web-dev-qa-db-ja.com

同じSSIDのホットスポット、認証はどのように機能しますか?

私の大学には、自分のユーザー名とパスワードでログインするワイヤレスネットワークがあります。 PEAPを使用しています。私の電話とラップトップは、ネットワークを検出すると自動的にこのSSIDに接続します。

誰かが同じSSIDを使用してホットスポットを設定し、私の電話またはラップトップがこのSSIDを表示する場合、大学のネットワークであると想定して、このネットワークに接続します。ログインは明らかに失敗します(この奇妙な名前のホットスポットを設定した生意気な人が私のユーザー名とパスワードを知っているとは思わないので)。

ユーザー名とパスワードを安全に保つにはどうすればよいですか?例えば。この男は、私がネットワークにログインするために使用しているユーザー名やパスワードを確認できませんが、大学のネットワークはネットワーク上で私を確認して許可することができます。

誰かがこれを私に説明できますか?

ありがとう!

7
Jochem Kuijpers

既知のSSIDがあるにもかかわらず、電話またはラップトップは必ずしもその代替APに自動的に接続するわけではありません。これは MACアドレス があり、自宅のものと必ずしも一致しないためです。特定のシステムがMACアドレスの変更を無視する準備ができるかどうかは、そのシステムに依存します(自宅での明示的な実験から、Windows 7は既知のデバイスに自動的に接続しないとは言えませんアクセスポイントのMACアドレスが一致しない場合のSSID)。もちろん、悪意のある攻撃者があなたの家を追跡し、ドアのすぐ外で停止し、自分のWiFi APのMACアドレスを記録して、自分の偽のAPでそれを模倣した可能性があります。

あなたの電話/ラップトップが実際に接続することを想定[〜#〜] peap [〜#〜] はSSL/TLSを含みます、そしてこれはあなたを守るはずです(いくつかの注意事項があります;下記参照)。基本的に、PEAPを使用する場合、クライアント(デバイス)はアクセスポイントとのSSL接続を開き、アクセスポイントの証明書を適切に検証した後でのみユーザー名とパスワードの送信に進みます。これは、HTTPS Webサイトの状況を模倣しています。クライアントは、最初に適切なサーバーと通信することを確認し、SSL暗号化の傘を通じてのみ機密データを送信します。

証明書の検証にはいくつかの微妙な点があります。 失効ステータス はおそらくチェックされません。これは、デバイスがインターネット接続を取得しようとしているため、まだCRLをダウンロードできないためです。詳細は ドラフトプロトコル を参照してください。また、クライアントが「これは有効な証明書です」から「これは私が通信しようとしているアクセスポイントの有効な証明書です」にどのように移行するかは少し不明確です。ほとんどのWiFi/PEAPクライアントは、最初の接続時にAPから送信された証明書を記録し、その後、APがまったく同じ証明書を送信する場合、または、同じサーバー名。

6
Tom Leek