O que o servidor RADIUS faz em uma configuração do WPA2 Enterprise?

16

Gostaria de atualizar meu WiFi do modo "WPA2 Personal" para "WPA2 Enterprise" porque sei que, em princípio, em um WiFi protegido com "WPA2 Personal", os dispositivos que conhecem o PSK podem farejar o tráfego um do outro uma vez que eles capturaram a associação entre a estação e o AP. A fim de reduzir o efeito de um único dispositivo comprometido no WiFi (no modo "WPA2 Pessoal", ele seria capaz de descriptografar o tráfego de outro cliente Wi-Fi, não comprometido, se antes tivesse capturado os "pedidos associados" do outro. clientes em modo promíscuo / monitor) Gostaria de atualizar meu WiFi para a segurança "WPA2 Enterprise", onde, de acordo com o meu entendimento, isso não é mais possível.

Agora, infelizmente, para "WPA2 Enterprise", você precisa de um servidor RADIUS.

Agora, tanto quanto eu entendo, o servidor RADIUS só executa autenticação, mas não executa criptografia ou troca de material de chave. Então, basicamente, um AP recebe uma solicitação de associação de um STA, o cliente fornece credenciais, o AP passa para o servidor RADIUS, o servidor RADIUS diz "credenciais estão OK" e o AP deixa o STA associar, caso contrário não. / p>

Este é o modelo certo? Em caso afirmativo, o servidor RADIUS não é mais do que um banco de dados cheio de credenciais de usuário (pares de nome de usuário e senha). Se é assim, então estou curioso porque eles exigem uma máquina servidor completa para isso, já que, mesmo para milhares de usuários, nomes de usuário e senhas não são muitos dados para armazenar e verificar credenciais é uma tarefa bastante básica, então parece que isso é algo que também poderia ser feito facilmente pelo próprio AP. Então, por que exigir um servidor dedicado para isso?

Então, talvez eu entendi errado e o servidor RADIUS não é usado apenas para autenticação, mas para a criptografia real? Se um STA envia dados para uma rede usando "WPA2 Enterprise", ele criptografa com alguma chave de sessão, então o AP recebe os dados criptografados, mas, ao contrário do "WPA2 Personal", não pode descriptografá-lo, então passa os dados para o servidor RADIUS, que tem o material chave (e poder computacional) para descriptografá-lo. Depois que o RADIUS obtiver o texto não criptografado, ele passa o material não criptografado de volta à rede com fio. É assim que é feito?

A razão pela qual eu quero saber isso é o seguinte. Eu tenho um dispositivo bastante antigo aqui, que tem um servidor RADIUS rodando nele. Mas, como eu disse, o dispositivo é bem antigo e, portanto, implementa uma versão antiga do RADIUS com fraquezas de segurança conhecidas. Agora eu gostaria de saber se isso comprometeria minha segurança WiFi se usada para criptografia no modo "WPA2 Enterprise". Se um invasor puder falar com o servidor RADIUS quando não estiver autenticado, isso poderá comprometer a segurança da minha rede, portanto, não devo fazer isso. Por outro lado, se o invasor só puder falar com o AP, que, por sua vez, fala com o servidor RADIUS para verificar as credenciais, um "servidor RADIUS vulnerável" pode não ser um grande problema, já que o invasor não na rede WiFi e, portanto, não seria capaz de falar com o servidor RADIUS, em primeiro lugar. O único dispositivo que falava com o servidor RADIUS seria o próprio AP, para verificar as credenciais, com todo o material de chave gerado e a criptografia executada no próprio (não comprometido) AP. O invasor será revogado e, portanto, não poderá ingressar na rede e explorar pontos fracos no servidor RADIUS potencialmente vulnerável.

Então, como exatamente o servidor RADIUS está envolvido com a segurança "WPA2 Enterprise"?

    
por no.human.being 08.03.2014 / 19:44

3 respostas

16

O WPA2 Enterprise é baseado em partes do 802.11i que são baseadas no 802.1X. O 802.1X NÃO requer um servidor RADIUS, mas é assim que é comumente feito por motivos legados.

A função do servidor RADIUS é apenas no início da conexão, mas faz uma pequena coisa a mais do que você mencionou. Como parte do mecanismo de autenticação, o material de codificação é gerado com segurança no servidor RADIUS (e o mesmo material de codificação também é gerado no cliente WPA2). Depois que o servidor RADIUS informa ao AP para aceitar essa solicitação de conexão, o servidor RADIUS envia esse material de chave em uma mensagem "chave" RADIUS (eles reutilizaram uma mensagem / atributo RADIUS MPPE-KEY da qual a Microsoft foi pioneira) para o AP. sabe quais as chaves por usuário por sessão (incluindo a Pairwise Temporal Key ou PTK) para usar nessa sessão. Isso encerra o envolvimento do servidor RADIUS.

Você está absolutamente certo de que não é preciso muita potência de servidor para rodar um servidor RADIUS. Assim como um servidor DHCP ou um servidor DNS para uma pequena rede ou domínio, você realmente não precisa de hardware de "classe de servidor" para executá-lo. Provavelmente qualquer pequena caixa de rede incorporada de baixo consumo de energia servirá. Existem muitos protocolos em redes modernas onde o "servidor" não requer muita potência pelos padrões atuais. Só porque você ouve o termo "servidor", não assuma que requer hardware de servidor pesado.

