Что делает сервер RADIUS в настройке WPA2 Enterprise?

17

Я бы хотел обновить свой WiFi с режима «WPA2 Personal» до режима «WPA2 Enterprise», потому что я знаю, что в принципе на WiFi, защищенном с помощью «WPA2 Personal», устройства, которые знают PSK, могут прослушивать трафик друг друга после захвата. связь между станцией и точкой доступа. Чтобы уменьшить влияние, которое будет иметь одно скомпрометированное устройство на Wi-Fi (в режиме «WPA2 Personal»), оно сможет расшифровать трафик другого бескомпромиссного клиента WiFi, если до этого он перехватывал «связанные запросы» от другого клиенты в смешанном режиме / в режиме мониторинга) Я бы хотел обновить свой WiFi до уровня безопасности "WPA2 Enterprise", где, насколько я понимаю, это больше невозможно.

Теперь, к сожалению, для "WPA2 Enterprise" вам нужен сервер RADIUS.

Теперь, насколько я понимаю, сервер RADIUS только выполняет аутентификацию, но не выполняет шифрование или обмен материалом ключа. Таким образом, в основном, AP получает запрос на связывание от STA, клиент предоставляет учетные данные, затем AP передает их на сервер RADIUS, сервер RADIUS говорит, что «учетные данные в порядке», затем AP позволяет STA связываться, в противном случае нет.

Это правильная модель? Если это так, то сервер RADIUS - это просто база данных, полная учетных данных пользователя (пар имени пользователя и пароля). Если это так, то мне любопытно, зачем им для этого нужен полноценный серверный компьютер, поскольку даже для тысяч пользователей имена пользователей и пароли не требуют большого количества данных для хранения, а проверка учетных данных является довольно простой задачей, так что кажется, что это может быть легко сделано самим AP. Так зачем для этого нужен выделенный сервер?

Так что, возможно, я ошибся, и сервер RADIUS используется не только для аутентификации, но и для фактического шифрования? Если STA отправляет данные в сеть с использованием «WPA2 Enterprise», она шифрует ее с помощью некоторого сеансового ключа, затем AP получает зашифрованные данные, но, в отличие от «WPA2 Personal», не может их расшифровать, поэтому она передает данные на на сервер RADIUS, который имеет ключевой материал (и вычислительные мощности) для его расшифровки. После того, как RADIUS получил чистый текст, он передает незашифрованный материал обратно в проводную сеть. Это как это сделать?

Причина, по которой я хочу это знать, заключается в следующем. У меня здесь довольно старое устройство, на котором работает сервер RADIUS. Но, как я уже сказал, устройство довольно старое и, следовательно, реализует старую версию RADIUS с известными недостатками безопасности. Теперь я хотел бы знать, не нарушит ли это мою безопасность Wi-Fi, если он используется для шифрования в режиме «WPA2 Enterprise». Если злоумышленник может общаться с сервером RADIUS, когда он не прошел проверку подлинности, это может поставить под угрозу безопасность моей сети, поэтому я не должен этого делать. С другой стороны, если злоумышленник может общаться только с точкой доступа, которая, в свою очередь, обращается к серверу RADIUS для проверки учетных данных, то «уязвимый сервер RADIUS» может не представлять большой проблемы, поскольку злоумышленник не получит в сеть WiFi, и, следовательно, не сможет общаться с сервером RADIUS, во-первых. Единственным устройством, взаимодействующим с сервером RADIUS, будет сама точка доступа для проверки учетных данных со всем сгенерированным материалом ключа и криптографией, выполненной на самой (бескомпромиссной) точке доступа. Злоумышленник будет отозван и, следовательно, не сможет подключиться к сети и использовать уязвимости на потенциально уязвимом сервере RADIUS.

Так как именно сервер RADIUS связан с безопасностью "WPA2 Enterprise"?

no.human.being
источник

Ответы:

16

WPA2 Enterprise основан на частях стандарта 802.11i, основанных на стандарте 802.1X. 802.1X НЕ требует RADIUS-сервера, но это обычно делается по старым причинам.

