เซิร์ฟเวอร์ RADIUS ทำอะไรในการตั้งค่า WPA2 Enterprise


17

ฉันต้องการอัปเกรด WiFi จากโหมด "WPA2 Personal" เป็น "WPA2 Enterprise" เพราะฉันรู้ว่าโดยหลักการแล้วใน WiFi ที่ปลอดภัยด้วย "WPA2 Personal" อุปกรณ์ที่รู้ว่า PSK สามารถดมกลิ่นการจราจรของกันและกันได้เมื่อพวกเขาถูกจับ ความสัมพันธ์ระหว่างสถานีและ AP เพื่อลดผลกระทบที่อุปกรณ์ที่ถูกบุกรุกเพียงหนึ่งเดียวใน WiFi จะมี (ในโหมด "WPA2 Personal" มันจะสามารถถอดรหัสการรับส่งข้อมูลอื่น ๆ ของลูกค้า WiFi ที่ยังไม่ได้รับการประนีประนอมได้หากได้รับคำขอ "ที่เกี่ยวข้อง" มาก่อน ไคลเอนต์ในโหมด promiscuous / monitor) ฉันต้องการอัพเกรด WiFi เป็นความปลอดภัย "WPA2 Enterprise" ซึ่งตามความเข้าใจของฉันมันเป็นไปไม่ได้อีกต่อไป

ตอนนี้น่าเสียดายสำหรับ "WPA2 Enterprise" คุณต้องมีเซิร์ฟเวอร์ RADIUS

ตอนนี้เท่าที่ฉันเข้าใจเซิร์ฟเวอร์ RADIUS ทำการรับรองความถูกต้องเท่านั้น แต่ไม่ทำการเข้ารหัสหรือแลกเปลี่ยนวัสดุหลัก ดังนั้นโดยทั่วไป AP ได้รับการร้องขอการเชื่อมโยงจาก STA ไคลเอนต์ให้ข้อมูลประจำตัวจากนั้น AP ส่งผ่านพวกเขาไปยังเซิร์ฟเวอร์ RADIUS เซิร์ฟเวอร์ RADIUS บอกว่า "หนังสือรับรองตกลง" แล้ว AP อนุญาตให้เชื่อมโยง STA มิฉะนั้นจะไม่

นี่เป็นรุ่นที่ใช่ไหม ถ้าอย่างนั้นเซิร์ฟเวอร์ RADIUS นั้นไม่มีอะไรนอกจากฐานข้อมูลที่เต็มไปด้วยข้อมูลรับรองผู้ใช้ (ชื่อผู้ใช้และคู่รหัสผ่าน) ถ้าเป็นเช่นนั้นฉันอยากรู้ว่าทำไมพวกเขาต้องการเครื่องเซิร์ฟเวอร์แบบเต็มรูปแบบสำหรับเรื่องนี้เนื่องจากแม้จะมีผู้ใช้หลายพันรายชื่อผู้ใช้และรหัสผ่านไม่ได้เป็นข้อมูลจำนวนมากในการจัดเก็บและการตรวจสอบข้อมูลรับรองเป็นงานขั้นพื้นฐาน ดังนั้นดูเหมือนว่านี่เป็นสิ่งที่ AP สามารถทำได้ง่ายเช่นกัน เหตุใดจึงต้องมีเซิร์ฟเวอร์เฉพาะสำหรับเรื่องนี้

ดังนั้นบางทีฉันผิดพลาดและเซิร์ฟเวอร์ RADIUS ไม่เพียง แต่ใช้สำหรับการรับรองความถูกต้อง แต่สำหรับการเข้ารหัสที่แท้จริง? ถ้า STA ส่งข้อมูลไปยังเครือข่ายโดยใช้ "WPA2 Enterprise" มันจะเข้ารหัสด้วยรหัสเซสชันบางส่วนจากนั้น AP จะรับข้อมูลที่เข้ารหัส แต่ตรงกันข้ามกับ "WPA2 Personal" จะไม่สามารถถอดรหัสได้ดังนั้นจึงส่งผ่านข้อมูลไปที่ ไปยังเซิร์ฟเวอร์ RADIUS ซึ่งมีข้อมูลสำคัญ (และกำลังการคำนวณ) เพื่อถอดรหัส หลังจาก RADIUS ได้รับข้อความที่ชัดเจนแล้วมันจะส่งเนื้อหาที่ไม่เข้ารหัสกลับไปยังเครือข่ายต่อสาย นี่เป็นวิธีการทำหรือไม่?

