802.1X の認証メカニズムは、ユーザーが最初に信頼できるネットワークに接続していることを前提としていますか? 困惑しているのは、ユーザーを騙して自分経由で接続させるためにクローン アクセス ポイントを設定した場合、ユーザーが適切なネットワークに接続する前に自分のアクセス ポイントに接続した場合、自分が適切なネットワークではないことをどうやって認識できるのかということです。私の怪しいアクセス ポイントは 802.1X を使用でき、私は自分の認証メッセージをそのアクセス ポイントに渡し、ユーザーは自分の公開キーを使用して暗号化を解除できます。間違ったネットワークに接続していることは通知されないのでしょうか?
802.1X は、信頼できるネットワークの公開キーが既にマシン上にある場合にのみ、このタイプの攻撃を防ぐのに効果的だと思います。しかし、ここでまた混乱してしまいます。ネットワークに接続するときに、どの公開キーを使用するかをコンピューターがどうやって知るのでしょうか。SSID は一意ではないため、SSID に従って公開キーを保存することはできません。
答え1
ネットワークに接続するときに、どの公開キーを使用するかをコンピューターはどうやって知るのでしょうか? SSID は一意ではないため、SSID に従って公開キーを保存することはできません。
クライアントには、さまざまなネットワークで使用される一連の資格情報があります。各資格情報は、対応するネットワークが所有する公開キーに関連付けられています。認証は次のように進行します。
1) クライアントがネットワークに接続します。
2) ネットワークは、公開鍵に対応する秘密鍵を使用してクライアントを認証します。
3) クライアントは、ネットワークが特定の公開鍵を所有していることを認識します。クライアントは、その公開鍵に対応する ID を持っているかどうかを確認します。
4) クライアントは、ネットワークの公開鍵に関連付けられた ID を使用して、サーバーに自身の ID を証明します。
クライアントは、どのネットワークに接続するかを事前に知る必要はありません。