Я бы хотел обновить свой WiFi с режима «WPA2 Personal» до режима «WPA2 Enterprise», потому что я знаю, что в принципе на WiFi, защищенном с помощью «WPA2 Personal», устройства, которые знают PSK, могут прослушивать трафик друг друга после захвата. связь между станцией и точкой доступа. Чтобы уменьшить влияние, которое будет иметь одно скомпрометированное устройство на Wi-Fi (в режиме «WPA2 Personal»), оно сможет расшифровать трафик другого бескомпромиссного клиента WiFi, если до этого он перехватывал «связанные запросы» от другого клиенты в смешанном режиме / в режиме мониторинга) Я бы хотел обновить свой WiFi до уровня безопасности "WPA2 Enterprise", где, насколько я понимаю, это больше невозможно.
Теперь, к сожалению, для "WPA2 Enterprise" вам нужен сервер RADIUS.
Теперь, насколько я понимаю, сервер RADIUS только выполняет аутентификацию, но не выполняет шифрование или обмен материалом ключа. Таким образом, в основном, AP получает запрос на связывание от STA, клиент предоставляет учетные данные, затем AP передает их на сервер RADIUS, сервер RADIUS говорит, что «учетные данные в порядке», затем AP позволяет STA связываться, в противном случае нет.
Это правильная модель? Если это так, то сервер RADIUS - это просто база данных, полная учетных данных пользователя (пар имени пользователя и пароля). Если это так, то мне любопытно, зачем им для этого нужен полноценный серверный компьютер, поскольку даже для тысяч пользователей имена пользователей и пароли не требуют большого количества данных для хранения, а проверка учетных данных является довольно простой задачей, так что кажется, что это может быть легко сделано самим AP. Так зачем для этого нужен выделенный сервер?
Так что, возможно, я ошибся, и сервер RADIUS используется не только для аутентификации, но и для фактического шифрования? Если STA отправляет данные в сеть с использованием «WPA2 Enterprise», она шифрует ее с помощью некоторого сеансового ключа, затем AP получает зашифрованные данные, но, в отличие от «WPA2 Personal», не может их расшифровать, поэтому она передает данные на на сервер RADIUS, который имеет ключевой материал (и вычислительные мощности) для его расшифровки. После того, как RADIUS получил чистый текст, он передает незашифрованный материал обратно в проводную сеть. Это как это сделать?
Причина, по которой я хочу это знать, заключается в следующем. У меня здесь довольно старое устройство, на котором работает сервер RADIUS. Но, как я уже сказал, устройство довольно старое и, следовательно, реализует старую версию RADIUS с известными недостатками безопасности. Теперь я хотел бы знать, не нарушит ли это мою безопасность Wi-Fi, если он используется для шифрования в режиме «WPA2 Enterprise». Если злоумышленник может общаться с сервером RADIUS, когда он не прошел проверку подлинности, это может поставить под угрозу безопасность моей сети, поэтому я не должен этого делать. С другой стороны, если злоумышленник может общаться только с точкой доступа, которая, в свою очередь, обращается к серверу RADIUS для проверки учетных данных, то «уязвимый сервер RADIUS» может не представлять большой проблемы, поскольку злоумышленник не получит в сеть WiFi, и, следовательно, не сможет общаться с сервером RADIUS, во-первых. Единственным устройством, взаимодействующим с сервером RADIUS, будет сама точка доступа для проверки учетных данных со всем сгенерированным материалом ключа и криптографией, выполненной на самой (бескомпромиссной) точке доступа. Злоумышленник будет отозван и, следовательно, не сможет подключиться к сети и использовать уязвимости на потенциально уязвимом сервере RADIUS.
Так как именно сервер RADIUS связан с безопасностью "WPA2 Enterprise"?
источник
WPA Enterprise (WPA с EAP) позволяет использовать множество других методов аутентификации, таких как цифровые сертификаты, токены RSA и т. Д. Он должен быть реализован с сервером радиуса, поскольку все эти методы выходят за рамки простых имен пользователей + паролей, а протокол радиуса является Стандарт де-факто для большинства систем, которым требуется AAA (аутентификация, авторизация, учет).
Как говорится,
1) радиус-сервер может быть легко защищен правилами брандмауэра, принимающими пакеты только от точек доступа (wifi-клиент никогда не будет говорить напрямую с радиус-сервером)
2) использование старого радиуса может не работать, я рекомендую один из последних серверов freeradius
Подробнее о том, как это работает и что вам нужно сделать: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?
источник
FreeRadius с удовольствием будет работать на Raspberry PI. Обычная операционная система - Raspbian, которая является разновидностью Debian, поэтому она будет делать все, что вам может потребоваться от сервера, например, DHCP / DNS. Это дешево - 40 долларов за чистую доску - но бюджет 80 или 90 долларов, чтобы иметь дополнительные опции - такие, как корпус и блок питания ... Я уже несколько лет работаю с Pi на расстоянии -24 / 7. Он также имеет zenmap и Wireshark. Это платформа для создания экспериментов, поскольку она работает с SD-карты, и вы можете скопировать SD-карту на свой ПК. Попробуйте что-нибудь и восстановите SD с вашего ПК, если вы его испортили.
источник