[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: WiFi & авторизация в домене windows

On 2012.06.27 at 14:47:10 +0400, Stanislav Maslovski wrote:

> On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote:
> > On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote:
> > 
> > > 
> > > Как я понимаю, _только_ если сертификат сервера подписан известным root
> > > CA. В PEAP для обмена credentials используется TLS, поэтому совсем без
> > > сертификатов там никак.
> > 
> > Ну почему никак? Можно совсем не проверять аутентичность сервера.
> 
> Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в
> безопасности), но без серверного сертификата (т.е., без public key
> сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без
> сертификатов никак нельзя, что и имелось в виду.

С точки зрения пользователя - можно. Он того сертификата (предъявляемого
сервером) не увидит никогда. А является ли блок данных переданный
сервером в процессе хэндшейка сертификатом или блоком случайных чисел
пользователю в общем-то пофиг. Вот со стороны админа, настраивающего
такой доступ - не удастся.

> > 
> > > Если же мое предположение относительно ca_cert неверно
> > > (поэкспериментировать нет возможности), и wpa_supplicant принимает любой
> > > серверный сертификат без валидации, когда опция ca_cert явно не
> > > прописана в конфиге, то это большая дыра в секьюрити.
> > 
> > Это зависит от топографии того места, где расположен данный wifi  и
> > возможности наличия злонамеренных инсайдлеров с hostapd.
> > 
> > В более-менее нормальной конторе среднего  размера, расположенной в
> > отдельно стоящем здании посреди обнесенной забором территории с
> > проходной, можно и без валидации сертификатов.
> 
> Ну это не серьёзно. Направленные антенны ещё никто не отменял.

Направленная антенна, вне здания притворяющаяся точкой доступа и
обеспечивающая уровень сигнала выше чем у нормальной точки доступа?

При условии что у 499 работников из 500 сертификат местного УЦ
установлен и получив сообщение certificate verification failure они
побегут к админу с ворпосом "что за нафиг?"?



> -- 
> Stanislav
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 20120627104710.GA6862@kaiba.homelan">http://lists.debian.org/[🔎] 20120627104710.GA6862@kaiba.homelan
>
Reply to: