Máy chủ RADIUS làm gì trong thiết lập WPA2 Enterprise?


17

Tôi muốn nâng cấp WiFi của mình từ chế độ "WPA2 Personal" lên "WPA2 Enterprise" vì tôi biết rằng về nguyên tắc, trên WiFi được bảo mật bằng "WPA2 Personal", các thiết bị biết PSK có thể đánh hơi lưu lượng của nhau khi chúng bị bắt sự liên kết giữa nhà ga và AP. Để giảm hiệu ứng mà một thiết bị bị xâm nhập trên WiFi sẽ có (ở chế độ "WPA2 Personal", nó có thể giải mã lưu lượng truy cập WiFi khác, không thỏa hiệp, nếu trước đó đã bắt được "yêu cầu liên quan" từ thiết bị kia khách hàng ở chế độ giám sát / giám sát) Tôi muốn nâng cấp WiFi của mình lên bảo mật "WPA2 Enterprise", theo hiểu biết của tôi, điều này không còn có thể.

Thật không may, đối với "WPA2 Enterprise", bạn cần một máy chủ RADIUS.

Bây giờ, theo tôi hiểu, máy chủ RADIUS chỉ thực hiện xác thực, nhưng không thực hiện mã hóa hoặc trao đổi tài liệu chính. Về cơ bản, AP nhận được yêu cầu liên kết từ STA, máy khách cung cấp thông tin đăng nhập, sau đó AP chuyển chúng đến máy chủ RADIUS, máy chủ RADIUS nói "thông tin đăng nhập ổn", sau đó AP cho phép STA liên kết, nếu không thì không.

Đây có phải là mô hình đúng? Nếu vậy, thì máy chủ RADIUS về cơ bản không có gì ngoài một cơ sở dữ liệu chứa đầy đủ thông tin người dùng (cặp tên người dùng và mật khẩu). Nếu điều này là như vậy, thì tôi tò mò tại sao họ yêu cầu một máy chủ toàn diện cho việc này, vì, ngay cả đối với hàng ngàn người dùng, tên người dùng và mật khẩu không có nhiều dữ liệu để lưu trữ và xác minh thông tin đăng nhập là một nhiệm vụ khá cơ bản, Vì vậy, có vẻ như đây là một điều cũng có thể dễ dàng thực hiện bởi chính AP. Vậy tại sao cần một máy chủ chuyên dụng cho việc này?

Vì vậy, có lẽ tôi đã hiểu sai và máy chủ RADIUS không chỉ được sử dụng để xác thực mà còn cho mã hóa thực tế? Nếu STA gửi dữ liệu tới mạng bằng "WPA2 Enterprise", nó sẽ mã hóa nó bằng một số khóa phiên, sau đó AP nhận được dữ liệu được mã hóa, nhưng trái với "WPA2 Personal", nó không thể giải mã nó, vì vậy nó sẽ truyền dữ liệu vào đến máy chủ RADIUS, nơi có vật liệu chính (và sức mạnh tính toán) để giải mã nó. Sau khi RADIUS thu được văn bản rõ ràng, nó sẽ chuyển tài liệu không được mã hóa trở lại mạng có dây. Đây có phải là cách nó được thực hiện?

Lý do tôi muốn biết điều này là sau đây. Tôi có một thiết bị khá cũ ở đây, có máy chủ RADIUS chạy trên nó. Nhưng, như tôi đã nói, thiết bị này khá cũ và do đó thực hiện một phiên bản RADIUS cũ với các điểm yếu bảo mật đã biết. Bây giờ tôi muốn biết liệu điều này có làm ảnh hưởng đến bảo mật WiFi của tôi hay không nếu được sử dụng cho mã hóa chế độ "WPA2 Enterprise". Nếu kẻ tấn công có thể nói chuyện với máy chủ RADIUS khi không được xác thực, điều này có thể ảnh hưởng đến bảo mật mạng của tôi, vì vậy tôi không nên làm điều này. Mặt khác, nếu kẻ tấn công chỉ có thể nói chuyện với AP, thì đến lượt nó nói chuyện với máy chủ RADIUS để kiểm tra thông tin đăng nhập, thì "máy chủ RADIUS dễ bị tổn thương" có thể không gặp vấn đề gì, vì kẻ tấn công sẽ không nhận được vào mạng WiFi và do đó sẽ không thể nói chuyện với máy chủ RADIUS ngay từ đầu. Thiết bị duy nhất nói chuyện với máy chủ RADIUS sẽ là chính AP, để kiểm tra thông tin đăng nhập, với tất cả các tài liệu chính được tạo và mật mã được thực hiện trên chính AP (không thỏa hiệp). Kẻ tấn công sẽ bị thu hồi và do đó không thể tham gia mạng và khai thác điểm yếu trên máy chủ RADIUS có khả năng bị tổn thương.

