Anonieme identiteit

  • 23 augustus 2017
  • 5 reacties
  • 1158 keer bekeken

Reputatie 3
Badge +4
Ik zat van de week een stuk te lezen over te optimale instellingen voor een WPA2-EAP wifi verbinding zoals Wifispots en zoals ik ook thuis gebruik.

Ik las dat zowel de inner als de outer tunnel een username nodig hebben maar dat die niet perse dezelfde hoeven zijn. Aanbevolen werd bij alle clients anonieme identiteit in te stellen op anonymous zodat de username in de outertunnel dus anonymous word voor iedereen en dus niet meer gemakkelijk te sniffen is. En dus weer een extra security drempel.

Heb dat ingesteld bij mij en werkte meteen. Een andere outer tunnel username dan anonymous kon ik niet instellen dan werkt het niet meer alleen anonymous werkte bij mij dan. Ik denk dat je natuurlijk ook nog een andere username zou kunnen aanmaken en die ervoor gebruiken maar dat heeft volgens mij geen nut dit is prima.

Ik heb het ook getest bij Ziggo Wifispots daar werkt het helaas niet jammer. Waarom niet?




Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

5 Reacties

Reputatie 7
De vraag staat al een maandje open en ik kan je eigenlijk niet echt een goed antwoord geven. Dan zal je zeggen, geef dan geen antwoord 🤣 😂 Je hebt gelijk!

Maar is het niet zo dat je via Wifispots niet anoniem kan surfen omdat ze bij Ziggo willen zien wie jij bent en je als persoon op elke Ziggo Wifispots kan internetten. Thuis is dat misschien anders, dan kan he het best anoniem plaatsen want je bent dan toch op het Ziggo netwerk bezig. Eigenlijk kan ik me iets anders niet bedenken?!

Misschien dat er nog een keer een moderator langs komen en het antwoord kan geven 🙂
Anoniem via Ziggo, bestaat niet! daarvoor zal je minimaal TOR nodig hebben. 😉
Maar is het niet zo dat je via Wifispots niet anoniem kan surfen

Je kunt niet anoniem verbinding maken met Ziggo wifispots, je moet altijd een naam en wachtwoord ingeven.
Reputatie 3
Badge +4
Het gaat erom dat de usernaam niet meer te zien is in de handshake van de outertunnel. In de innertunnel maak je verbinding met de radius/database bij ziggo met de username/password die we allemaal gebruiken voor wifispots. In de outertunnel is de username nu te zien als je die op anoniem zet is die niet meer te zien maar je moet in de innertunnel nog steeds inloggen bij ziggo zoals je nu ook wel doet.

Dat is een extra veiligheid hierdoor is je username beter beveiligd niet zichtbaar als iemand het verkeer snift. Dus het veranderd niets aan hoe het nu is het is een extra veilig. Je ziet ook op mijn plaatjes dat ik nog steeds inlog in de innertunnel zoals we nu ook moeten doen alleen in de outertunnel is die login niet van toepassing maar het laat wel je username zien in de handshake die dus door de lucht gaat.

Het is natuurlijk logisch dat je niet anoniem kan aanloggen bij ziggo wifispots maar dat bedoel ik ook niet. Ook op mijn prive wpa2-eap kan je niet anoniem verbinding maken alleen wel de outertunnel waar de versleuteling word opgezet daarna gaan je usernaam en password versleuteld uitgewisseld worden en dan pas krijg je toegang. Die outertunnel handshake kan je sniffen en daardoor kan je gebruikersnaam zichtbaar zijn of die is zichtbaar.

Tenminste volgens het verhaal wat ik gelezen had.
Ik weet niet meer welk stuk het precies was maar hier staat ongeveer hetzelfde:
https://security.stackexchange.com/questions/100684/what-is-anonymous-identity-in-enterprise-wpa
https://sites.google.com/site/amitsciscozone/home/switching/peap---protected-eap-protocol

Maar je kan ook zelf eens googlen naar wpa2-eap anonymous outer tunnel

Mij lijkt het een extra beveiliging die je gebruikersnaam verhult bij het aanloggen op wifispots.
Reputatie 3
Badge +4
Ik heb het antwoord denk ik gevonden in deze tekst:

I still don't get it. So who sees it? An eavesdropper? What's the point of having an anonymous identity instead of leaving it blank then? – Droplet Sep 20 '15 at 12:36


So who sees it? Only the server will know it is really you. An eavesdropper? it is a difficult scenario, but feasible. What's the point of having an anonymous identity instead of leaving it blank then? Good question. I have no precise answer for it, but may be the specifications (RFCs) stated that somehow, in general empty strings/inputs are not very welcome. @Hugo – user45139 Sep 20 '15 at 14:02
1

It's not blank because if the authentication needs to be forwarded to a different RADIUS server - notably this is likely with eduroam - the intermediate servers still need to see where to route it to. They can't see the non-anonymous identity because it's encrypted; the outer ("anonymous") one thus still needs to contain routing info (usually the @realm part of a user@realm ID, with the user included in the inner identity only. – Darael Aug 3 '16 at 13:54


Er is geen verschil tussen een lege username in de outer tunnel zoals we nu gebruiken en anonymous zoals ik nu gebruik. Anders word het als je met een bepaalde radius server verbinding moet/wil maken dan moet je op die plek een realm gebruiken.

De echte username word niet gezonden in de handshake van de outer tunnel want die word leeg gelaten ik heb daar nu anonymous staan.