Quiero reemplazar mi configuración actual de WPA2 / PSK con WPA2 + 802.1x con autenticación RADIUS. Hay varios algoritmos que pueden usarse para eso que puede dividirse aproximadamente en dos grupos:
a) el usuario utiliza un certificado para autenticarse en el servidor
b) el usuario tiene un nombre de usuario + contraseña para la autenticación.
Dado que a) requiere distribuir un certificado a los usuarios, quiero elegir la opción B.
Ahora la pregunta es: ¿cómo puedo mitigar el ataque de AP de colorete?
Podría distribuir el certificado del servidor RADIUS a todos los clientes. Pero esto contrarrestaría toda la razón por la que quiero implementar la opción B.
Ahora, si uso un certificado autofirmado, el usuario tiene que aceptar manualmente este certificado autofirmado. Un atacante puede configurar fácilmente un AP de colorete con su propio certificado autofirmado y, por lo tanto, robar las credenciales de un usuario con bastante facilidad (ningún usuario comprueba las huellas digitales).
¿Pero qué sucede si uso un certificado firmado por una CA (como Let's Encrypt, o cualquier otra CA que se encuentre en la mayoría de los dispositivos) para el servidor RADIUS? ¿El cliente lo aceptará automáticamente?
¿Qué impide que un atacante vaya a la misma CA pública y obtenga un certificado válido para sí mismo? (¿Hay alguna forma de especificar que se acepten solo los certificados de un determinado dominio?)
¿Son válidas las respuestas a las preguntas anteriores para todos los métodos 802.1x que proporcionan autenticación del servidor?
Consideraciones adicionales:
Soy consciente de que podría haber ataques dentro de mi propia red, por ejemplo, ataques para capturar y / o falsificar la comunicación entre el wifi-AP y el servidor RADIUS. Para mi configuración, este tipo de ataques pueden ignorarse ya que están directamente conectados (físicamente) o tienen una conexión VPN IPSec directa.