Vậy chính xác thì máy chủ RADIUS liên quan đến bảo mật "WPA2 Enterprise" như thế nào?

Câu trả lời:


16

WPA2 Enterprise dựa trên các bộ phận của 802.11i dựa trên 802.1X. 802.1X KHÔNG yêu cầu máy chủ RADIUS, nhưng đó là cách nó thường được thực hiện vì lý do cũ.

Vai trò của máy chủ RADIUS chỉ ở đầu kết nối, nhưng nó thực hiện một điều nhỏ hơn bạn đã đề cập. Là một phần của cơ chế xác thực, vật liệu khóa được tạo an toàn trên máy chủ RADIUS (và vật liệu khóa tương tự cũng được tạo trên máy khách WPA2). Sau khi máy chủ RADIUS yêu cầu AP chấp nhận yêu cầu kết nối đó, máy chủ RADIUS sẽ gửi tài liệu khóa đó trong thông báo "khóa" RADIUS (họ đã sử dụng lại thông điệp / thuộc tính RADIUS MPPE-KEY mà Microsoft đã tiên phong) cho AP, vì vậy AP biết những khóa nào cho mỗi người dùng trên mỗi phiên (bao gồm Khóa tạm thời theo cặp hoặc PTK) để sử dụng cho phiên đó. Điều đó chấm dứt sự tham gia của máy chủ RADIUS.

Bạn hoàn toàn đúng khi thực sự không mất nhiều mã lực máy chủ để chạy máy chủ RADIUS. Giống như máy chủ DHCP hoặc máy chủ DNS cho một mạng hoặc miền nhỏ, bạn thực sự không cần phần cứng "lớp máy chủ" để chạy trên đó. Có lẽ bất kỳ hộp mạng nhúng năng lượng thấp sẽ làm. Có rất nhiều giao thức trong mạng hiện đại, nơi kết thúc "máy chủ" không đòi hỏi nhiều mã lực theo tiêu chuẩn ngày nay. Chỉ vì bạn nghe thấy thuật ngữ "máy chủ", đừng cho rằng nó yêu cầu phần cứng máy chủ hạng nặng.


Backstory

Bạn thấy đấy, RADIUS ban đầu là một cách để di chuyển xác thực ra khỏi các máy chủ PPP modem quay số của bạn và vào một máy chủ tập trung. Đó là lý do tại sao nó là viết tắt của "Dịch vụ xác thực người dùng quay số xác thực từ xa" (nên là "Dịch vụ xác thực từ xa người dùng quay số", nhưng DIURAS không có âm thanh tốt như RADIUS). Khi PPP bắt đầu được sử dụng để xác thực DSL (PPPoE, PPPoA) và xác thực VPN (PPTP và L2TP-over-IPSec đều là "PPP bên trong một đường hầm được mã hóa"), việc tiếp tục sử dụng cùng một máy chủ RADIUS để xác thực tập trung là điều đương nhiên tất cả "Máy chủ truy cập từ xa" của doanh nghiệp của bạn.

Các cơ chế xác thực ban đầu của PPP còn thiếu và mất rất nhiều sự tham gia của cơ quan tiêu chuẩn để tạo ra các cơ chế mới, do đó, cuối cùng, Giao thức xác thực mở rộng (EAP) đã được tạo để trở thành một hệ thống trình cắm thêm xác thực cho xác thực giống như PPP. Đương nhiên, các máy chủ RADIUS và máy khách PPP là nơi đầu tiên cần hỗ trợ EAP. Tất nhiên, bạn có thể có modem / máy chủ PPP quay số hoặc máy chủ VPN hoặc máy chủ PPPoE / PPPoA (thực sự, L2TP PPP) của bạn hoặc bất cứ điều gì, triển khai EAP cục bộ, nhưng hiện tại, RADIUS đã được triển khai rộng rãi rằng hầu hết các máy chủ RADIUS đã triển khai nó.

