no.*_*ing 19 security encryption wireless-networking wpa2 radius
我想将我的 WiFi 从“WPA2 Personal”升级到“WPA2 Enterprise”模式,因为我知道原则上,在使用“WPA2 Personal”保护的 WiFi 上,知道 PSK 的设备可以在捕获后嗅探对方的流量站点与AP的关联。为了减少 WiFi 上单个受感染设备的影响(在“WPA2 个人”模式下,它可以解密其他未受感染的 WiFi 客户端的流量,如果它之前已捕获来自另一个的“关联请求”混杂/监控模式的客户端)我想将我的 WiFi 升级到“WPA2 Enterprise”安全性,据我所知,这不再可能。
现在,不幸的是,对于“WPA2 Enterprise”,您需要一个 RADIUS 服务器。
现在,据我所知,RADIUS 服务器只执行身份验证,而不执行加密或交换密钥材料。所以基本上,AP 从 STA 获取关联请求,客户端提供凭据,然后 AP 将它们传递给 RADIUS 服务器,RADIUS 服务器说“凭据正常”,然后 AP 让 STA 关联,否则不关联。
这是正确的模型吗?如果是这样,那么 RADIUS 服务器基本上就是一个充满用户凭据(用户名和密码对)的数据库。如果是这样,那么我很好奇他们为什么需要一台成熟的服务器来实现这一点,因为即使对于成千上万的用户,用户名和密码也不是很多数据来存储和验证凭据是一项相当基本的任务,所以这似乎是 AP 本身也可以轻松完成的事情。那么为什么需要一个专用服务器呢?
所以也许我弄错了,RADIUS 服务器不仅用于身份验证,还用于实际加密?如果 STA 使用“WPA2 Enterprise”将数据发送到网络,它会使用一些会话密钥对其进行加密,然后 AP 会收到加密的数据,但是,与“WPA2 Personal”相反,它无法解密它,因此它将数据传递给RADIUS 服务器,它具有解密它的密钥材料(和计算能力)。RADIUS 获得明文后,会将未加密的材料传回有线网络。这是这样做的吗?
我想知道这一点的原因如下。我这里有一个相当旧的设备,上面运行着一个 RADIUS 服务器。但是,就像我说的那样,该设备已经很旧了,因此实现了具有已知安全漏洞的旧版 RADIUS。现在我想知道如果用于“WPA2 Enterprise”模式加密,这是否会损害我的 WiFi 安全性。如果攻击者在未通过身份验证时可以与 RADIUS 服务器通信,这可能会危及我的网络安全,因此我不应该这样做。另一方面,如果攻击者只能与 AP 交谈,而 AP 又与 RADIUS 服务器交谈以检查凭据,那么“易受攻击的 RADIUS 服务器”可能不是什么大问题,因为攻击者不会得到进入 WiFi 网络,因此首先无法与 RADIUS 服务器通信。唯一与 RADIUS 服务器通信的设备将是 AP 本身,用于检查凭证,所有密钥材料生成并在(未受损害的)AP 本身上执行加密。攻击者将被撤销,因此无法加入网络并利用潜在易受攻击的 RADIUS 服务器上的弱点。
那么 RADIUS 服务器究竟是如何与“WPA2 Enterprise”安全相关的呢?
Spi*_*iff 18
WPA2 Enterprise 基于基于 802.1X 的 802.11i 部分。802.1X 不需要 RADIUS 服务器,但出于传统原因,通常采用这种方式。
RADIUS 服务器的作用只是在连接的开始,但它确实比您提到的要多做一件小事。作为身份验证机制的一部分,在 RADIUS 服务器上安全地生成密钥材料(并且也在 WPA2 客户端上生成相同的密钥材料)。在 RADIUS 服务器告诉 AP 接受该连接请求后,RADIUS 服务器将在 RADIUS“密钥”消息中的密钥材料(他们重用 Microsoft 开创的 RADIUS MPPE-KEY 消息/属性)发送给 AP,因此 AP知道用于该会话的每个用户每个会话的密钥(包括成对临时密钥或 PTK)。这结束了 RADIUS 服务器的参与。
您完全正确,运行 RADIUS 服务器确实不需要太多的服务器马力。就像小型网络或域的 DHCP 服务器或 DNS 服务器一样,您确实不需要“服务器类”硬件来运行它。可能任何小型低功耗嵌入式网络盒都可以。现代网络中有很多协议,其中“服务器”端按照今天的标准不需要太多马力。不要仅仅因为您听到“服务器”这个词,就认为它需要重型服务器硬件。
PPP 的原始身份验证机制缺乏,并且需要大量标准机构参与来创建新机制,因此最终,可扩展身份验证协议 (EAP) 被创建为用于 PPP 类身份验证的身份验证类型插件系统。自然,RADIUS 服务器和 PPP 客户端是首先需要支持 EAP 的地方。当然,您可以让您的拨入调制解调器/PPP 服务器、您的 VPN 服务器、或您的 PPPoE/PPPoA(实际上,L2TP PPP)服务器或其他任何东西在本地实施 EAP,但到目前为止,RADIUS 已被广泛部署它主要是实现它的RADIUS服务器。
最终有人想要一种在有人插入大厅或会议室中未受保护的以太网端口时要求身份验证的方法,因此为此创建了“EAP over LAN”。众所周知,“EAPoL”被标准化为 802.1X。802.1X 后来在 IEEE 802.11i 中应用于 802.11 网络。Wi-Fi 联盟围绕 802.11i 创建了一个互操作性认证/品牌/营销计划,并将其称为 Wi-Fi Protected Access 2 (WPA2)。
因此,虽然您的 802.11 AP 本身可以自行完成整个 802.1X(WPA2-Enterprise)“身份验证器”角色(无需 RADIUS 服务器的帮助),但这并不常见。事实上,在一些能够独立进行 802.1X 的 AP 中,他们实际上将 RADIUS 服务器构建并开源到他们的固件中,并通过环回通过 RADIUS 进行 802.1X 身份验证,因为这样更容易连接而不是尝试实现您自己的 EAP 身份验证器代码,或从一些开源 RADIUS 服务器软件中复制该代码,并尝试将其直接集成到您的 AP 固件的 802.11 相关守护程序中。
考虑到背景故事,并且取决于您提议的 RADIUS 服务器的年龄,重要的问题是它是否实现了您想要在网络上进行身份验证的 EAP 类型。豌豆荚?TTLS?
另外,请注意 RADIUS 传统上使用 RADIUS 客户端已知的“共享机密”(RADIUS 客户端是“网络访问服务器”:在这种情况下是 AP,或者在其他情况下是 VPN 或 PPP 服务器或其他“远程访问服务器”)例)和 RADIUS 服务器,以相互验证 RADIUS 客户端和服务器,并加密它们的通信。大多数 RADIUS 服务器允许您根据 AP 的 IP 地址为每个 AP 指定不同的共享密钥。因此,您网络上的攻击者必须能够接管该 IP 地址,并猜测该共享机密,以便 RADIUS 服务器与之通信。如果攻击者尚未在网络上,则攻击者将只能尝试发送特制/损坏的 EAP 消息,AP 将通过 RADIUS 将这些消息中继到 RADIUS 服务器。
| 归档时间: |
|
| 查看次数: |
47256 次 |
| 最近记录: |