¿El mecanismo de autenticación de 802.1X supone que ya se ha conectado inicialmente a la red confiable? Lo que me desconcierta es que si configuro un punto de acceso clonado para engañar a los usuarios para que se conecten a través de mí, si se conectaran a mí antes de conectarse a la red adecuada, ¿cómo se darían cuenta de que no soy la red adecuada? ¿Mi punto de acceso Dodgey puede usar 802.1X y puedo darles mis mensajes de autenticación y ellos pueden usar mi clave pública para descifrar? ¿No les dice que están en la red equivocada?
Supongo que 802.1X solo es bueno para prevenir este tipo de ataque si ya tiene la clave pública de la red confiable en su máquina. Pero ahora estoy confundido otra vez: ¿cómo sabe mi computadora qué clave pública usar cuando me conecto a una red? ¿No puede almacenar las claves públicas según los SSID porque los SSID no son únicos?
Respuesta1
¿[C]ómo sabe mi computadora qué clave pública usar cuando me conecto a una red? ¿No puede almacenar las claves públicas de acuerdo con los SSID porque los SSID no son únicos?
El cliente tiene un conjunto de credenciales que se utiliza en varias redes. Cada credencial está asociada a una clave pública, propiedad de esa red correspondiente. La autenticación se realiza de la siguiente manera:
1) El cliente se conecta a la red.
2) La red se autentica ante el cliente utilizando la clave privada que corresponde a su clave pública.
3) El cliente ahora sabe que la red posee una clave pública particular. El cliente comprueba si tiene una identidad que corresponda a esa clave pública.
4) El cliente demuestra su identidad al servidor con la identidad que el cliente asoció con la clave pública de la red.
El cliente no necesita saber de antemano a qué red se está conectando.