RADIUS sunucusu bir WPA2 Enterprise kurulumunda ne yapar?


17

WiFi'mi "WPA2 Personal" dan "WPA2 Enterprise" moduna yükseltmek istiyorum çünkü prensip olarak "WPA2 Personal" ile güvenlikli bir WiFi'de PSK bilen cihazların yakalandıktan sonra birbirlerinin trafiğini koklayabildiğini biliyorum istasyon ve AP arasındaki ilişki. WiFi üzerindeki güvenliği ihlal edilmiş tek bir cihazın ("WPA2 Kişisel" modunda) etkisini azaltmak için, daha önce diğerinden "ilişkili istekleri" yakalamış olsaydı, ödün vermeyen diğer WiFi istemcisinin trafiğinin şifresini çözebilirdi. karışık / monitör modundaki istemciler) WiFi'mi "WPA2 Enterprise" güvenliğine yükseltmek istiyorum, burada benim anlayışım gereği bu artık mümkün değil.

Maalesef "WPA2 Enterprise" için bir RADIUS sunucusuna ihtiyacınız var.

Şimdi, anladığım kadarıyla, RADIUS sunucusu yalnızca kimlik doğrulama gerçekleştiriyor, ancak anahtar malzemenin şifrelemesini veya değişimini yapmıyor. Temel olarak, bir AP bir STA'dan bir ilişkilendirme isteği alır, istemci kimlik bilgilerini sağlar, sonra AP bunları RADIUS sunucusuna geçirir, RADIUS sunucusu "kimlik bilgileri TAMAM" diyor, sonra AP STA'nın ilişkilendirilmesine izin veriyor, aksi halde AP izin vermiyor.

Bu doğru model mi? Öyleyse, RADIUS sunucusu temelde kullanıcı kimlik bilgileri (kullanıcı adı ve parola çiftleri) ile dolu bir veritabanından başka bir şey değildir. Öyleyse, bunun için neden tam bir sunucu makinesine ihtiyaç duyduklarını merak ediyorum, çünkü binlerce kullanıcı için bile, kullanıcı adları ve şifreler kimlik bilgilerini depolamak ve doğrulamak oldukça temel bir görevdir, bu yüzden bu AP'nin kendisi tarafından kolayca yapılabilecek bir şey gibi görünüyor. Öyleyse neden bunun için özel bir sunucu gerekiyor?

Belki de bu yanlış anladım ve RADIUS sunucusu sadece kimlik doğrulama için değil, gerçek şifreleme için kullanılır? Bir STA "WPA2 Enterprise" kullanarak bir ağa veri gönderirse, bunu bir oturum anahtarıyla şifreler, daha sonra AP şifrelenmiş verileri alır, ancak "WPA2 Kişisel" in aksine, şifresini çözemez, bu nedenle verileri geçirir şifresini çözmek için anahtar malzemeye (ve hesaplama gücüne) sahip RADIUS sunucusuna. RADIUS net metni edindikten sonra, şifrelenmemiş malzemeyi kablolu ağa geri aktarır. Bu böyle mi yapılıyor?

Bunu bilmek istememin nedeni şudur. Burada çalışan bir RADIUS sunucusu olan oldukça eski bir cihazım var. Ancak, dediğim gibi, cihaz oldukça eski ve bu nedenle bilinen güvenlik zayıflıkları olan eski bir RADIUS sürümünü uyguluyor. Şimdi, "WPA2 Enterprise" modu şifrelemesi için kullanıldığında bunun WiFi güvenliğimi tehlikeye düşürüp düşürmeyeceğini bilmek istiyorum. Bir saldırgan kimlik doğrulaması yapılmadığında RADIUS sunucusuyla konuşabiliyorsa, bu ağımın güvenliğini tehlikeye atabilir, bu yüzden bunu yapmamam gerekir. Öte yandan, saldırgan yalnızca AP ile konuşabiliyorsa, kimlik bilgilerini denetlemek için RADIUS sunucusuyla konuşursa, saldırganın alamayacağı için "savunmasız bir RADIUS sunucusu" çok fazla sorun yaratmayabilir. ve böylece RADIUS sunucusuyla ilk etapta konuşamayacaksınız. RADIUS sunucusuyla konuşan tek cihaz, kimlik bilgilerinin kontrolü için AP'nin kendisi olacak, üretilen tüm anahtar malzeme ve şifreleme (ödün verilmemiş) AP'nin kendisinde gerçekleştirilecek. Saldırgan iptal edilir ve böylece ağa katılamaz ve potansiyel olarak savunmasız RADIUS sunucusundaki zayıflıklardan yararlanamaz.