เหตุผลที่ฉันอยากรู้เรื่องนี้มีดังต่อไปนี้ ฉันมีอุปกรณ์ค่อนข้างเก่าที่นี่ซึ่งมีเซิร์ฟเวอร์ RADIUS ทำงานอยู่ แต่อย่างที่ฉันบอกว่าอุปกรณ์นั้นค่อนข้างเก่าและใช้ RADIUS รุ่นเก่าที่มีจุดอ่อนด้านความปลอดภัยที่รู้จัก ตอนนี้ฉันอยากจะรู้ว่าสิ่งนี้จะลดความปลอดภัยของ WiFi ถ้าใช้สำหรับการเข้ารหัสโหมด "WPA2 Enterprise" หรือไม่ หากผู้โจมตีสามารถพูดคุยกับเซิร์ฟเวอร์ RADIUS เมื่อไม่ได้รับการรับรองความถูกต้องสิ่งนี้อาจส่งผลต่อความปลอดภัยของเครือข่ายของฉันดังนั้นฉันจึงไม่ควรทำเช่นนี้ ในทางกลับกันหากผู้โจมตีสามารถพูดคุยกับ AP เท่านั้นซึ่งในทางกลับกันพูดคุยกับเซิร์ฟเวอร์ RADIUS เพื่อตรวจสอบข้อมูลรับรองจากนั้น "เซิร์ฟเวอร์ RADIUS ที่มีช่องโหว่" อาจไม่เป็นปัญหามากนักเนื่องจากผู้โจมตีจะไม่ได้รับ เข้าสู่เครือข่าย WiFi และดังนั้นจึงไม่สามารถพูดคุยกับเซิร์ฟเวอร์ RADIUS ได้ตั้งแต่แรก อุปกรณ์เดียวที่พูดคุยกับเซิร์ฟเวอร์ RADIUS จะเป็น AP เองสำหรับการตรวจสอบข้อมูลประจำตัวด้วยวัสดุสำคัญทั้งหมดที่สร้างขึ้นและการเข้ารหัสที่ดำเนินการบน AP (ไม่ยอมแพ้) เอง ผู้โจมตีจะถูกเพิกถอนดังนั้นจึงไม่สามารถเข้าร่วมเครือข่ายและใช้ประโยชน์จากจุดอ่อนในเซิร์ฟเวอร์ RADIUS ที่มีช่องโหว่ได้

ดังนั้นเซิร์ฟเวอร์ RADIUS เกี่ยวข้องกับการรักษาความปลอดภัย "WPA2 Enterprise" อย่างไร

คำตอบ:


16

WPA2 Enterprise ขึ้นอยู่กับชิ้นส่วนของ 802.11i ที่ใช้ 802.1X 802.1X ไม่จำเป็นต้องใช้เซิร์ฟเวอร์ RADIUS แต่เป็นวิธีที่ทำกันโดยทั่วไปด้วยเหตุผลดั้งเดิม

บทบาทของเซิร์ฟเวอร์ RADIUS เป็นเพียงจุดเริ่มต้นของการเชื่อมต่อ แต่มันทำสิ่งเล็ก ๆ น้อย ๆ มากกว่าที่คุณพูดถึง ในฐานะส่วนหนึ่งของกลไกการพิสูจน์ตัวตนวัสดุการสร้างคีย์ถูกสร้างขึ้นอย่างปลอดภัยบนเซิร์ฟเวอร์ RADIUS (และวัสดุการสร้างเดียวกันนี้ยังสร้างขึ้นในไคลเอนต์ WPA2) หลังจากเซิร์ฟเวอร์ RADIUS แจ้งให้ AP ยอมรับการร้องขอการเชื่อมต่อเซิร์ฟเวอร์ RADIUS จะส่งเนื้อหาสำคัญในข้อความ "คีย์" ของ RADIUS (พวกเขาใช้ข้อความ / แอตทริบิวต์ RADIUS MPPE-KEY ที่ Microsoft เป็นผู้บุกเบิก) ไปยัง AP ดังนั้น AP รู้ว่าคีย์ต่อผู้ใช้ต่อเซสชันใด (รวมถึง Pairwise Temporal Key หรือ PTK) ที่จะใช้สำหรับเซสชันนั้น นั่นเป็นการสิ้นสุดการมีส่วนร่วมของเซิร์ฟเวอร์ RADIUS

