我想将我的 WiFi 从“WPA2 Personal”升级到“WPA2 Enterprise”模式,因为我知道原则上,在使用“WPA2 Personal”保护的 WiFi 上,知道 PSK 的设备可以在捕获后嗅探对方的流量站点与AP的关联。为了减少 WiFi 上单个受感染设备的影响(在“WPA2 个人”模式下,它可以解密其他未受感染的 WiFi 客户端的流量,如果它之前已捕获来自另一个的“关联请求”混杂/监控模式的客户端)我想将我的 WiFi 升级到“WPA2 Enterprise”安全性,据我所知,这不再可能。
现在,不幸的是,对于“WPA2 Enterprise”,您需要一个 RADIUS 服务器。
现在,据我所知,RADIUS 服务器只执行身份验证,而不执行加密或交换密钥材料。所以基本上,AP 从 STA 获取关联请求,客户端提供凭据,然后 AP 将它们传递给 RADIUS 服务器,RADIUS 服务器说“凭据正常”,然后 AP 让 STA 关联,否则不关联。
这是正确的模型吗?如果是这样,那么 RADIUS 服务器基本上就是一个充满用户凭据(用户名和密码对)的数据库。如果是这样,那么我很好奇他们为什么需要一台成熟的服务器来实现这一点,因为即使对于成千上万的用户,用户名和密码也不是很多数据来存储和验证凭据是一项相当基本的任务,所以这似乎是 AP 本身也可以轻松完成的事情。那么为什么需要一个专用服务器呢?
所以也许我弄错了,RADIUS 服务器不仅用于身份验证,还用于实际加密?如果 STA 使用“WPA2 Enterprise”将数据发送到网络,它会使用一些会话密钥对其进行加密,然后 AP 会收到加密的数据,但是,与“WPA2 Personal”相反,它无法解密它,因此它将数据传递给RADIUS 服务器,它具有解密它的密钥材料(和计算能力)。RADIUS 获得明文后,会将未加密的材料传回有线网络。这是这样做的吗?
我想知道这一点的原因如下。我这里有一个相当旧的设备,上面运行着一个 RADIUS 服务器。但是,就像我说的那样,该设备已经很旧了,因此实现了具有已知安全漏洞的旧版 RADIUS。现在我想知道如果用于“WPA2 Enterprise”模式加密,这是否会损害我的 WiFi 安全性。如果攻击者在未通过身份验证时可以与 RADIUS 服务器通信,这可能会危及我的网络安全,因此我不应该这样做。另一方面,如果攻击者只能与 AP 交谈,而 AP 又与 RADIUS 服务器交谈以检查凭据,那么“易受攻击的 RADIUS 服务器”可能不是什么大问题,因为攻击者不会得到进入 WiFi 网络,因此首先无法与 RADIUS 服务器通信。唯一与 RADIUS 服务器通信的设备将是 AP 本身,用于检查凭证,所有密钥材料生成并在(未受损害的)AP 本身上执行加密。攻击者将被撤销,因此无法加入网络并利用潜在易受攻击的 RADIUS 服务器上的弱点。
那么 …