Re: WiFi & авторизация в домене windows

To: debian-russian@lists.debian.org
Subject: Re: WiFi & авторизация в домене windows
From: Stanislav Maslovski <stanislav.maslovski@gmail.com>
Date: Wed, 27 Jun 2012 14:47:10 +0400
Message-id: <[🔎] 20120627104710.GA6862@kaiba.homelan>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20120627101131.GB18392@wagner.pp.ru>
References: <[🔎] 20120626153617.GA1306@vdsl.uvw.ru> <[🔎] 20120626154357.GA30084@laptop.local> <[🔎] 20120626161626.GC1306@vdsl.uvw.ru> <[🔎] 20120626210958.GA5630@kaiba.homelan> <[🔎] 20120627060053.GE22788@vdsl.uvw.ru> <[🔎] 20120627071615.GA22224@kaiba.homelan> <[🔎] 20120627101131.GB18392@wagner.pp.ru>

On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote:
> On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote:
> 
> > 
> > Как я понимаю, _только_ если сертификат сервера подписан известным root
> > CA. В PEAP для обмена credentials используется TLS, поэтому совсем без
> > сертификатов там никак.
> 
> Ну почему никак? Можно совсем не проверять аутентичность сервера.

Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в
безопасности), но без серверного сертификата (т.е., без public key
сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без
сертификатов никак нельзя, что и имелось в виду.

> 
> > Если же мое предположение относительно ca_cert неверно
> > (поэкспериментировать нет возможности), и wpa_supplicant принимает любой
> > серверный сертификат без валидации, когда опция ca_cert явно не
> > прописана в конфиге, то это большая дыра в секьюрити.
> 
> Это зависит от топографии того места, где расположен данный wifi  и
> возможности наличия злонамеренных инсайдлеров с hostapd.
> 
> В более-менее нормальной конторе среднего  размера, расположенной в
> отдельно стоящем здании посреди обнесенной забором территории с
> проходной, можно и без валидации сертификатов.

Ну это не серьёзно. Направленные антенны ещё никто не отменял.

-- 
Stanislav

Reply to:

Follow-Ups:
- Re: WiFi & авторизация в домене windows
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: WiFi & авторизация в домене windows
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- WiFi & авторизация в домене windows
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: WiFi & авторизация в домене windows
  - From: Dmitry Nezhevenko <dion@inhex.net>
- Re: WiFi & авторизация в домене windows
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: WiFi & авторизация в домене windows
  - From: Stanislav Maslovski <stanislav.maslovski@gmail.com>
- Re: WiFi & авторизация в домене windows
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: WiFi & авторизация в домене windows
  - From: Stanislav Maslovski <stanislav.maslovski@gmail.com>
- Re: WiFi & авторизация в домене windows
  - From: Victor Wagner <vitus@wagner.pp.ru>

Prev by Date: Re: WiFi & авторизация в домене windows
Next by Date: Re: WiFi & авторизация в домене windows
Previous by thread: Re: WiFi & авторизация в домене windows
Next by thread: Re: WiFi & авторизация в домене windows
Index(es):
- Date
- Thread