WPA2 Enterprise is een zakelijke oplossing. Dit werkt normaliter doordat alle PC's in beheer zijn van de IT afdeling die het certificaat van het interne WiFi uitrollen op alle apparatuur. Je krijgt dan een profiel mee uit policy om het SSID al bekend te maken.
Gevolg, je laptop connect automatisch doordat het SSID bekend is. Het certificaat komt uit een root die jouw PC vertrouwd, geen waarschuwing dus en authenticatie gaat seamless middels MSChapv2 of certificaten en dergelijke methodes die geen interactie vereisen. Seamless WiFi/LAN roaming zonder password of username prompts.
Op de thuis PC heb je geen certificaten geimporteerd waardoor je deze melding krijgt, je computer geeft aan het certificaat niet te vertrouwen en vraagt of jij dat wel doet om alsnog verder te gaan. Op een zakelijke PC mag je als het goed is geen verbinding maken als het certificaat niet wordt vertrouwd om AP spoofing/cloning tegen te gaan. Het geclonede AP beschikt hopelijk niet over de private key van het certificaat en kan geen geldige uitwisseling produceren met dezelfde signature. De Enterprise PC zal dit uiteraard opmerken met de juiste configuratie. In principe doet MS dus prima zijn werk met deze melding, de uitleg had blijkbaar beter gekund.
https://docs.microsoft.co...-and-wireless-deployments
https://docs.microsoft.co...ireless-access-deployment
https://docs.microsoft.co...nd-2012/hh831740(v=ws.11)
Kleine aanvulling, de techniek om netwerk apparatuur in een universeel formaat door te laten sturen is 'EAP':
Wikipedia: Extensible Authentication Protocol
Het nut is dat bij een nieuw authenticatie protocol geen firmware update van de apparatuur nodig is. Binnen EAP kun je gebruik maken van MSChap(v1/2) of andere protocollen. Deze passen allen binnen de EAP container samen met toekomstige protocollen omdat de specificaties van de 'container' reeds bekend zijn.
Echter is EAP zelf niet versleutelt waardoor de zwakkere (bijvoorbeeld) MSChap uitwisseling kan worden gecaptured om offline aan te vallen. Om te zorgen dat dit niet mogelijk is kun je gebruik maken van PEAP, dit protocol voegt een TLS laag toe aan het EAP protocol waardoor de payload niet meer is te lezen. Voor een enkelzijdige TLS uitwisseling wordt gebruik gemaakt van een [EC](R/D)SA sleutelpaar; opgeslagen in X509 formaat beter bekend als een certificaat. Dit certificaat wordt door de RADIUS/NPS server aangeboden aan de client die vervolgens verkeer kan beveiligen met de public key van de server. De server kan dit decrypten met de private key. Naast dat dit nodig is voor de initiele key-exchange verifieert men hiermee de identiteit van de server wat precies is waar dit alles over gaat.
Wikipedia: Protected Extensible Authentication Protocol
Wikipedia: MS-CHAP
Wikipedia: RADIUS
Wikipedia: RSA (cryptosystem)
Wikipedia: X.509
Wikipedia: Diffie–Hellman key exchange
[
Voor 76% gewijzigd door
Pakjebakmeel op 19-11-2019 22:16
. Reden: Sorry lang verhaal ]
:strip_icc():strip_exif()/u/4421/sas.jpg?f=community)
/u/265722/crop5a65d2055c45e_cropped.png?f=community)
:strip_icc():strip_exif()/u/92426/garfield_avatar.jpg?f=community){kind=avatar}