[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: WiFi & авторизация в домене windows



On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote:
> On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote:
> 
> > 
> > Как я понимаю, _только_ если сертификат сервера подписан известным root
> > CA. В PEAP для обмена credentials используется TLS, поэтому совсем без
> > сертификатов там никак.
> 
> Ну почему никак? Можно совсем не проверять аутентичность сервера.

Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в
безопасности), но без серверного сертификата (т.е., без public key
сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без
сертификатов никак нельзя, что и имелось в виду.

> 
> > Если же мое предположение относительно ca_cert неверно
> > (поэкспериментировать нет возможности), и wpa_supplicant принимает любой
> > серверный сертификат без валидации, когда опция ca_cert явно не
> > прописана в конфиге, то это большая дыра в секьюрити.
> 
> Это зависит от топографии того места, где расположен данный wifi  и
> возможности наличия злонамеренных инсайдлеров с hostapd.
> 
> В более-менее нормальной конторе среднего  размера, расположенной в
> отдельно стоящем здании посреди обнесенной забором территории с
> проходной, можно и без валидации сертификатов.

Ну это не серьёзно. Направленные антенны ещё никто не отменял.

-- 
Stanislav


Reply to: