标签: radius

我想将我的 WiFi 从“WPA2 Personal”升级到“WPA2 Enterprise”模式，因为我知道原则上，在使用“WPA2 Personal”保护的 WiFi 上，知道 PSK 的设备可以在捕获后嗅探对方的流量站点与AP的关联。为了减少 WiFi 上单个受感染设备的影响（在“WPA2 个人”模式下，它可以解密其他未受感染的 WiFi 客户端的流量，如果它之前已捕获来自另一个的“关联请求”混杂/监控模式的客户端）我想将我的 WiFi 升级到“WPA2 Enterprise”安全性，据我所知，这不再可能。

现在，不幸的是，对于“WPA2 Enterprise”，您需要一个 RADIUS 服务器。

现在，据我所知，RADIUS 服务器只执行身份验证，而不执行加密或交换密钥材料。所以基本上，AP 从 STA 获取关联请求，客户端提供凭据，然后 AP 将它们传递给 RADIUS 服务器，RADIUS 服务器说“凭据正常”，然后 AP 让 STA 关联，否则不关联。

这是正确的模型吗？如果是这样，那么 RADIUS 服务器基本上就是一个充满用户凭据（用户名和密码对）的数据库。如果是这样，那么我很好奇他们为什么需要一台成熟的服务器来实现这一点，因为即使对于成千上万的用户，用户名和密码也不是很多数据来存储和验证凭据是一项相当基本的任务，所以这似乎是 AP 本身也可以轻松完成的事情。那么为什么需要一个专用服务器呢？

所以也许我弄错了，RADIUS 服务器不仅用于身份验证，还用于实际加密？如果 STA 使用“WPA2 Enterprise”将数据发送到网络，它会使用一些会话密钥对其进行加密，然后 AP 会收到加密的数据，但是，与“WPA2 Personal”相反，它无法解密它，因此它将数据传递给RADIUS 服务器，它具有解密它的密钥材料（和计算能力）。RADIUS 获得明文后，会将未加密的材料传回有线网络。这是这样做的吗？

我想知道这一点的原因如下。我这里有一个相当旧的设备，上面运行着一个 RADIUS 服务器。但是，就像我说的那样，该设备已经很旧了，因此实现了具有已知安全漏洞的旧版 RADIUS。现在我想知道如果用于“WPA2 Enterprise”模式加密，这是否会损害我的 WiFi 安全性。如果攻击者在未通过身份验证时可以与 RADIUS 服务器通信，这可能会危及我的网络安全，因此我不应该这样做。另一方面，如果攻击者只能与 AP 交谈，而 AP 又与 RADIUS 服务器交谈以检查凭据，那么“易受攻击的 RADIUS 服务器”可能不是什么大问题，因为攻击者不会得到进入 WiFi 网络，因此首先无法与 RADIUS 服务器通信。唯一与 RADIUS 服务器通信的设备将是 AP 本身，用于检查凭证，所有密钥材料生成并在（未受损害的）AP 本身上执行加密。攻击者将被撤销，因此无法加入网络并利用潜在易受攻击的 RADIUS 服务器上的弱点。

那么 …

理想情况下，在我的环境中，radius 服务器将在路由器上运行，以便我们可以节省电量。

现在，我听说有人使用 freeRadius，我听说它很棒，但设置起来有点麻烦。但只要有指示，我就不能抱怨。

那么，有没有人知道如何在 DD-WRT 路由器上设置 RADIUS，或者有任何链接？

供参考：我的路由器是 Netgear WNR3500v2，所以它有 64MB 的空间，大部分是免费的。所以在那里获得 freeRadius 应该没有问题，如果那是选择的 RADIUS 服务器。

按照教程：我远程登录到我的路由器，进行了 ipkg 更新，得到了一堆“无法检索”的错误

这是我输入 df 时得到的：

root@OverMind:~# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/root                 2048      2048         0 100% /
/dev/mtdblock/4           4160       260      3900   6% /jffs
/dev/mtdblock/4           4160       260      3900   6% /opt

所以也许我没有足够的可用空间？

我有以下设置：

                        ____________
[Windows PC1] ---------|            |
                       | Linux Box  |----------[Internet]
[Windows PC2] ---------|____________|
                              |
                              |
                       [RADIUS server]

我想在 Windows PC 上激活 802.1x 身份验证，并让 Linux Box 扮演 802.1x 身份验证器的角色（阻止对 Internet 的所有访问，直到 Windows PC 使用 802.1x 协议正确验证自己，Linux Box 通过询问 RADIUS 服务器来检查凭据）。

理论上我可以在 Windows PC 和 Linux Box 之间插入一个支持 802.1x 的交换机，但是这个设置是嵌入式的，硬件不能改变。

显然 OpenWRT 项目以某种方式解决了这个问题，所以某处肯定有一个开源解决方案，但我根本找不到它。我找到的唯一链接是针对 Open1X 项目 ( http://open1x.sourceforge.net/ )，但 Docs 链接已失效。

请帮忙？:-)

编辑

显然，OpenWRT 的 802.1x 身份验证器是专有的。我现在正在寻找一个 hostapd：它包括一个 802.1x 身份验证器，但它处理无线访问控制......有谁知道它是否可以控制有线访问？

我的办公室中有一些同名 SSID 的接入点。所有这些都设置在 RADIUS 服务器上，身份验证方法：WPA2-Enterprise。

如何查看我连接到哪个接入点？

我正在尝试为 WPA2 企业身份验证设置 RADIUS 服务器。我对这一切都很陌生。据我所知，服务器有一个“服务器证书”，我认为它扮演的角色与 HTTPS 和 SSH 服务器证书的角色类似。是否存在“客户端证书”的概念？这是一个有意义的概念吗？如果是的话，它们是如何使用的以及它们的用途是什么？