Как происходит проверка домена и сертификата сервера при RADIUS-авторизации для WPA2-Enterprise?
Только начинаю разбираться с технологией WPA2-Enterprise и заинтересовал такой момент. Есть RADIUS NPS-сервер (Windows Server) с сертификатом от Let's Encrypt. В параметрах на точках доступа (Keenetic Viva) рядом с SSID везде прописан IP этого сервера и секретный ключ. Авторизация и подключение к Wi-Fi через логин-пароль работает, клиенты видят что сертификат сервера доверенный и спокойно подключаются. Но как они сверяют его и кому он выдан? Потому как домен нигде не прописан.
Как всё это защитит от возможности кому-либо создать "левую" точку доступа с тем же SSID и со своим RADIUS-сервером на какой-нибудь "левый" домен, получить также сертификат от Let's Encrypt и перехватывать пароли?
Во первый пароли не передаются в открытом виде, даже если их перехватят то надо еще расшифровать методом перебора.
Во вторых, после удачного подключения на устройстве создается профиль в котором так же указано какой сертификат был у радиуса при первом успешном подключении и соответственно клиент не будет автоматически подключатся к поддельной точке, а при попытке подключиться в ручном режиме сообщит клиенту что изменился сертификат и попросит подтвердить что клиент ему доверяет.
На доменных ноутах все просто, вы создаете профиль wifi через доменные политики и так же можете указать какому сертификату стоит доверять клиенту и клиент не может повлият на эти настройки (если он не админ на ноуте, но даже если админ это не тривиальная задача). С мобильным клиентами сложнее, тут необходимо проинформировать пользователей что уведомление об изменении сертификата должно указывать на вражескую сеть и не стоит подключаться к такой сети.
В третьих, проблема с такой атакой полностью исключается, если клиент так же использует сертификат вместо логин-пароля.
Огрызки вообще не доверяют сертам LE при первом подключении и просят руками нажать на Доверять. И да, WPA2/3 это не только про сертификаты и пароли. Это еще и про SSL от точки доступа до радиус сервера, про ограничение по мак адресам и времени входа. И некоторые другие параметры безопасности.
Keffer, замечу, что ограничение по MAC-адресам (белые и черные списки), как мне кажется, в последнее время потеряло значение. Подделать адрес легко, как и узнать, на какой подделывать. Многие устройства вообще используют рандомный MAC-адрес в целях приватности, опять же надо руками залезать править, и без этого поддержание актуальности таблицы задача нелегкая.