Роль сервера RADIUS только в начале соединения, но он делает одну маленькую вещь больше, чем вы упомянули. Как часть механизма аутентификации, материал ключа создается надежно на сервере RADIUS (и тот же материал ключа также генерируется на клиенте WPA2). После того, как сервер RADIUS сообщает AP, чтобы он принял этот запрос на соединение, сервер RADIUS отправляет этот материал ключа в сообщении «ключа» RADIUS (они повторно использовали сообщение / атрибут RADIUS MPPE-KEY, который Microsoft впервые ввел) в AP, поэтому AP знает, какие ключи для каждого пользователя на сеанс (включая парный временной ключ или PTK) использовать для этого сеанса. Это завершает участие сервера RADIUS.

Вы абсолютно правы в том, что для запуска RADIUS-сервера не требуется много серверной мощности. Так же, как DHCP-сервер или DNS-сервер для небольшой сети или домена, вам действительно не нужно оборудование «серверного класса» для его запуска. Вероятно, подойдет любая маленькая встроенная сетевая коробка с низким энергопотреблением. В современных сетях существует множество протоколов, где "серверный" конец не требует больших мощностей по современным стандартам. Просто потому, что вы слышите термин «сервер», не думайте, что это требует мощного серверного оборудования.


Предыстория

Видите ли, RADIUS изначально был способом переноса аутентификации с ваших PPP-серверов с коммутируемым модемом на централизованный сервер. Вот почему это означает «Удаленная аутентификация пользователя удаленного доступа» (это должна быть «Удаленная аутентификация пользователя удаленного доступа», но DIURAS звучит не так хорошо, как RADIUS). Когда PPP начал использоваться для аутентификации DSL (PPPoE, PPPoA) и аутентификации VPN (PPTP и L2TP-over-IPSec оба являются «PPP внутри зашифрованного туннеля»), было естественно продолжать использовать одни и те же серверы RADIUS для централизованной аутентификации для все серверы удаленного доступа вашего предприятия.

Первоначальные механизмы аутентификации в PPP отсутствовали, и для их создания потребовалось много участия органов стандартизации, поэтому в конечном итоге был создан расширяемый протокол аутентификации (EAP), который стал подключаемой системой типа аутентификации для аутентификации, подобной PPP. Естественно, RADIUS-серверы и PPP-клиенты были первыми, кому нужно было поддерживать EAP. Конечно, вы могли бы иметь свой коммутируемый модем / сервер PPP, или ваш VPN-сервер, или ваш сервер PPPoE / PPPoA (на самом деле, L2TP PPP), или что-то еще, внедрить EAP локально, но к настоящему времени RADIUS был настолько широко развернут что это были главным образом серверы RADIUS, которые осуществили это.

В конце концов кто-то хотел получить способ аутентификации, когда кто-то подключается к незащищенному порту Ethernet в холле или конференц-зале, поэтому для этого был создан «EAP over LAN». «EAPoL», как было известно, был стандартизирован как 802.1X. Позже 802.1X был применен к сетям 802.11 в IEEE 802.11i. А Wi-Fi Alliance создал программу сертификации / брендинга / маркетинга совместимости для 802.11i и назвал ее Wi-Fi Protected Access 2 (WPA2).

Таким образом, хотя ваша точка доступа 802.11 сама по себе может выполнять всю роль аутентификатора 802.1X (WPA2-Enterprise) (без помощи сервера RADIUS), это обычно не выполняется. Фактически, в некоторых точках доступа, которые могут использовать 802.1X автономно, они фактически встроили и открыли сервер RADIUS с открытым исходным кодом в свою прошивку и проводят аутентификацию 802.1X через RADIUS через обратную связь, потому что это проще подключить таким образом, чем пытаться внедрите свой собственный код аутентификатора EAP или скопируйте код из какого-либо программного обеспечения RADIUS-сервера с открытым исходным кодом и попытайтесь напрямую интегрировать его в демоны, связанные с прошивкой вашего AP, в 802.11.


Учитывая эту предысторию и в зависимости от того, сколько лет вашему предлагаемому RADIUS-серверу, важный вопрос заключается в том, реализует ли он типы EAP, которые вы хотите использовать для аутентификации в вашей сети. PEAP? TTLS?