Cuối cùng, ai đó muốn có một cách để yêu cầu xác thực bất cứ khi nào ai đó cắm vào cổng Ethernet không được bảo vệ trong sảnh hoặc phòng hội nghị, vì vậy "EAP qua mạng LAN" đã được tạo cho việc này. "EAPoL" như đã biết, đã được chuẩn hóa thành 802.1X. 802.1X sau đó đã được áp dụng cho các mạng 802.11 trong IEEE 802.11i. Và Liên minh Wi-Fi đã tạo ra một chương trình chứng nhận / thương hiệu / tiếp thị tương tác xung quanh 802.11i và gọi đó là Wi-Fi Protected Access 2 (WPA2).

Vì vậy, mặc dù bản thân AP AP của bạn có thể tự mình hoàn thành toàn bộ vai trò "Authenticator" của 802.1X (WPA2-Enterprise) (không có sự trợ giúp của máy chủ RADIUS), nhưng điều đó thường không được thực hiện. Trên thực tế, trong một số AP có khả năng thực hiện độc lập 802.1X, họ thực sự đã xây dựng và mở máy chủ RADIUS mã nguồn vào phần sụn của mình và thực hiện xác thực 802.1X qua RADIUS, bởi vì nó dễ dàng kết nối theo cách đó hơn là cố gắng triển khai mã xác thực EAP của riêng bạn hoặc sao chép mã ra khỏi một số phần mềm máy chủ RADIUS nguồn mở và cố gắng tích hợp trực tiếp nó vào các trình tiện ích liên quan đến 802.11 của phần sụn AP của bạn.


Dựa vào cơ sở đó và tùy thuộc vào độ tuổi máy chủ RADIUS được đề xuất của bạn, câu hỏi quan trọng là liệu nó có triển khai (các) loại EAP mà bạn muốn sử dụng để xác thực trên mạng của mình không. PEAP? TUYỆT VỜI?

Ngoài ra, lưu ý rằng RADIUS thường sử dụng "Bí mật chung" được biết đến với máy khách RADIUS (máy khách RADIUS là "Máy chủ truy cập mạng": AP trong trường hợp này hoặc máy chủ VPN hoặc PPP hoặc "Máy chủ truy cập từ xa" khác trường hợp) và máy chủ RADIUS, để xác thực máy khách và máy chủ RADIUS với nhau và để mã hóa thông tin liên lạc của họ. Hầu hết các máy chủ RADIUS cho phép bạn chỉ định các Bí mật được chia sẻ khác nhau cho mỗi AP, dựa trên địa chỉ IP của AP. Vì vậy, kẻ tấn công trên mạng của bạn sẽ phải có thể chiếm lấy địa chỉ IP đó và đoán bí mật được chia sẻ đó, để máy chủ RADIUS nói chuyện với nó. Nếu kẻ tấn công chưa vào mạng, kẻ tấn công sẽ chỉ có thể cố gắng gửi các tin nhắn EAP được chế tạo đặc biệt / bị hỏng mà AP sẽ chuyển tiếp qua RADIUS đến máy chủ RADIUS.


Tôi có thể sử dụng EAP-EKE hoặc EAP-PWD thay thế nếu tôi có thể. Tất cả những gì tôi muốn làm là về cơ bản bảo vệ người dùng, có khả năng kết nối với mạng, khỏi khả năng chặn lưu lượng của người khác. Nếu WPA2-PSK sẽ thiết lập "khóa phiên" thông qua DH, điều đó sẽ hoàn hảo đối với tôi nhưng thật không may (vì bất kỳ lý do gì) thì không. Tôi không cần bất kỳ phương thức xác thực tinh vi nào. Tất cả những gì tôi muốn là ngăn các trạm chặn giao thông của nhau. Đối với mọi thứ khác, tôi ổn với tính bảo mật của WPA2-PSK.
không.human. Kể từ