Peki RADIUS sunucusu "WPA2 Enterprise" güvenliğiyle tam olarak nasıl ilgileniyor?

Yanıtlar:


16

WPA2 Enterprise, 802.11i'nin 802.1X tabanlı bölümlerini temel alır. 802.1X bir RADIUS sunucusu gerektirmez, ancak eski nedenlerle yaygın olarak bu şekilde yapılır.

RADIUS sunucusunun rolü yalnızca bağlantının başlangıcındadır, ancak sizin belirttiğinizden biraz daha fazlasını yapar. Kimlik doğrulama mekanizmasının bir parçası olarak, anahtarlama malzemesi RADIUS sunucusunda güvenli bir şekilde oluşturulur (ve aynı anahtarlama malzemesi WPA2 istemcisinde de oluşturulur). RADIUS sunucusu AP'ye bu bağlantı isteğini kabul etmesini söyledikten sonra, RADIUS sunucusu bu anahtarlama malzemesini bir RADIUS "anahtar" iletisine (Microsoft'un öncülük ettiği bir RADIUS MPPE-KEY iletisini / özniteliğini yeniden kullandılar) AP'ye gönderir, böylece AP o oturum için hangi oturum başına kullanıcı başına anahtarların (İkili Geçici Anahtar veya PTK dahil) kullanılacağını bilir. Bu RADIUS sunucusunun katılımını sona erdirir.

RADIUS sunucusu çalıştırmak için çok fazla beygir gücü gerektirmediğinden kesinlikle haklısınız. Tıpkı küçük bir ağ veya etki alanı için bir DHCP sunucusu veya DNS sunucusu gibi, onu çalıştırmak için gerçekten "sunucu sınıfı" donanımına ihtiyacınız yoktur. Muhtemelen herhangi bir düşük güçlü gömülü ağ kutusu yapacak. Modern ağda "sunucu" sonunun günümüz standartlarına göre çok fazla beygir gücü gerektirmediği birçok protokol vardır. "Sunucu" terimini duyduğunuz için, ağır hizmet sunucu donanımı gerektirdiğini düşünmeyin.


backstory

Görüyorsunuz, RADIUS başlangıçta kimlik doğrulamayı çevirmeli modem PPP sunucularınızdan ve merkezi bir sunucuya taşımanın bir yoluydu. Bu nedenle "Uzaktan Kimlik Doğrulama İçeri Arama Kullanıcı Hizmeti" anlamına gelir ("İçeri Arama Kullanıcı Uzaktan Kimlik Doğrulama Hizmeti" olmalıdır, ancak DIURAS RADIUS kadar iyi ses çıkarmaz). PPP DSL kimlik doğrulaması (PPPoE, PPPoA) ve VPN kimlik doğrulaması (ITPec üzerinden PPTP ve L2TP üzerinden "şifrelenmiş bir tünel içinde PPP" dir) kullanılmaya başladığında, merkezi kimlik doğrulaması için aynı RADIUS sunucularını kullanmaya devam etmek doğaldı tüm şirketinizin "Uzaktan Erişim Sunucuları".

PPP'nin orijinal kimlik doğrulama mekanizmaları yoktu ve yenilerini oluşturmak için birçok standart gövdeye dahil edildi, bu nedenle sonunda PPP benzeri kimlik doğrulaması için bir Auth tipi eklenti sistemi olarak Genişletilebilir Kimlik Doğrulama Protokolü (EAP) oluşturuldu. Doğal olarak, RADIUS sunucuları ve PPP istemcileri EAP'yi desteklemek için gereken ilk yerlerdi. Elbette, içeri arama modem / PPP sunucunuza veya VPN sunucunuza veya PPPoE / PPPoA (gerçekten, L2TP PPP) sunucunuza veya her neyse, EAP'yi yerel olarak uygulayabilirsiniz, ancak şu ana kadar RADIUS çok yaygın bir şekilde dağıtıldı çoğunlukla onu uygulayan RADIUS sunucularıydı.

