Nuestro team especializado pasados muchos días de investigación y recopilación de de datos, obtuvimos la respuesta, nuestro deseo es que te sea útil en tu proyecto.
Solución:
La identidad anónima se usa en EAP para que el autenticador pueda elegir el servidor de autenticación correcto para procesar las credenciales. Por ejemplo, enviar identidades anónimas de [email protected] al servidor RADIUS de Example.
Consulte aquí para obtener más información.
La identidad anónima se envía en claro. Algunos sistemas cliente tienen una opción de privacidad para la identidad anónima. En este caso en lugar de [email protected] siendo enviado en la respuesta del cliente, sólo @example se envía, protegiendo la identidad real del usuario. Todo lo que un intruso puede ver es que quiere autenticarse con Ejemplo.
¿Qué es la “identidad anónima” en WPA empresarial?
Casi todos los métodos EAP en uso para 802.1X con autenticación inalámbrica WPA/WPA2 utilizan un método de autenticación “externo” simplemente para establecer un túnel TLS entre el cliente y el servidor de autenticación (es decir, un servidor RADIUS) y una autenticación “interna” para proporcionar credenciales a través del túnel TLS seguro.
La “identidad anónima” se usa para el proceso de autenticación externo y no necesita coincidir con las credenciales proporcionadas en la autenticación interna, aunque si no se proporciona una identidad anónima, el valor predeterminado es usar la identidad interna (también conocida como nombre de usuario) para ambos.
¿Quién llega a ver esta identidad?
esto depende Dado que la autenticación externa no está protegida por ningún tipo de encriptación, nada que pueda ver/procesar la autenticación externa. Esta lista contiene algunas (pero no necesariamente todas) de las cosas que posiblemente pueden ver la identidad externa:
- Dispositivos cerca del cliente que pueden “escuchar” y capturar la autenticación externa
- El NAS (dispositivo que reenvía el tráfico asociado con la autenticación entre el cliente y el servidor RADIUS), que suele ser el AP o el controlador inalámbrico
- El servidor RADIUS que proporciona autenticación (que en realidad tiene acceso a las identidades internas y externas)
- Servidores RADIUS intermedios si el primer servidor RADIUS envía la solicitud a otros servidores RADIUS
- Cualquier dispositivo que forme la ruta de red entre el NAS y el servidor RADIUS o entre los servidores RADIUS (cuando las autenticaciones son a través de proxy); si la ruta se extiende fuera de la red controlada localmente, esto puede incluir dispositivos en Internet o controlados por un tercero
- Cualquier sistema que tenga acceso a los datos de arriba o que exporte datos a
¿Qué está ofuscado por esta identidad anónima?
Como ya se señaló, el uso de la identidad anónima evita la acción predeterminada de usar la identidad interna también para la identidad externa. Lo que se ofusca exactamente dependerá del suplicante OS/EAP y las necesidades del proceso de autenticación en uso.
Específicamente, siempre debería poder ofuscar [at least part of] el nombre de usuario.
Para algunos solicitantes de EAP, puede sustituir un nombre de usuario y un dominio/reino diferentes. Para otros (el solicitante EAP nativo de Windows para uno), es posible que solo pueda sustituir el nombre de usuario.
Cualquier requisito del proceso de autenticación también determinará qué se puede ofuscar. Por ejemplo, si el servidor RADIUS usa el dominio/ámbito para manejar la autenticación, es posible que deba mantener el dominio/ámbito incluso si su sistema operativo le permite cambiarlo. O bien, un servidor RADIUS podría usar la coincidencia de expresiones regulares en el nombre de usuario para determinar cómo manejar la autenticación externa (ejemplo: nombres de usuario que contienen xxx se manejan localmente, otros se envían a otro servidor RADIUS), por lo que su identidad anónima posiblemente tendría que mantener al menos la parte del nombre de usuario si necesitara coincidir con la expresión regular.
De la documentación (solo un ejemplo de configuración):
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
network=
ssid="example"
scan_ssid=1
key_mgmt=WPA-EAP
eap=TTLS
identity="[email protected]"
anonymous_identity="[email protected]"
password="foobar"
ca_cert="/etc/cert/ca.pem"
phase2="auth=MD5"
Es su identidad la que es ocultar porque (su identidad REAL) se envía solo a través de un túnel TLS encriptado.
Hay tres entradas:
- identidad_anonima=”[email protected]”
- identidad=”nombre de usuario”
- contraseña=”contraseña”
Puede ver su identidad anónima representada por el string utilizado en anonymous_identity El parámetro se envía sin cifrar, mientras que su identidad real (username, password) se envían solo encriptados y nadie los ve.