WPA2企业:对于预先配置的客户端来说，当涉及到Rogue时没有风险？

Question

我们使用PEAP和MS 2作为默认的内部身份验证。

当涉及到流氓AP时，我担心安全风险，但一位同事告诉我，预先配置的客户没有风险。

他告诉我，只有那些没有预先配置WiFi的客户才会有风险，因为大多数用户都会信任假证书。相反，对于预先配置的客户端，所有请求者都会删除或拒绝连接，用户将不被允许信任假证书。但这是为什么？也许是因为请求者检查是否已经为该SSID安装了证书？

而且，在这件事上，请求者一直是如此安全吗？或者补丁是在时间上被应用的？如果是后者，我如何知道何时应用了补丁程序，以及在哪个操作系统版本中应用了补丁？这将是有帮助的，因为，例如，我可以建议苹果移动设备只使用iOS 7和更高版本(我只是猜测，我不知道它是否是正确的版本)。

Answer 1

理论上，PEAP交换只发生在由CA信任的证书建立的隧道上。

当出现不受信任证书时，客户端行为取决于单个UX实现。我的Android8.1手机将提示我接受一个不受信任的证书，我的MacOS塞拉利昂机器将继续进行连接。

虽然应用广泛，但MsChapsv2并不是一种安全的内部隧道认证机制！它可以在FPGA上几个小时内以100%的成功率直接计算，或者只需几百美元的云计算即可。

Answer 2

绝对没有定义如何将Wifi网络的SSID与EAP端点使用的TLS服务器证书相关联的标准。(必须定义一个类似于RFC 6125的标准，所有实现者都必须采用这一标准。)

这就是为什么建议使用专用根CA来颁发EAP-TLS服务器证书，并将WPA请求者配置为完全信任此专用根CA来连接到特定ESSID的Wifi网络。