Tôi muốn nâng cấp WiFi của mình từ chế độ "WPA2 Personal" lên "WPA2 Enterprise" vì tôi biết rằng về nguyên tắc, trên WiFi được bảo mật bằng "WPA2 Personal", các thiết bị biết PSK có thể đánh hơi lưu lượng của nhau khi chúng bị bắt sự liên kết giữa nhà ga và AP. Để giảm hiệu ứng mà một thiết bị bị xâm nhập trên WiFi sẽ có (ở chế độ "WPA2 Personal", nó có thể giải mã lưu lượng truy cập WiFi khác, không thỏa hiệp, nếu trước đó đã bắt được "yêu cầu liên quan" từ thiết bị kia khách hàng ở chế độ giám sát / giám sát) Tôi muốn nâng cấp WiFi của mình lên bảo mật "WPA2 Enterprise", theo hiểu biết của tôi, điều này không còn có thể.
Thật không may, đối với "WPA2 Enterprise", bạn cần một máy chủ RADIUS.
Bây giờ, theo tôi hiểu, máy chủ RADIUS chỉ thực hiện xác thực, nhưng không thực hiện mã hóa hoặc trao đổi tài liệu chính. Về cơ bản, AP nhận được yêu cầu liên kết từ STA, máy khách cung cấp thông tin đăng nhập, sau đó AP chuyển chúng đến máy chủ RADIUS, máy chủ RADIUS nói "thông tin đăng nhập ổn", sau đó AP cho phép STA liên kết, nếu không thì không.
Đây có phải là mô hình đúng? Nếu vậy, thì máy chủ RADIUS về cơ bản không có gì ngoài một cơ sở dữ liệu chứa đầy đủ thông tin người dùng (cặp tên người dùng và mật khẩu). Nếu điều này là như vậy, thì tôi tò mò tại sao họ yêu cầu một máy chủ toàn diện cho việc này, vì, ngay cả đối với hàng ngàn người dùng, tên người dùng và mật khẩu không có nhiều dữ liệu để lưu trữ và xác minh thông tin đăng nhập là một nhiệm vụ khá cơ bản, Vì vậy, có vẻ như đây là một điều cũng có thể dễ dàng thực hiện bởi chính AP. Vậy tại sao cần một máy chủ chuyên dụng cho việc này?
Vì vậy, có lẽ tôi đã hiểu sai và máy chủ RADIUS không chỉ được sử dụng để xác thực mà còn cho mã hóa thực tế? Nếu STA gửi dữ liệu tới mạng bằng "WPA2 Enterprise", nó sẽ mã hóa nó bằng một số khóa phiên, sau đó AP nhận được dữ liệu được mã hóa, nhưng trái với "WPA2 Personal", nó không thể giải mã nó, vì vậy nó sẽ truyền dữ liệu vào đến máy chủ RADIUS, nơi có vật liệu chính (và sức mạnh tính toán) để giải mã nó. Sau khi RADIUS thu được văn bản rõ ràng, nó sẽ chuyển tài liệu không được mã hóa trở lại mạng có dây. Đây có phải là cách nó được thực hiện?
Lý do tôi muốn biết điều này là sau đây. Tôi có một thiết bị khá cũ ở đây, có máy chủ RADIUS chạy trên nó. Nhưng, như tôi đã nói, thiết bị này khá cũ và do đó thực hiện một phiên bản RADIUS cũ với các điểm yếu bảo mật đã biết. Bây giờ tôi muốn biết liệu điều này có làm ảnh hưởng đến bảo mật WiFi của tôi hay không nếu được sử dụng cho mã hóa chế độ "WPA2 Enterprise". Nếu kẻ tấn công có thể nói chuyện với máy chủ RADIUS khi không được xác thực, điều này có thể ảnh hưởng đến bảo mật mạng của tôi, vì vậy tôi không nên làm điều này. Mặt khác, nếu kẻ tấn công chỉ có thể nói chuyện với AP, thì đến lượt nó nói chuyện với máy chủ RADIUS để kiểm tra thông tin đăng nhập, thì "máy chủ RADIUS dễ bị tổn thương" có thể không gặp vấn đề gì, vì kẻ tấn công sẽ không nhận được vào mạng WiFi và do đó sẽ không thể nói chuyện với máy chủ RADIUS ngay từ đầu. Thiết bị duy nhất nói chuyện với máy chủ RADIUS sẽ là chính AP, để kiểm tra thông tin đăng nhập, với tất cả các tài liệu chính được tạo và mật mã được thực hiện trên chính AP (không thỏa hiệp). Kẻ tấn công sẽ bị thu hồi và do đó không thể tham gia mạng và khai thác điểm yếu trên máy chủ RADIUS có khả năng bị tổn thương.
Vậy chính xác thì máy chủ RADIUS liên quan đến bảo mật "WPA2 Enterprise" như thế nào?