¿Hay alguna forma de verificar la identidad de un enrutador a través de WiFi?

2

I para encontrar una manera de "verificar la identidad de un enrutador" por motivos de seguridad.

Estaba pensando en algún proceso que involucra ocultar el SSID del enrutador y verificar la dirección MAC del enrutador al realizar la conexión. El problema aquí es que el SSID, incluso cuando está oculto, se puede detectar fácilmente, así como la dirección MAC, una contraseña incluso con seguridad WPA2 no es completamente útil cuando los no técnicos están conectados a esa red debido a la ingeniería social.

Así que esta información permitiría a un atacante falsificar la identidad del enrutador, y tal vez con una señal WiFi más fuerte, este atacante causaría que las computadoras preconfiguradas pasen de la red real a la falsa, permitiendo que el atacante vea todos los paquetes. Transmitido dentro y fuera de la red.

Quiero saber si existe un esquema similar a SSL para verificar la identidad del enrutador al que se está conectando alguien, para evitar este tipo de ataques.

    
pregunta Miguel Campos 29.06.2017 - 06:45
fuente

4 respuestas

1

Hay un esquema similar a SSL: EAP-TLS y EAP-TTLS. Es similar a SSL en el sentido de que no comprueba la identidad del hardware (enrutador, hardware del servidor ...), sino que realiza la autenticación a nivel de software, utilizando TLS con certificados en ambos casos.

Por supuesto, al igual que el uso de TLS en HTTPS, necesita cierta confianza inicial en la que se pueda construir la autenticación. Con HTTPS, esto se hace en la mayoría de los casos con los certificados firmados por una CA pública que se envía como ancla de confianza con el navegador o sistema operativo. Con EAP-TLS esto también se puede hacer, aunque en realidad es común usar una CA no pública, es decir, tener una PKI privada.

Pero, EAP-TLS no se usa mucho para puntos de acceso públicos o redes pequeñas en el hogar y la mayoría de los enrutadores SoHo ni siquiera lo admiten. En su lugar, se utiliza principalmente en entornos empresariales. Para redes más pequeñas, generalmente se usa WPA-PSK donde se realiza la autenticación al tener un secreto compartido entre el cliente y el punto de acceso. Esto es suficiente para identificar de forma segura su propio enrutador en casa, siempre que utilice una contraseña segura que no conoce un posible atacante.

En cuanto a los hotspots públicos que no usan ninguna contraseña o que usan contraseñas ampliamente conocidas: no puede confiar en estas por muchas razones. Una de ellas es que un atacante puede abrir un punto de acceso de colorete con el mismo nombre y contraseña y no puedes notar la diferencia. Además, estas redes son utilizadas por usuarios que no son de confianza y, por lo general, no están protegidas contra la falsificación ARP o similar, lo que hace posible que el hombre en los ataques intermedios sea posible. Si realmente necesita usar dichas redes, es mejor que use una VPN o similar para canalizar su tráfico a una red confiable.

    
respondido por el Steffen Ullrich 29.06.2017 - 07:08
fuente
1

Dos opciones:

Use una VPN en el cliente para evitar que cualquier persona en el medio se evite y usted se conecte a su red de esa manera. Incluso si pasa por unos malos actores.

Use RADIUS en una configuración EAP-TLS para ofrecer autenticación a los clientes y servidores de radio. El cliente en esta configuración sería el AP y no el dispositivo de los usuarios finales (una concepción errónea común en RADIUS para los nuevos administradores)

    
respondido por el ISMSDEV 29.06.2017 - 07:05
fuente
0

Un enrutador WiFi OpenBSD / FreeBSD con authpf hará exactamente esto. La clave ssh del servidor no cambiará a menudo, si es que lo hace, y usted puede controlar el comportamiento de los usuarios con un alto grado de granularidad. Recomiendo tarjetas PCI - > enlace Dado que pfSense se basa en FreeBSD, obtendría el viaje más rápido (en términos de configuración) al usarlo en un PCENGINES Alix / APU o Soekris.

    
respondido por el user2497 29.06.2017 - 14:12
fuente
0

Para reafirmar lo que el OP está preguntando de otra manera, si no me equivoco, es: "¿Cómo puedo mantener seguro mi punto de acceso wifi después de que la clave de cifrado o la contraseña se filtró a todos?". Respuesta: use WPA enterprise (radio) que usa una contraseña diferente para todos, así que esto no puede suceder, o use cualquiera de los métodos para usar el wifi abierto de forma segura.

    
respondido por el Alex Cannon 03.04.2018 - 01:32
fuente

Lea otras preguntas en las etiquetas