Geht der Authentifizierungsmechanismus von 802.1X davon aus, dass Sie bereits eine Verbindung zum vertrauenswürdigen Netzwerk hergestellt haben? Was mich verwirrt, ist, dass, wenn ich einen geklonten Zugriffspunkt einrichte, um Benutzer dazu zu bringen, sich über mich zu verbinden, sie sich dann mit mir verbinden, bevor sie sich mit dem richtigen Netzwerk verbunden haben, wie sollen sie dann jemals merken, dass ich nicht das richtige Netzwerk bin? Mein zwielichtiger Zugriffspunkt kann 802.1X verwenden und ich kann ihnen meine Authentifizierungsnachrichten geben und sie können meinen öffentlichen Schlüssel zum Entschlüsseln verwenden? Er sagt ihnen nicht, dass sie sich im falschen Netzwerk befinden?
Ich nehme an, dass 802.1X diese Art von Angriff nur dann gut verhindern kann, wenn Sie bereits den öffentlichen Schlüssel des vertrauenswürdigen Netzwerks auf Ihrem Computer haben. Aber jetzt bin ich wieder verwirrt: Woher weiß mein Computer, welchen öffentlichen Schlüssel er verwenden soll, wenn ich mich mit einem Netzwerk verbinde? Er kann die öffentlichen Schlüssel nicht nach SSIDs speichern, da SSIDs nicht eindeutig sind??
Antwort1
[W]ieher weiß mein Computer, welchen öffentlichen Schlüssel er verwenden soll, wenn ich mich mit einem Netzwerk verbinde? Er kann die öffentlichen Schlüssel nicht nach SSIDs speichern, da SSIDs nicht eindeutig sind?
Der Client verfügt über einen Satz von Anmeldeinformationen, die in verschiedenen Netzwerken verwendet werden. Jede Anmeldeinformation ist mit einem öffentlichen Schlüssel verknüpft, der dem jeweiligen Netzwerk gehört. Die Authentifizierung läuft wie folgt ab:
1) Der Client stellt eine Verbindung zum Netzwerk her.
2) Das Netzwerk authentifiziert sich gegenüber dem Client mit dem privaten Schlüssel, der seinem öffentlichen Schlüssel entspricht.
3) Der Client weiß nun, dass das Netzwerk einen bestimmten öffentlichen Schlüssel besitzt. Der Client prüft, ob er eine Identität hat, die diesem öffentlichen Schlüssel entspricht.
4) Der Client weist dem Server seine Identität mit der Identität nach, die der Client mit dem öffentlichen Schlüssel des Netzwerks verknüpft hat.
Der Client muss nicht im Voraus wissen, mit welchem Netzwerk er sich verbindet.