คุณพูดถูกจริง ๆ ว่าใช้เซิร์ฟเวอร์ไม่มากนักในการรันเซิร์ฟเวอร์ RADIUS เช่นเดียวกับเซิร์ฟเวอร์ DHCP หรือเซิร์ฟเวอร์ DNS สำหรับเครือข่ายหรือโดเมนขนาดเล็กคุณไม่จำเป็นต้องใช้ฮาร์ดแวร์ "เซิร์ฟเวอร์คลาส" เพื่อเรียกใช้งาน อาจเป็นกล่องเครือข่ายแบบฝังตัวที่ใช้พลังงานต่ำเพียงเล็กน้อยเท่านั้นที่จะทำ มีโปรโตคอลจำนวนมากในเครือข่ายที่ทันสมัยที่ปลาย "เซิร์ฟเวอร์" ไม่ต้องการแรงม้ามากตามมาตรฐานในปัจจุบัน เพียงเพราะคุณได้ยินคำว่า "เซิร์ฟเวอร์" อย่าคิดว่ามันต้องใช้ฮาร์ดแวร์เซิร์ฟเวอร์สำหรับงานหนัก


backstory

คุณเห็นไหมว่า RADIUS นั้นเดิมเป็นวิธีที่จะย้ายการรับรองความถูกต้องออกจากเซิร์ฟเวอร์ PPP โมเด็มผ่านสายโทรศัพท์ของคุณและไปยังเซิร์ฟเวอร์ส่วนกลาง นั่นเป็นเหตุผลว่าทำไมมันถึงหมายถึง "Remote Authentication Dial-In User Service" (ควรเป็น "บริการการพิสูจน์ตัวตนจากระยะไกลของผู้ใช้ Dial-In" แต่ DIURAS นั้นฟังดูไม่ดีเท่า RADIUS) เมื่อ PPP เริ่มใช้สำหรับการรับรองความถูกต้องของ DSL (PPPoE, PPPoA) และการรับรองความถูกต้องของ VPN (PPTP และ L2TP-over-IPSec เป็นทั้ง "PPP ภายในอุโมงค์เข้ารหัส") เป็นเรื่องธรรมดาที่จะใช้เซิร์ฟเวอร์ RADIUS เดียวกันสำหรับการตรวจสอบจากส่วนกลาง "เซิร์ฟเวอร์การเข้าถึงระยะไกล" ทั้งหมดในองค์กรของคุณ

กลไกการรับรองความถูกต้องดั้งเดิมของ PPP ยังขาดอยู่และมีส่วนร่วมจำนวนมากในการสร้างมาตรฐานใหม่ดังนั้นในที่สุด Extensible Authentication Protocol (EAP) จึงถูกสร้างขึ้นให้เป็นระบบปลั๊กอินแบบรับรองความถูกต้องสำหรับ PPP โดยปกติแล้วเซิร์ฟเวอร์ RADIUS และไคลเอนต์ PPP เป็นสถานที่แรกที่จำเป็นในการรองรับ EAP แน่นอนคุณสามารถมีโมเด็ม dial-in / PPP เซิร์ฟเวอร์ของคุณหรือเซิร์ฟเวอร์ VPN ของคุณหรือเซิร์ฟเวอร์ PPPoE / PPPoA ของคุณ (จริงๆ L2TP PPP) หรืออะไรก็ตามที่ใช้ EAP ในพื้นที่ แต่ตอนนี้ RADIUS ถูกนำไปใช้อย่างกว้างขวาง มันเป็นเซิร์ฟเวอร์ RADIUS ส่วนใหญ่ที่นำมาใช้

ในที่สุดใครบางคนต้องการวิธีที่ต้องการการรับรองความถูกต้องเมื่อใดก็ตามที่มีคนเชื่อมต่อพอร์ตอีเทอร์เน็ตที่ไม่ได้ป้องกันในล็อบบี้หรือห้องประชุมดังนั้น "EAP over LANs" จึงถูกสร้างขึ้นสำหรับสิ่งนี้ "EAPoL" ตามที่ทราบกันดีว่าได้รับมาตรฐาน 802.1X 802.1X ถูกนำไปใช้กับเครือข่าย 802.11 ใน IEEE 802.11i ในภายหลัง และ Wi-Fi Alliance ได้สร้างโปรแกรมการรับรองการทำงานร่วมกัน / การสร้างแบรนด์ / การตลาดรอบ 802.11i และเรียกมันว่า Wi-Fi Protected Access 2 (WPA2)

