на ваш вопрос, да, любой может захватить трафик на открытом /открытом SSID, используя веб-аутентификацию, независимо от того, имеет ли он имя пользователя /пароль или не делает трафик таким, как ваш пример HTTP или трафик печати уязвим.

PSK фактически не используется для шифрования данных, а используется как общая система отсчета (или начальная точка), чтобы позволить устройствам согласовывать материал ключей, используемый для шифрования. Наличие PSK не позволит вам расшифровать данные. Однако, как указывал BatchyX, если у вас есть PSK и , захватите рукопожатие, так как у вас есть такая же «стартовая точка», что и у другого устройства (например, PSK), вы сможете получить манипулировать материалом и расшифровывать любые данные с использованием этого материала. Это обеспечивает гораздо меньшую видимость для аутсайдера для сбора данных, поскольку для этого потребуется как PSK, так и рукопожатие. Одного без другого не хватит.

Что касается получения PSK путем захвата рукопожатия, это немного более активно, но может быть сделано. В принципе, это атака «грубой силы», когда злоумышленник использует разные значения PSK против рукопожатия, пока не найдет тот, который позволяет им понять полное рукопожатие. После того, как они имеют это значение, они смогут легко расшифровать любое другое соединение, которое они захватят для рукопожатия. Хотя это упрощенное описание, если вы используете WPA2 /AES без «общего», короткого или словарного PSK, знаете, что это очень маловероятно.

Если вам нужен лучший способ сделать это без клиентских сертификатов, то наиболее распространенным является WPA2-Enterprise на основе 802.1X с использованием EAP-PEAP-MSCHAPv2. Для этого требуется только серверный сертификат, но это более сложный процесс настройки клиента (хотя для многих устройств за последние пару лет он стал намного лучше) для аутентификации на сервере RADIUS. Это не только делает материал для ключей различным для каждого пользователя, но и для каждого сеанса.

В вашем сценарии в кофейне я бы рекомендовал использовать SSID WPA2-Enterprise для устройств «компании». Что касается доступа к клиенту, второй SSID с веб-аутентификацией или PSK обеспечивает механизм ограничения доступа. Обычно большинство публичных мест идут с веб-аутентификацией, потому что у них может быть механизм для предоставления соглашения «Условия использования», чтобы покрыть себя в юридическом смысле. Они оставляют заказчику возможность обеспечить собственную защиту данных.

ответил YLearn 4 12013vEurope/Moscow11bEurope/MoscowMon, 04 Nov 2013 23:27:51 +0400 2013, 23:27:51

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132