¿Hay alguna forma de verificar la identidad de un enrutador a través de WiFi?

Hay un esquema similar a SSL: EAP-TLS y EAP-TTLS. Es similar a SSL en el sentido de que no comprueba la identidad del hardware (enrutador, hardware del servidor ...), sino que realiza la autenticación a nivel de software, utilizando TLS con certificados en ambos casos.

Por supuesto, al igual que el uso de TLS en HTTPS, necesita cierta confianza inicial en la que se pueda construir la autenticación. Con HTTPS, esto se hace en la mayoría de los casos con los certificados firmados por una CA pública que se envía como ancla de confianza con el navegador o sistema operativo. Con EAP-TLS esto también se puede hacer, aunque en realidad es común usar una CA no pública, es decir, tener una PKI privada.

Pero, EAP-TLS no se usa mucho para puntos de acceso públicos o redes pequeñas en el hogar y la mayoría de los enrutadores SoHo ni siquiera lo admiten. En su lugar, se utiliza principalmente en entornos empresariales. Para redes más pequeñas, generalmente se usa WPA-PSK donde se realiza la autenticación al tener un secreto compartido entre el cliente y el punto de acceso. Esto es suficiente para identificar de forma segura su propio enrutador en casa, siempre que utilice una contraseña segura que no conoce un posible atacante.

En cuanto a los hotspots públicos que no usan ninguna contraseña o que usan contraseñas ampliamente conocidas: no puede confiar en estas por muchas razones. Una de ellas es que un atacante puede abrir un punto de acceso de colorete con el mismo nombre y contraseña y no puedes notar la diferencia. Además, estas redes son utilizadas por usuarios que no son de confianza y, por lo general, no están protegidas contra la falsificación ARP o similar, lo que hace posible que el hombre en los ataques intermedios sea posible. Si realmente necesita usar dichas redes, es mejor que use una VPN o similar para canalizar su tráfico a una red confiable.

Dos opciones:

Use una VPN en el cliente para evitar que cualquier persona en el medio se evite y usted se conecte a su red de esa manera. Incluso si pasa por unos malos actores.

Use RADIUS en una configuración EAP-TLS para ofrecer autenticación a los clientes y servidores de radio. El cliente en esta configuración sería el AP y no el dispositivo de los usuarios finales (una concepción errónea común en RADIUS para los nuevos administradores)

Un enrutador WiFi OpenBSD / FreeBSD con authpf hará exactamente esto. La clave ssh del servidor no cambiará a menudo, si es que lo hace, y usted puede controlar el comportamiento de los usuarios con un alto grado de granularidad. Recomiendo tarjetas PCI - > enlace Dado que pfSense se basa en FreeBSD, obtendría el viaje más rápido (en términos de configuración) al usarlo en un PCENGINES Alix / APU o Soekris.

Para reafirmar lo que el OP está preguntando de otra manera, si no me equivoco, es: "¿Cómo puedo mantener seguro mi punto de acceso wifi después de que la clave de cifrado o la contraseña se filtró a todos?". Respuesta: use WPA enterprise (radio) que usa una contraseña diferente para todos, así que esto no puede suceder, o use cualquiera de los métodos para usar el wifi abierto de forma segura.