Также обратите внимание, что RADIUS традиционно использует «Общий секрет», известный клиенту RADIUS (клиент RADIUS - это «Сервер доступа к сети»: точка доступа в данном случае, или сервер VPN или PPP, или другой «Сервер удаленного доступа» в другом случаи) и сервер RADIUS для аутентификации клиента и сервера RADIUS друг для друга, а также для шифрования их связи. Большинство серверов RADIUS позволяют указывать разные общие секреты для каждой точки доступа в зависимости от IP-адреса точки доступа. Таким образом, злоумышленник в вашей сети должен иметь возможность захватить этот IP-адрес и угадать этот общий секрет, чтобы сервер RADIUS мог с ним общаться. Если злоумышленник еще не был в сети, злоумышленник сможет только попытаться отправить специально созданные / поврежденные сообщения EAP, которые AP будет передавать через RADIUS на сервер RADIUS.

Spiff
источник
Я бы, наверное, использовал EAP-EKE или EAP-PWD, если смогу. Все, что я хочу сделать, - это защитить пользователей, которые могут подключаться к сети, от перехвата чужого трафика. Если бы WPA2-PSK установил «сеансовые ключи» через DH, это было бы идеально для меня, но, к сожалению (по любой причине), это не так. Мне не нужны сложные методы аутентификации. Все, что я хочу, - это запретить станциям перехватывать трафик друг друга. Во всем остальном я в порядке с безопасностью WPA2-PSK.
no.human.being
@ no.human.being Помните, что не все методы EAP поддерживают создание ключевого материала, необходимого для 802.11i / WPA2-Enterprise. Я не знаком с двумя типами, которые вы упомянули, поэтому вы можете проверить в другом месте, чтобы убедиться, что они подходят для этой цели.
Spiff
1
Ницца пиши. Вы не упомянули одну важную причину, по которой существует отдельный сервер. Это не относится к домашним развертываниям, но это большая часть того, «почему это существует». В любом корпоративном развертывании точки доступа на самом деле не заслуживают доверия, поскольку они расположены в общественных местах и ​​поэтому не должны содержать никакой пользовательской информации. Кроме того, с любым типом EAP, который предоставляет безопасный туннель клиенту (PEAP, TTLS, TLS), точка доступа даже не участвует в аутентификации вообще, поэтому она не может перехватить учетные данные пользователя, даже если кто-то скомпрометировал кого-то с лестница :)
боеприпасы Goettsch
3

WPA Enterprise (WPA с EAP) позволяет использовать множество других методов аутентификации, таких как цифровые сертификаты, токены RSA и т. Д. Он должен быть реализован с сервером радиуса, поскольку все эти методы выходят за рамки простых имен пользователей + паролей, а протокол радиуса является Стандарт де-факто для большинства систем, которым требуется AAA (аутентификация, авторизация, учет).

Как говорится,

1) радиус-сервер может быть легко защищен правилами брандмауэра, принимающими пакеты только от точек доступа (wifi-клиент никогда не будет говорить напрямую с радиус-сервером)

2) использование старого радиуса может не работать, я рекомендую один из последних серверов freeradius

Подробнее о том, как это работает и что вам нужно сделать: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

claudiuf
источник
Да. Я просто думал, что смогу сэкономить энергию (и шум), не устанавливая реальный сервер для RADIUS, потому что мне не нужны «сложные методы аутентификации», я просто хотел бы предотвратить беспроводные клиенты от «прослушивания друг друга» (они вероятно, не будет, это просто дополнительная паранойя ;-)). Поэтому в основном я хочу конфиденциальности «коммутируемой сети» в беспроводной сети (которая по сути является широковещательной средой), поэтому мне нужны фактические ключи «на канал» или «на клиент». «WPA2 Enterprise», вероятно, подойдет моим потребностям. Я мог бы попытаться настроить RADIUS на встроенной плате под управлением Linux.
no.human.being
-2

FreeRadius с удовольствием будет работать на Raspberry PI. Обычная операционная система - Raspbian, которая является разновидностью Debian, поэтому она будет делать все, что вам может потребоваться от сервера, например, DHCP / DNS. Это дешево - 40 долларов за чистую доску - но бюджет 80 или 90 долларов, чтобы иметь дополнительные опции - такие, как корпус и блок питания ... Я уже несколько лет работаю с Pi на расстоянии -24 / 7. Он также имеет zenmap и Wireshark. Это платформа для создания экспериментов, поскольку она работает с SD-карты, и вы можете скопировать SD-карту на свой ПК. Попробуйте что-нибудь и восстановите SD с вашего ПК, если вы его испортили.

Шон
источник
2
Этот ответ не объясняет роль сервера RADIUS
janv8000