Problemas de hotspot SSL, MtTM como excepciones

0

Tengo dudas sobre cómo implementar un punto de acceso para mi inicio. La idea es tener implementado WPA2-Enterprise con servidor de radio remoto y página de inicio. Esta implementación se produjo después del motivo de la facilidad para recordar la contraseña en los dispositivos cliente, para que puedan acceder a AP sin tener que ingresar la contraseña cada vez que inician sesión.

Pero con el progreso de la implementación de SSL en los sitios web, existe el temor de que pueda aumentar considerablemente los problemas con el aumento de errores de certificados debido a las excepciones similares a MiTM.

Y como sé, no existe una solución para los clientes / navegadores antiguos para evitar tal situación.

Entonces, ¿alguien sabe más sobre estadísticas, cuántos clientes posiblemente se verían afectados por estos problemas, hoy en día, en un mundo real, y qué se puede esperar?

Nota adicional: Tal vez no estaba claro. Los Contras con portales cautivos muy comunes es que generan un error de certificado no válido de SSL cuando se redirige a la página de inicio de sesión / Splash, por lo que la pregunta se refiere a la usabilidad del portal cautivo y la implementación actual de la solución en los navegadores. fuerte>

    
pregunta Milos Radojevic 01.08.2017 - 15:07
fuente

1 respuesta

1

Esta pregunta es un poco complicada, pero parece que tiene metodologías de autenticación de red combinadas con SSL (TLS).

  1. WPA2 / Radius no es un proxy, por lo que MiTM no es aplicable.
  2. SSL / TLS proporciona cifrado de extremo a extremo para el contenido de datos. La forma en que se enrutan esos paquetes en términos de WiFi es irrelevante.

Piénsalo de esta manera: has guardado una carta en una caja fuerte de 800 libras. Puede mover la caja fuerte del punto A al punto B usando un tren (Ethernet) o puede hacerlo a través de un avión (WiFi).

En ambos casos, el modo de transporte es irrelevante para el mensaje (la carta), su protección (la caja fuerte) y su entrega.

Su servidor de radio simplemente actúa como un registro de depósitos de trenes y aeropuertos permitidos desde los cuales se puede enviar la carta en la caja fuerte.

Si está preocupado por la "carga" de los usuarios que tienen que recordar su contraseña para acceder a su red, lamentablemente se sentirá decepcionado por los hombres. Parece ser un requisito previo para que los usuarios se quejen de sus contraseñas y del inconveniente de tener seguridad. La seguridad y la facilidad de uso son diametralmente opuestas. Por lo tanto, debe comprometerse entre tener una gran seguridad (encerrar su wifi en concreto y hundirlo en el fondo del océano) y tener un wifi utilizable (abierto, sin cifrar, haga clic para conectar la enfermedad de internet).

Si está dispuesto a cargar sus esfuerzos, puede hacer que sea "más fácil" conectarse a su wifi mediante la implementación de un radio que use RSA u otro cifrado de clave. Para el usuario, eso es fácil de "hacer clic para conectarse" porque toda la autenticación se realiza entre bastidores.

Si no puede (o no quiere) hacer esto, entonces necesita decirles a sus usuarios que tendrán que recordar sus contraseñas. Si los usuarios son empleados, es su mala suerte que tengan que poner "esfuerzo" en su trabajo. Si los usuarios son clientes, debe emitir un juicio sobre la seguridad que están dispuestos a soportar para acceder a los recursos de la red y dónde está su responsabilidad. Es probable que los usuarios no le permitan configurar RSA, ni querrán escribir d892la0as9jfm10-9svnm como su contraseña.

En cualquier caso, RADIUS no hace un proxy, y por lo tanto, las preocupaciones de MiTM son infundadas.

    
respondido por el DrDamnit 01.08.2017 - 17:24
fuente

Lea otras preguntas en las etiquetas