ดังนั้นในขณะที่ 802.11 AP ของคุณเองก็สามารถเติมเต็มบทบาท "Authenticator" 802.1X (WPA2-Enterprise) ทั้งหมดด้วยตัวเอง (โดยไม่ต้องใช้เซิร์ฟเวอร์ RADIUS) แต่ก็ไม่ได้ทำกันโดยทั่วไป ในความเป็นจริงใน APs บางตัวที่สามารถทำแบบสแตนด์อโลน 802.1X พวกเขาสร้างและเปิดเซิร์ฟเวอร์ RADIUS โอเพ่นซอร์สลงในเฟิร์มแวร์และทำการตรวจสอบความถูกต้อง 802.1X ผ่าน RADIUS ผ่านทางวนกลับเพราะง่ายกว่าที่จะลอง ใช้รหัสการรับรองความถูกต้อง EAP ของคุณเองหรือคัดลอกรหัสจากซอฟต์แวร์เซิร์ฟเวอร์ RADIUS แบบโอเพนซอร์ซและลองบูรณาการโดยตรงกับ daemons 802.11 ที่เกี่ยวข้องกับเฟิร์มแวร์ AP ของคุณ


เนื่องจาก backstory นั้นและขึ้นอยู่กับอายุของเซิร์ฟเวอร์ RADIUS ที่คุณเสนอคำถามที่สำคัญคือจะใช้ประเภท EAP ที่คุณต้องการใช้สำหรับการตรวจสอบความถูกต้องบนเครือข่ายของคุณหรือไม่ PEAP? TTLS?

นอกจากนี้โปรดทราบว่า RADIUS ใช้ "Shared Secret" ที่รู้จักกันในไคลเอนต์ RADIUS (ไคลเอ็นต์ RADIUS คือ "เซิร์ฟเวอร์การเข้าถึงเครือข่าย": AP ในกรณีนี้หรือเซิร์ฟเวอร์ VPN หรือ PPP หรืออื่น ๆ "เซิร์ฟเวอร์การเข้าถึงระยะไกล" อื่น ๆ เคส) และเซิร์ฟเวอร์ RADIUS เพื่อตรวจสอบสิทธิ์ไคลเอ็นต์และเซิร์ฟเวอร์ RADIUS ให้กันและกันและเข้ารหัสการสื่อสารของพวกเขา เซิร์ฟเวอร์ RADIUS ส่วนใหญ่ให้คุณระบุ Shared Secrets ที่แตกต่างกันสำหรับแต่ละ AP ตามที่อยู่ IP ของ AP ดังนั้นผู้โจมตีบนเครือข่ายของคุณจะต้องสามารถใช้ที่อยู่ IP นั้นและเดาว่าเป็นความลับร่วมกันเพื่อที่จะให้เซิร์ฟเวอร์ RADIUS พูดคุยกับมัน หากผู้โจมตียังไม่ได้อยู่ในเครือข่ายผู้โจมตีจะสามารถส่งข้อความ EAP ที่ได้รับการออกแบบมาเป็นพิเศษหรือเสียหายที่ AP จะส่งผ่าน RADIUS ไปยังเซิร์ฟเวอร์ RADIUS


ฉันอาจใช้ EAP-EKE หรือ EAP-PWD แทนก็ได้ถ้าทำได้ สิ่งที่ฉันต้องการทำก็คือปกป้องผู้ใช้โดยทั่วไปซึ่งสามารถเชื่อมต่อกับเครือข่ายได้จากการขัดขวางการรับส่งข้อมูลของผู้อื่น ถ้า WPA2-PSK จะสร้าง "เซสชั่นคีย์" ผ่าน DH นั่นจะสมบูรณ์แบบสำหรับฉัน แต่น่าเสียดาย (ไม่ว่าด้วยเหตุผลใด) มันไม่ได้ ฉันไม่ต้องการวิธีการรับรองความถูกต้องที่ซับซ้อน สิ่งที่ฉันต้องการคือป้องกันไม่ให้สถานีขัดขวางการรับส่งข้อมูลของกันและกัน สำหรับทุกอย่างฉันพอใจกับความปลอดภัยของ WPA2-PSK
no.human.being

@ no.human.being ระวังว่าไม่ใช่วิธี EAP ทั้งหมดที่สนับสนุนการสร้างวัสดุการคีย์ที่จำเป็นสำหรับ 802.11i / WPA2-Enterprise ฉันไม่คุ้นเคยกับสองประเภทที่คุณพูดถึงดังนั้นคุณอาจต้องการตรวจสอบที่อื่นเพื่อให้แน่ใจว่าเหมาะสำหรับวัตถุประสงค์นี้
Spiff

