>2) Durante l'handshake il client invia in "chiaro" un pacchetto EAPOL
>Indentity Response in cui e' possibile leggere la username (basta
>wireshark); questo permette di raccogliere un buon numero di utenze in un
>arco di tempo non troppo lungo; dipende da quanto e' usata la rete
>wireless.
Vero, ma da seven in poi l'utente che gira in chiaro può essere fittizio.
Indubbiamente però il fatto di usare delle semplici credenziali lo espone ai
problemi legati alla gestione delle credenziali.
>Per tornare al tuo problema: e' probabile che i log che vedi siano generati
>da un tuo utente che abbia un dispositivo (smartphone?) configurato male e
>che nel corso della giornata tenti in automatico di autenticarsi
Inserendo degli username a caso?
> a meno di coincidenze astrali vedo complicato che un passante abbia il
> vostro stesso SSID e wpa2 PEAP.
Se il ssid è in broadcast l'access point comunica il tipo di sicurezza e il
tipo di autenticazione, quindi i dispositivi si autoconfigurano e ti
presentano il popup di autenticazione bello pronto, ma utente e password li
inserisce a mano l'utente, a meno che il client non sia un tool di
penetrazione o un pc windows in dominio che tenta di usare le proprie
credenziali di dominio.
> Per completezza, leggo da qualche parte che e' possibile usare PEAP in
> associazione a EAP-TLS
Credo che questa sia una questione di termini, PEAP è protetto dal
certificato del server, cosa che qualcuno considera comunque una forma di
TLS, ma non è la stessa cosa di EAP-TLS dove client e server non usano i
certificati solo per proteggere la comunicazione ma anche per autenticarsi a
vicenda.
Ciao,
Massimo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