@ no.human.being Xin lưu ý rằng không phải tất cả các phương thức EAP đều hỗ trợ tạo tài liệu khóa cần thiết cho 802.11i / WPA2-Enterprise. Tôi không quen thuộc với hai loại bạn đã đề cập, vì vậy bạn có thể muốn kiểm tra ở nơi khác để đảm bảo chúng sẽ phù hợp với mục đích này.
Spiff

1
Đẹp viết lên. Bạn đã không đề cập đến một lý do quan trọng có một máy chủ riêng biệt. Điều này không áp dụng cho việc triển khai tại nhà, nhưng nó là một phần lớn của "tại sao điều này tồn tại." Trong bất kỳ triển khai doanh nghiệp nào, các điểm truy cập thực sự không đáng tin cậy, vì chúng nằm ở khu vực công cộng và do đó không nên chứa bất kỳ thông tin người dùng nào. Ngoài ra, với bất kỳ loại EAP nào cung cấp đường hầm an toàn cho máy khách (PEAP, TTLS, TLS), AP thậm chí không tham gia xác thực, do đó, nó không thể chặn thông tin đăng nhập của người dùng ngay cả khi bị ai đó xâm phạm thang :)
Ammo Goettsch

3

WPA Enterprise (WPA với EAP) cho phép bạn có nhiều phương thức xác thực khác, như chứng chỉ kỹ thuật số, mã thông báo RSA, v.v. Nó nên được thực hiện với một máy chủ bán kính, bởi vì tất cả các phương thức đó đều vượt quá tên người dùng + mật khẩu đơn giản và giao thức bán kính là tiêu chuẩn thực tế cho hầu hết các hệ thống cần AAA (xác thực, ủy quyền, kế toán).

Điều này đang được nói,

1) máy chủ bán kính có thể dễ dàng được bảo vệ bởi các quy tắc tường lửa, chỉ chấp nhận các gói từ AP (máy khách wifi sẽ không bao giờ nói chuyện trực tiếp với máy chủ bán kính)

2) sử dụng bán kính cũ có thể không hoạt động, tôi khuyên bạn nên sử dụng một trong những máy chủ freeradius mới nhất

Chi tiết khác về cách thức hoạt động và những gì bạn cần làm: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?


Vâng. Tôi chỉ nghĩ rằng tôi có thể tiết kiệm năng lượng (và tiếng ồn) bằng cách không đặt máy chủ thực tế cho RADIUS vì tôi không cần "phương thức xác thực tinh vi", tôi chỉ muốn ngăn các máy khách không dây "đánh hơi lẫn nhau" (chúng có lẽ sẽ không, đó chỉ là một số hoang tưởng thêm ;-)). Vì vậy, về cơ bản tôi muốn sự riêng tư của một "mạng chuyển đổi" trên mạng không dây (vốn là phương tiện phát sóng vốn có) vì vậy tôi cần các khóa "trên mỗi liên kết" hoặc "trên mỗi máy khách" thực tế. "WPA2 Enterprise" có thể phù hợp với nhu cầu của tôi. Tôi có thể thử thiết lập RADIUS trên một bảng nhúng chạy Linux.
không.human. Kể

-2

FreeRadius sẽ vui vẻ chạy trên Raspberry PI. Hệ điều hành thông thường là Raspbian, một hương vị của Debian - vì vậy nó sẽ thực hiện tất cả những điều bạn có thể muốn một máy chủ thực hiện, ví dụ như DHCP / DNS. Nó rẻ - 40 đô la cho một tấm ván trần - nhưng ngân sách 80 hoặc 90 đô la để có các tùy chọn bổ sung "tùy chọn" - chẳng hạn như vỏ và nguồn điện ... Tôi đã chạy bán kính trên Pi trong vài năm -24 / 7. Nó cũng có zenmap và Wireshark. Nó là một nền tảng tạo để thử mọi thứ vì nó hết thẻ SD và bạn có thể sao chép thẻ SD vào PC. Hãy thử một cái gì đó và khôi phục SD từ PC của bạn nếu bạn làm hỏng nó.


2
Câu trả lời này không giải thích vai trò của máy chủ RADIUS
janv8000
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.