1
นีซเขียนขึ้น คุณไม่ได้พูดถึงเหตุผลสำคัญอย่างหนึ่งว่ามีเซิร์ฟเวอร์แยกต่างหาก สิ่งนี้ไม่ได้ใช้กับการปรับใช้ในบ้าน แต่เป็นส่วนสำคัญของ "ทำไมจึงมีอยู่" ในการปรับใช้ระดับองค์กรใด ๆ จุดเชื่อมต่อนั้นไม่น่าเชื่อถือเนื่องจากตั้งอยู่ในพื้นที่สาธารณะดังนั้นจึงไม่ควรมีข้อมูลผู้ใช้ นอกจากนี้ด้วยประเภท EAP ใด ๆ ที่มีช่องสัญญาณที่ปลอดภัยให้กับลูกค้า (PEAP, TTLS, TLS) AP ไม่ได้มีส่วนร่วมในการตรวจสอบความถูกต้องเลยดังนั้นจึงไม่สามารถดักจับข้อมูลประจำตัวของผู้ใช้ บันได :)
กระสุน Goettsch

3

WPA Enterprise (WPA พร้อม EAP) ช่วยให้คุณมีวิธีการรับรองความถูกต้องอื่น ๆ มากมายเช่นใบรับรองดิจิทัลโทเค็น RSA เป็นต้นมันควรจะนำมาใช้กับเซิร์ฟเวอร์รัศมีเพราะวิธีการเหล่านี้ทั้งหมดนอกเหนือจากชื่อผู้ใช้ง่าย + รหัสผ่านและโปรโตคอลรัศมีเป็น ตามความเป็นจริงมาตรฐานสำหรับระบบส่วนใหญ่ที่ต้องการ AAA (รับรองความถูกต้องอนุญาตบัญชี)

สิ่งนี้ถูกกล่าวว่า

1) เซิร์ฟเวอร์ radius สามารถป้องกันได้ง่ายด้วยกฎไฟร์วอลล์รับแพ็กเก็ตจาก AP เท่านั้น (ไคลเอนต์ wifi จะไม่พูดกับเซิร์ฟเวอร์ radius โดยตรง)

2) การใช้รัศมีเก่าอาจใช้งานไม่ได้ฉันแนะนำหนึ่งในเซิร์ฟเวอร์ฟรีเดอราเดียล่าสุด

รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทำงานและสิ่งที่คุณต้องทำ: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?


ใช่. ฉันแค่คิดว่าฉันสามารถประหยัดพลังงาน (และเสียงรบกวน) ได้โดยไม่ต้องวางเซิร์ฟเวอร์จริงสำหรับ RADIUS เพราะฉันไม่ต้องการ "วิธีการรับรองความถูกต้องที่ซับซ้อน" ฉันแค่ต้องการป้องกันไม่ให้ไคลเอนต์ไร้สาย "ทำการดมกลิ่น" อาจจะไม่เป็นเพียงความหวาดระแวงพิเศษ ;-)) ดังนั้นโดยทั่วไปฉันต้องการความเป็นส่วนตัวของ "เครือข่ายที่สลับ" บนระบบไร้สาย (ซึ่งเป็นสื่อที่แพร่กระจายโดยเนื้อแท้) ดังนั้นฉันจึงต้องการคีย์ "ต่อลิงก์" หรือ "ต่อไคลเอ็นต์" จริง "WPA2 Enterprise" น่าจะเหมาะกับความต้องการของฉัน ฉันอาจลองตั้งค่า RADIUS บนบอร์ดฝังตัวที่ใช้ Linux
no.human.being

-2

FreeRadius จะทำงานบน Raspberry PI อย่างมีความสุข ระบบปฏิบัติการปกติคือ Raspbian ซึ่งเป็นรสชาติของ Debian ดังนั้นมันจะทำทุกสิ่งที่คุณอาจต้องการให้เซิร์ฟเวอร์ทำเช่น DHCP / DNS มันราคาถูก - 40 ดอลลาร์สำหรับกระดานเปล่า - แต่งบประมาณ 80 หรือ 90 ดอลลาร์เพื่อให้มีตัวเลือก "พิเศษ" - เช่นกรณีและแหล่งจ่ายไฟ ... ฉันใช้รัศมีใน Pi มาสองสามปี -24 / 7 นอกจากนี้ยังมี zenmap และ Wireshark มันเป็นแพลตฟอร์มที่สร้างขึ้นเพื่อลองสิ่งต่าง ๆ ในขณะที่การ์ด SD หลุดและคุณสามารถคัดลอกการ์ด SD ไปยังพีซีของคุณได้ ลองใช้บางสิ่งและกู้คืน SD จากพีซีของคุณถ้าคุณทำมัน


2
คำตอบนี้ไม่ได้อธิบายถึงบทบาทของเซิร์ฟเวอร์ RADIUS
janv8000
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.