ฉันต้องการอัปเกรด WiFi จากโหมด "WPA2 Personal" เป็น "WPA2 Enterprise" เพราะฉันรู้ว่าโดยหลักการแล้วใน WiFi ที่ปลอดภัยด้วย "WPA2 Personal" อุปกรณ์ที่รู้ว่า PSK สามารถดมกลิ่นการจราจรของกันและกันได้เมื่อพวกเขาถูกจับ ความสัมพันธ์ระหว่างสถานีและ AP เพื่อลดผลกระทบที่อุปกรณ์ที่ถูกบุกรุกเพียงหนึ่งเดียวใน WiFi จะมี (ในโหมด "WPA2 Personal" มันจะสามารถถอดรหัสการรับส่งข้อมูลอื่น ๆ ของลูกค้า WiFi ที่ยังไม่ได้รับการประนีประนอมได้หากได้รับคำขอ "ที่เกี่ยวข้อง" มาก่อน ไคลเอนต์ในโหมด promiscuous / monitor) ฉันต้องการอัพเกรด WiFi เป็นความปลอดภัย "WPA2 Enterprise" ซึ่งตามความเข้าใจของฉันมันเป็นไปไม่ได้อีกต่อไป
ตอนนี้น่าเสียดายสำหรับ "WPA2 Enterprise" คุณต้องมีเซิร์ฟเวอร์ RADIUS
ตอนนี้เท่าที่ฉันเข้าใจเซิร์ฟเวอร์ RADIUS ทำการรับรองความถูกต้องเท่านั้น แต่ไม่ทำการเข้ารหัสหรือแลกเปลี่ยนวัสดุหลัก ดังนั้นโดยทั่วไป AP ได้รับการร้องขอการเชื่อมโยงจาก STA ไคลเอนต์ให้ข้อมูลประจำตัวจากนั้น AP ส่งผ่านพวกเขาไปยังเซิร์ฟเวอร์ RADIUS เซิร์ฟเวอร์ RADIUS บอกว่า "หนังสือรับรองตกลง" แล้ว AP อนุญาตให้เชื่อมโยง STA มิฉะนั้นจะไม่
นี่เป็นรุ่นที่ใช่ไหม ถ้าอย่างนั้นเซิร์ฟเวอร์ RADIUS นั้นไม่มีอะไรนอกจากฐานข้อมูลที่เต็มไปด้วยข้อมูลรับรองผู้ใช้ (ชื่อผู้ใช้และคู่รหัสผ่าน) ถ้าเป็นเช่นนั้นฉันอยากรู้ว่าทำไมพวกเขาต้องการเครื่องเซิร์ฟเวอร์แบบเต็มรูปแบบสำหรับเรื่องนี้เนื่องจากแม้จะมีผู้ใช้หลายพันรายชื่อผู้ใช้และรหัสผ่านไม่ได้เป็นข้อมูลจำนวนมากในการจัดเก็บและการตรวจสอบข้อมูลรับรองเป็นงานขั้นพื้นฐาน ดังนั้นดูเหมือนว่านี่เป็นสิ่งที่ AP สามารถทำได้ง่ายเช่นกัน เหตุใดจึงต้องมีเซิร์ฟเวอร์เฉพาะสำหรับเรื่องนี้
ดังนั้นบางทีฉันผิดพลาดและเซิร์ฟเวอร์ RADIUS ไม่เพียง แต่ใช้สำหรับการรับรองความถูกต้อง แต่สำหรับการเข้ารหัสที่แท้จริง? ถ้า STA ส่งข้อมูลไปยังเครือข่ายโดยใช้ "WPA2 Enterprise" มันจะเข้ารหัสด้วยรหัสเซสชันบางส่วนจากนั้น AP จะรับข้อมูลที่เข้ารหัส แต่ตรงกันข้ามกับ "WPA2 Personal" จะไม่สามารถถอดรหัสได้ดังนั้นจึงส่งผ่านข้อมูลไปที่ ไปยังเซิร์ฟเวอร์ RADIUS ซึ่งมีข้อมูลสำคัญ (และกำลังการคำนวณ) เพื่อถอดรหัส หลังจาก RADIUS ได้รับข้อความที่ชัดเจนแล้วมันจะส่งเนื้อหาที่ไม่เข้ารหัสกลับไปยังเครือข่ายต่อสาย นี่เป็นวิธีการทำหรือไม่?
เหตุผลที่ฉันอยากรู้เรื่องนี้มีดังต่อไปนี้ ฉันมีอุปกรณ์ค่อนข้างเก่าที่นี่ซึ่งมีเซิร์ฟเวอร์ RADIUS ทำงานอยู่ แต่อย่างที่ฉันบอกว่าอุปกรณ์นั้นค่อนข้างเก่าและใช้ RADIUS รุ่นเก่าที่มีจุดอ่อนด้านความปลอดภัยที่รู้จัก ตอนนี้ฉันอยากจะรู้ว่าสิ่งนี้จะลดความปลอดภัยของ WiFi ถ้าใช้สำหรับการเข้ารหัสโหมด "WPA2 Enterprise" หรือไม่ หากผู้โจมตีสามารถพูดคุยกับเซิร์ฟเวอร์ RADIUS เมื่อไม่ได้รับการรับรองความถูกต้องสิ่งนี้อาจส่งผลต่อความปลอดภัยของเครือข่ายของฉันดังนั้นฉันจึงไม่ควรทำเช่นนี้ ในทางกลับกันหากผู้โจมตีสามารถพูดคุยกับ AP เท่านั้นซึ่งในทางกลับกันพูดคุยกับเซิร์ฟเวอร์ RADIUS เพื่อตรวจสอบข้อมูลรับรองจากนั้น "เซิร์ฟเวอร์ RADIUS ที่มีช่องโหว่" อาจไม่เป็นปัญหามากนักเนื่องจากผู้โจมตีจะไม่ได้รับ เข้าสู่เครือข่าย WiFi และดังนั้นจึงไม่สามารถพูดคุยกับเซิร์ฟเวอร์ RADIUS ได้ตั้งแต่แรก อุปกรณ์เดียวที่พูดคุยกับเซิร์ฟเวอร์ RADIUS จะเป็น AP เองสำหรับการตรวจสอบข้อมูลประจำตัวด้วยวัสดุสำคัญทั้งหมดที่สร้างขึ้นและการเข้ารหัสที่ดำเนินการบน AP (ไม่ยอมแพ้) เอง ผู้โจมตีจะถูกเพิกถอนดังนั้นจึงไม่สามารถเข้าร่วมเครือข่ายและใช้ประโยชน์จากจุดอ่อนในเซิร์ฟเวอร์ RADIUS ที่มีช่องโหว่ได้
ดังนั้นเซิร์ฟเวอร์ RADIUS เกี่ยวข้องกับการรักษาความปลอดภัย "WPA2 Enterprise" อย่างไร