Chciałbym zaktualizować swoje WiFi z trybu „WPA2 Personal” do trybu „WPA2 Enterprise”, ponieważ wiem, że w zasadzie w sieci Wi-Fi zabezpieczonej za pomocą „WPA2 Personal” urządzenia, które znają PSK, mogą wąchać nawzajem ruch po ich przechwyceniu powiązanie między stacją a punktem dostępowym. Aby zmniejszyć efekt, jaki miałoby jedno zhakowane urządzenie w sieci WiFi (w trybie „WPA2 Personal”, byłby w stanie odszyfrować ruch innego, niezakłóconego klienta WiFi, gdyby wcześniej przechwycił „powiązane żądania” od drugiego klienci w trybie rozwiązanym / monitorowania) Chciałbym zaktualizować swoje WiFi do bezpieczeństwa „WPA2 Enterprise”, gdzie, zgodnie z moim zrozumieniem, nie jest to już możliwe.
Niestety, w przypadku „WPA2 Enterprise” potrzebujesz serwera RADIUS.
Teraz, o ile rozumiem, serwer RADIUS wykonuje tylko uwierzytelnianie, ale nie wykonuje szyfrowania ani wymiany klucza. Zasadniczo więc AP otrzymuje żądanie powiązania od STA, klient podaje poświadczenia, następnie AP przekazuje je do serwera RADIUS, serwer RADIUS mówi „poświadczenia są OK”, a następnie AP umożliwia STA skojarzenie, w przeciwnym razie nie.
Czy to odpowiedni model? Jeśli tak, to serwer RADIUS to po prostu baza danych pełna danych uwierzytelniających użytkownika (pary nazwa użytkownika i hasło). Jeśli tak, to jestem ciekawy, dlaczego wymagają do tego w pełni funkcjonalnej maszyny serwerowej, ponieważ nawet dla tysięcy użytkowników nazwy użytkowników i hasła nie zawierają zbyt wielu danych, a weryfikacja poświadczeń jest dość podstawowym zadaniem, więc wydaje się, że jest to rzecz, którą może łatwo zrobić sam AP. Dlaczego więc wymaga do tego dedykowanego serwera?
Może więc pomyliłem się i serwer RADIUS służy nie tylko do uwierzytelniania, ale do faktycznego szyfrowania? Jeśli STA wysyła dane do sieci za pomocą „WPA2 Enterprise”, szyfruje je pewnym kluczem sesji, wówczas AP odbiera zaszyfrowane dane, ale w przeciwieństwie do „WPA2 Personal”, nie może ich odszyfrować, więc przekazuje dane na do serwera RADIUS, który ma kluczowy materiał (i moc obliczeniową) do jego odszyfrowania. Po uzyskaniu czystego tekstu RADIUS przesyła niezaszyfrowany materiał z powrotem do sieci przewodowej. Czy tak to się robi?
Powód, dla którego chcę to wiedzieć, jest następujący. Mam tutaj dość stare urządzenie, na którym działa serwer RADIUS. Ale, jak powiedziałem, urządzenie jest dość stare i dlatego implementuje starą wersję RADIUS ze znanymi słabościami bezpieczeństwa. Teraz chciałbym wiedzieć, czy zagrażałoby to mojemu bezpieczeństwu Wi-Fi, jeśli zostanie użyte do szyfrowania w trybie „WPA2 Enterprise”. Jeśli osoba atakująca może rozmawiać z serwerem RADIUS, gdy nie jest uwierzytelniona, może to zagrozić bezpieczeństwu mojej sieci, więc nie powinienem tego robić. Z drugiej strony, jeśli atakujący może rozmawiać tylko z AP, który z kolei rozmawia z serwerem RADIUS w celu sprawdzenia poświadczeń, wówczas „wrażliwy serwer RADIUS” może nie stanowić większego problemu, ponieważ atakujący nie uzyska do sieci Wi-Fi, a tym samym nie byłby w stanie rozmawiać z serwerem RADIUS. Jedynym urządzeniem komunikującym się z serwerem RADIUS byłby sam AP, do sprawdzania poświadczeń, z wygenerowanym całym kluczem i kryptografią na samym (bezkompromisowym) AP. Osoba atakująca zostanie odwołana, a tym samym nie będzie w stanie dołączyć do sieci i wykorzystać słabości potencjalnie podatnego na zagrożenia serwera RADIUS.
Jak dokładnie serwer RADIUS jest zaangażowany w bezpieczeństwo „WPA2 Enterprise”?
źródło
WPA Enterprise (WPA z EAP) pozwala na stosowanie wielu innych metod uwierzytelniania, takich jak certyfikaty cyfrowe, tokeny RSA itp. Należy je zaimplementować za pomocą serwera radius, ponieważ wszystkie te metody wykraczają poza proste nazwy użytkowników + hasła, a protokołem radius jest de facto standard dla większości systemów wymagających AAA (uwierzytelnianie, autoryzacja, księgowość).
To powiedziawszy,
1) serwer radius może być łatwo chroniony przez reguły zapory ogniowej, przyjmując pakiety tylko od AP (klient Wi-Fi nigdy nie będzie rozmawiać bezpośrednio z serwerem radius)
2) użycie starego promienia może nie działać, polecam jeden z najnowszych serwerów Freeradius
Więcej szczegółów na temat tego, jak to działa i co musisz zrobić: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?
źródło
FreeRadius z radością będzie działał na Raspberry PI. Zwykłym systemem operacyjnym jest Raspbian, który jest smakiem Debiana, więc zrobi wszystko, co powinien zrobić serwer, np. DHCP / DNS. Jest tani - 40 dolarów za gołe wyżywienie - ale budżet 80 lub 90 dolarów na dodatkowe „opcje” - takie jak obudowa i zasilacz ... Od kilku lat działam w promieniu na Pi / 7. Ma również zenmap i Wireshark. Jest to platforma do testowania, ponieważ działa na karcie SD i można skopiować kartę SD na komputer. Spróbuj czegoś i przywróć kartę SD z komputera, jeśli ją zepsułeś.
źródło