WiFi'mi "WPA2 Personal" dan "WPA2 Enterprise" moduna yükseltmek istiyorum çünkü prensip olarak "WPA2 Personal" ile güvenlikli bir WiFi'de PSK bilen cihazların yakalandıktan sonra birbirlerinin trafiğini koklayabildiğini biliyorum istasyon ve AP arasındaki ilişki. WiFi üzerindeki güvenliği ihlal edilmiş tek bir cihazın ("WPA2 Kişisel" modunda) etkisini azaltmak için, daha önce diğerinden "ilişkili istekleri" yakalamış olsaydı, ödün vermeyen diğer WiFi istemcisinin trafiğinin şifresini çözebilirdi. karışık / monitör modundaki istemciler) WiFi'mi "WPA2 Enterprise" güvenliğine yükseltmek istiyorum, burada benim anlayışım gereği bu artık mümkün değil.
Maalesef "WPA2 Enterprise" için bir RADIUS sunucusuna ihtiyacınız var.
Şimdi, anladığım kadarıyla, RADIUS sunucusu yalnızca kimlik doğrulama gerçekleştiriyor, ancak anahtar malzemenin şifrelemesini veya değişimini yapmıyor. Temel olarak, bir AP bir STA'dan bir ilişkilendirme isteği alır, istemci kimlik bilgilerini sağlar, sonra AP bunları RADIUS sunucusuna geçirir, RADIUS sunucusu "kimlik bilgileri TAMAM" diyor, sonra AP STA'nın ilişkilendirilmesine izin veriyor, aksi halde AP izin vermiyor.
Bu doğru model mi? Öyleyse, RADIUS sunucusu temelde kullanıcı kimlik bilgileri (kullanıcı adı ve parola çiftleri) ile dolu bir veritabanından başka bir şey değildir. Öyleyse, bunun için neden tam bir sunucu makinesine ihtiyaç duyduklarını merak ediyorum, çünkü binlerce kullanıcı için bile, kullanıcı adları ve şifreler kimlik bilgilerini depolamak ve doğrulamak oldukça temel bir görevdir, bu yüzden bu AP'nin kendisi tarafından kolayca yapılabilecek bir şey gibi görünüyor. Öyleyse neden bunun için özel bir sunucu gerekiyor?
Belki de bu yanlış anladım ve RADIUS sunucusu sadece kimlik doğrulama için değil, gerçek şifreleme için kullanılır? Bir STA "WPA2 Enterprise" kullanarak bir ağa veri gönderirse, bunu bir oturum anahtarıyla şifreler, daha sonra AP şifrelenmiş verileri alır, ancak "WPA2 Kişisel" in aksine, şifresini çözemez, bu nedenle verileri geçirir şifresini çözmek için anahtar malzemeye (ve hesaplama gücüne) sahip RADIUS sunucusuna. RADIUS net metni edindikten sonra, şifrelenmemiş malzemeyi kablolu ağa geri aktarır. Bu böyle mi yapılıyor?
Bunu bilmek istememin nedeni şudur. Burada çalışan bir RADIUS sunucusu olan oldukça eski bir cihazım var. Ancak, dediğim gibi, cihaz oldukça eski ve bu nedenle bilinen güvenlik zayıflıkları olan eski bir RADIUS sürümünü uyguluyor. Şimdi, "WPA2 Enterprise" modu şifrelemesi için kullanıldığında bunun WiFi güvenliğimi tehlikeye düşürüp düşürmeyeceğini bilmek istiyorum. Bir saldırgan kimlik doğrulaması yapılmadığında RADIUS sunucusuyla konuşabiliyorsa, bu ağımın güvenliğini tehlikeye atabilir, bu yüzden bunu yapmamam gerekir. Öte yandan, saldırgan yalnızca AP ile konuşabiliyorsa, kimlik bilgilerini denetlemek için RADIUS sunucusuyla konuşursa, saldırganın alamayacağı için "savunmasız bir RADIUS sunucusu" çok fazla sorun yaratmayabilir. ve böylece RADIUS sunucusuyla ilk etapta konuşamayacaksınız. RADIUS sunucusuyla konuşan tek cihaz, kimlik bilgilerinin kontrolü için AP'nin kendisi olacak, üretilen tüm anahtar malzeme ve şifreleme (ödün verilmemiş) AP'nin kendisinde gerçekleştirilecek. Saldırgan iptal edilir ve böylece ağa katılamaz ve potansiyel olarak savunmasız RADIUS sunucusundaki zayıflıklardan yararlanamaz.
Peki RADIUS sunucusu "WPA2 Enterprise" güvenliğiyle tam olarak nasıl ilgileniyor?