WPA2企业:对于预先配置的客户端来说，当涉及到Rogue时没有风险？

Question

我们使用PEAP和MS 2作为默认的内部身份验证。

当涉及到流氓AP时，我担心安全风险，但一位同事告诉我，预先配置的客户没有风险。

他告诉我，只有那些没有预先配置WiFi的客户才会有风险，因为大多数用户都会信任假证书。相反，对于预先配置的客户端，所有请求者都会删除或拒绝连接，用户将不被允许信任假证书。但这是为什么？也许是因为请求者检查是否已经为该SSID安装了证书？

而且，在这件事上，请求者一直是如此安全吗？或者补丁是在时间上被应用的？如果是后者，我如何知道何时应用了补丁程序，以及在哪个操作系统版本中应用了补丁？这将是有帮助的，因为，例如，我可以建议苹果移动设备只使用iOS 7和更高版本(我只是猜测，我不知道它是否是正确的版本)。

Answer 1

请求者可以通过三种方式验证其与合法服务器的对话：

• 验证RADIUS服务器提供的证书的属性是否与它所期望的匹配。这通常是CN。
• 验证其受信任CA之一与RADIUS服务器提供的证书之间是否存在信任关系(请注意，RADIUS服务器可以发送其他证书以帮助完成此链)。
• 检查服务器是否发送了OCSP固定响应作为握手的一部分。这实际上是代表客户端执行OCSP检查并转发响应的服务器。

配置文件/配置通常绑定到SSID。如果找到与当前SSID匹配的配置，则配置将用于确定要执行哪些检查并为预期的CN和CA设置值。

如果这些检查失败，那么在启动EAP方法的phase2之前，TLS会话将被销毁。

如果未为SSID找到配置文件/配置，则大多数请求者(使用Win10和macOS High测试)将提示用户接受所提供的证书，但不会启用上述任何检查结果的临时配置配置文件。如果RADIUS服务器提供的证书发生更改，请求方将提示用户重新确认他们信任这个新证书，同时没有显式地告诉他们证书已经更改。如果用户接受新的证书，那么请求者将修改现有的临时配置并启动phase2。

所以你的同事在所有方面都是正确的。

至于修补，这是一个很难回答的问题。据我所知，自从它被引入到各种操作系统中以来，这种行为一直是一致的，但我不能保证。我知道微软在Win 2K SP4中的最初版本至少展示了上述行为，并且知道Win 10也证明了这一点，但除此之外，我不知道它是否是一致的。