Hotspot con el mismo SSID, ¿cómo funciona la autorización?

7

Mi universidad tiene una red inalámbrica en la que inicio sesión con mi nombre de usuario y contraseña. Está utilizando PEAP. Mi teléfono y computadora portátil se conectan automáticamente a este SSID cuando detectan la red.

Si alguien configura un punto de acceso con el mismo SSID y mi teléfono o computadora portátil ve este SSID, se conectarán a esta red, asumiendo que es la red de la universidad. Obviamente, el inicio de sesión falla (ya que no espero que el tipo descarado que configuró este hotspot con nombre extraño tenga en cuenta mi nombre de usuario y contraseña).

¿Cómo se mantienen seguros mi nombre de usuario y contraseña? P.ej. este tipo no puede ver qué nombre de usuario y / o contraseña estoy usando para intentar iniciar sesión en la red, aunque la red de la universidad es capaz de verificar y permitirme en la red.

¿Puede alguien explicarme esto?

¡Gracias!

    
pregunta Jochem Kuijpers 24.09.2013 - 20:48
fuente

1 respuesta

6

Su teléfono o computadora portátil no necesariamente se conectará automáticamente a ese AP alternativo, porque aunque tiene un SSID conocido, también tiene un Dirección MAC que no coincide necesariamente con la de su casa. Si un sistema determinado estará listo para ignorar el cambio de dirección MAC depende de ese sistema (a partir de un experimento explícito en casa, puedo decir que Windows 7 no se conectará automáticamente a un SSID conocido si el punto de acceso La dirección MAC no coincide). Por supuesto, un malvado atacante puede haberte seguido a tu casa, detenerse justo afuera de tu puerta y haber grabado la dirección MAC de tu propio AP WiFi, para poder imitarlo con su propio AP falso.

Suponiendo que su teléfono / computadora portátil sí se conecta, PEAP incluye SSL / TLS, y esto debería protegerlo (sujeto a algunas advertencias; consulte a continuación). Básicamente, cuando utiliza PEAP, el cliente (su dispositivo) abre una conexión SSL con el punto de acceso, y procederá a enviar su nombre de usuario y contraseña solo después de haber validado debidamente el certificado del punto de acceso. Esto imita la situación con el sitio web HTTPS: el cliente primero se asegura de que habla con el servidor correcto y envía datos confidenciales solo a través del paraguas de cifrado SSL.

Hay algunos puntos sutiles con la validación del certificado. Probablemente no se verificará Estado de revocación , porque su dispositivo está tratando de obtener su conexión a Internet y, por lo tanto, no podrá para descargar un CRL todavía. Consulte el borrador del protocolo para obtener más detalles. Además, no está claro cómo pasa el cliente de "este es un certificado válido" a "este es un certificado válido para el punto de acceso al que pretendo hablar". Espero que la mayoría de los clientes de WiFi / PEAP registren el certificado enviado por el AP en la primera conexión, y luego se reconecten automáticamente (con el envío del nombre de usuario y la contraseña) solo si el AP todavía envía el mismo certificado exacto, o un certificado que anuncia la mismo nombre de servidor.

    
respondido por el Tom Leek 24.09.2013 - 21:14
fuente

Lea otras preguntas en las etiquetas