História de fundo

Você vê, o RADIUS era originalmente uma maneira de mover a autenticação de seus servidores PPP de modem dial-up e para um servidor centralizado. É por isso que significa "Serviço de Usuário de Discagem de Autenticação Remota" (deve ser "Serviço de Autenticação Remota de Usuário de Discagem", mas DIURAS não soa tão bem quanto o RADIUS). Quando o PPP começou a ser usado para autenticação DSL (PPPoE, PPPoA) e autenticação VPN (PPTP e L2TP-over-IPSec são ambos "PPP dentro de um túnel criptografado"), era natural continuar a usar os mesmos servidores RADIUS para autenticação centralizada para todos os "Servidores de acesso remoto" da sua empresa.

Os mecanismos de autenticação originais do PPP estavam faltando e precisaram de muito envolvimento de padrões de corpo para criar novos, assim, eventualmente, o protocolo EAP foi criado para ser um sistema plug-in do tipo auth para o PPP. autenticação. Naturalmente, os servidores RADIUS e os clientes PPP foram os primeiros lugares que precisaram para suportar o EAP. Você poderia, é claro, ter seu modem discado / servidor PPP, ou seu servidor VPN, ou seu servidor PPPoE / PPPoA (na verdade, L2TP PPP), ou qualquer outro, implementar EAP localmente, mas agora o RADIUS era tão amplamente implementado que era principalmente servidores RADIUS que o implementaram.

Eventualmente, alguém queria uma maneira de exigir autenticação sempre que alguém se conecta a uma porta Ethernet desprotegida no lobby ou em uma sala de conferência, então "EAP over LANs" foi criado para isso. "EAPoL", como era conhecido, foi padronizado como 802.1X. O 802.1X foi posteriormente aplicado a redes 802.11 no IEEE 802.11i. E a Wi-Fi Alliance criou um programa de certificação / branding / marketing de interoperabilidade em torno do 802.11i e o chamou de Wi-Fi Protected Access 2 (WPA2).

Assim, enquanto o seu AP 802.11 em si pudesse preencher toda a função "Autenticador" do 802.1X (WPA2-Enterprise) por si só (sem a ajuda de um servidor RADIUS), isso não é comumente feito. Na verdade, em alguns APs capazes de executar o 802.1X autônomo, eles realmente construíram e abriram o servidor RADIUS em seu firmware, e fizeram a autenticação 802.1X via RADIUS via loopback, porque é mais fácil conectá-lo dessa maneira do que tentar implemente seu próprio código de autenticador EAP ou copie o código de algum software de servidor RADIUS de código-fonte aberto e tente integrá-lo diretamente nos daemons relacionados ao 802.11 do seu firmware AP.

Dado que o backstory, e dependendo de quantos anos o seu servidor RADIUS proposto é, a questão importante é saber se ele implementa o (s) tipo (s) EAP que você deseja usar para autenticação em sua rede. PEAP? TTLS?

Além disso, observe que o RADIUS tradicionalmente usa um "Shared Secret" conhecido pelo cliente RADIUS (o cliente RADIUS é o "Network Access Server": o AP nesse caso, ou um servidor VPN ou PPP ou outro "Servidor de Acesso Remoto" "em outros casos) e o servidor RADIUS, para autenticar o cliente e o servidor RADIUS entre si e para criptografar sua comunicação. A maioria dos servidores RADIUS permite que você especifique diferentes segredos compartilhados para cada AP, com base no endereço IP do AP. Assim, um invasor em sua rede teria que ser capaz de assumir esse endereço IP e adivinhar esse segredo compartilhado, para que o servidor RADIUS fale com ele. Se o invasor ainda não estivesse na rede, o invasor só poderia tentar enviar mensagens EAP especialmente criadas / corrompidas que o AP transmitisse via RADIUS para o servidor RADIUS. Se o problema de segurança que você está preocupado pode ser explorado por meio de mensagens EAP mal-formadas, você ainda pode ter um problema.

    
por 10.03.2014 / 21:24
3

O WPA Enterprise (WPA com EAP) permite que você tenha muitos outros métodos de autenticação, como certificados digitais, tokens RSA, etc. Ele deve ser implementado com um servidor radius, porque todos esses métodos estão além de nomes de usuário simples e senhas protocolo é o padrão de fato para a maioria dos sistemas que precisam de AAA (autenticação, autorização, contabilidade).

Dito isto,

1) o servidor radius pode ser facilmente protegido por regras de firewall, aceitando pacotes apenas de APs (o cliente wifi nunca fala diretamente com o servidor radius)

2) usando um raio antigo pode não funcionar, eu recomendo um dos mais recentes servidores freeradius

Mais detalhes sobre como isso funciona e o que você precisa fazer: link ?

    
por 08.03.2014 / 22:58
-2

FreeRadius será executado em um PI de framboesa. O sistema operacional usual é o Raspbian, que é um sabor do Debian - então ele fará todas as coisas que você pode querer que um servidor faça, por exemplo, DHCP / DNS. É barato - 40 dólares para uma prancha nua, mas orçamento 80 ou 90 dólares para ter extras "opção" - como um caso, e fornecimento de energia ... Eu tenho executado raio em um Pi por um par de anos -24 / 7. Também possui zenmap e Wireshark. É uma plataforma de criação para testar as coisas à medida que elas saem de um cartão SD e você pode copiar o cartão SD para o seu PC. Tente algo e restaure o SD do seu PC se você o estragou.

    
por 11.01.2017 / 19:45