WiFi経由でルーターの身元を確認する方法はありますか?

セキュリティ上の理由から、「ルーターのIDを確認する」方法を見つけます。

私は、接続を実行するときにルータのSSIDを隠してルータのMACアドレスを確認することを含むいくつかのプロセスで考えていました。 ここでの問題は、SSIDは、たとえ隠されていても簡単に検出できることです。MPAアドレスと同様に、WPA2セキュリティを使用してもパスワードは、非技術者がそのネットワークに接続している場合はまったく役に立ちません。

そのため、この情報によって攻撃者はルーターの身元を偽装することができ、さらに強力なWiFi信号を使用して事前設定済みのコンピューターを実際のネットワークから偽のネットワークに切り替えることができますネットワーク外

この種の攻撃を回避するために、誰かが接続しているルーターの身元を確認するためのSSLのような方式があるかどうかを知りたいです。

2
IPsec AHはどうですか。
追加された 著者 Erik vanDoren,
私もそれを考慮しました、そしてそれは頭に浮かぶ唯一の選択肢でした、しかし私は人々が他の選択肢を持っているかどうかチェックしたかったです。この特定の種類の状況(将来の読者のための)のためのIPsec実装の詳細については、これらのリンクをチェックしてください: security.stackexchange.com/questions/107794/… ibm.com/support/knowledgecenter/en/SSLTBW_2.1.0/…
追加された 著者 pie154,

4 答え

2つの選択肢

クライアントのVPNを使用して、途中の人が避けられ、ネットワークに接続するようにします。たとえそれが悪い俳優を通り抜けたとしても。

RADIUS-EAP構成でRADIUSを使用して、RADIUSクライアントおよびサーバーに認証を提供します。この設定のクライアントはAPであり、エンドユーザのデバイスではありません(新しい管理者にとってのRADIUSの一般的な誤解)

1
追加された

SSLのようなスキームがあります。 EAP-TLS とEAP -TTLS。それは、ハードウェア(ルーター、サーバーハードウェアなど)の身元をチェックしないという点でSSLに似ていますが、ソフトウェアレベルで認証を行うという点で - 両方の場合に証明書と共にTLSを使用します。

もちろん、HTTPSでのTLSの使用と同様に、認証を構築するための初期の信頼が必要です。 HTTPSでは、これはほとんどの場合、証明書をブラウザまたはOSとの信頼アンカーとして出荷されている公開CAによって署名させることによって行われます。 EAP − TLSを用いてこれを行うこともできるが、実際には非公開CAを使用すること、すなわち私的PKIを有することが一般的である。

しかし、EAP-TLSは自宅の公共のホットスポットや小規模ネットワークではあまり使用されておらず、ほとんどのSoHoルーターでもサポートされていません。代わりに企業環境で主に使用されます。小規模なネットワークでは通常、WPA-PSKが使用され、ここで認証はクライアントとアクセスポイント間で共有秘密を持つことによって行われます。潜在的な攻撃者に知られていない強力なパスワードを使用すれば、自宅で自分のルーターを安全に識別するのに十分です。

パスワードを使用していない、または広く知られているパスワードを使用している公共のホットスポットについては、さまざまな理由で信頼できません。 1つは、攻撃者が同じ名前とパスワードでルージュホットスポットを開く可能性があり、その違いを見分けることができないということです。さらに、これらのネットワークは信頼されていないユーザーによって使用され、通常、ARPスプーフィングなどから保護されていないため、中間者攻撃が可能になります。このようなネットワークを本当に使用する必要がある場合は、VPNなどを使用してトラフィックを信頼できるネットワークにトンネリングしてください。

1
追加された

誤解していないのであれば、OPが別の方法で求めていることを言い換えると、「暗号化キーまたはパスワードが全員に漏洩した後に、どうすればwifiアクセスポイントを安全に保つことができます」答え:これを実現できないように、全員に異なるパスワードを使用するWPA enterprise(radius)を使用するか、オープンwifiを安全に使用するためのさまざまな方法を使用してください。

0
追加された

An OpenBSD/FreeBSD WiFi router with authpf will do exactly this. The server's ssh key will not change often, if ever, and you can control the behaviour of users with a high degree of granularity. I recommend athn PCI cards -> https://man.openbsd.org/athn.4 Since pfSense is based on FreeBSD, you would get the fastest (in terms of configuration) ride using that on an PCENGINES Alix/APU or Soekris.

0
追加された