Sonunda birisi lobi veya konferans salonundaki korumasız bir Ethernet portuna takıldığında kimlik doğrulaması talep etmenin bir yolunu istedi, böylece bunun için "LAN üzerinden EAP" oluşturuldu. Bilindiği gibi "EAPoL" 802.1X olarak standartlaştırılmıştır. 802.1X daha sonra IEEE 802.11i'deki 802.11 ağlarına uygulandı. Wi-Fi Alliance, 802.11i civarında bir birlikte çalışabilirlik sertifikası / markalama / pazarlama programı oluşturdu ve buna Wi-Fi Korumalı Erişim 2 (WPA2) adını verdi.

802.11 AP'niz, 802.1X (WPA2-Enterprise) "Authenticator" rolünün tamamını tek başına (RADIUS sunucusunun yardımı olmadan) yerine getirebilse de, yaygın olarak yapılmaz. Aslında, 802.1X bağımsız yapabilen bazı AP'lerde, aslında kaynak RADIUS sunucusunu yerleşik yazılımlarına kurup açarlar ve geri döngü aracılığıyla RADIUS aracılığıyla 802.1X kimlik doğrulaması yaparlar, çünkü bunu denemek yerine bu şekilde bağlamak daha kolaydır kendi EAP kimlik doğrulayıcı kodunuzu uygulayın veya kodun bir açık kaynak kodlu RADIUS sunucu yazılımından kopyasını alın ve kodu doğrudan AP ürün yazılımınızın 802.11 ile ilişkili arka plan programlarına entegre etmeye çalışın.


Arka plan olduğu ve önerilen RADIUS sunucunuzun kaç yaşında olduğuna bağlı olarak, önemli soru, ağınızda kimlik doğrulaması için kullanmak istediğiniz EAP türlerini uygulayıp uygulamadığıdır. PEAP? TTLS?

Ayrıca, RADIUS'un geleneksel olarak RADIUS istemcisi tarafından bilinen bir "Paylaşılan Sır" kullandığını unutmayın (RADIUS istemcisi "Ağ Erişim Sunucusu": bu durumda AP veya bir VPN veya PPP sunucusu veya diğer bir "Uzaktan Erişim Sunucusu" durumlarda) ve RADIUS sunucusunu, hem RADIUS istemcisinin hem de sunucunun kimlik doğrulamasını yapmak ve iletişimlerini şifrelemek için. Çoğu RADIUS sunucusu, AP'nin IP adresine bağlı olarak her AP için farklı Paylaşılan Sırlar belirlemenize izin verir. Bu nedenle ağınızdaki bir saldırganın, RADIUS sunucusunun onunla konuşmasını sağlamak için bu IP adresini devralması ve bu paylaşılan sırrı tahmin etmesi gerekir. Saldırgan henüz ağda olmasaydı, saldırgan yalnızca AP'nin RADIUS aracılığıyla RADIUS sunucusuna geçireceği özel hazırlanmış / bozuk EAP iletileri göndermeyi deneyebilirdi.


Mümkünse muhtemelen EAP-EKE veya alternatif olarak EAP-PWD kullanırdım. Tek yapmak istediğim temelde ağa bağlanabilen kullanıcıları, başkalarının trafiğini kesmekten korumak . WPA2-PSK, DH aracılığıyla "oturum anahtarları" kuracaksa, bu benim için mükemmel olurdu ama ne yazık ki (ne sebeple olursa olsun) yapmaz. Hiçbir karmaşık kimlik doğrulama yöntemine ihtiyacım yok. Tek istediğim istasyonların birbirlerinin trafiğini engellemelerini önlemek. Diğer her şey için, WPA2-PSK'nın güvenliği konusunda iyiyim.
no.human.being

@ no.human.being Tüm EAP yöntemlerinin 802.11i / WPA2-Enterprise için gerekli anahtarlama malzemesinin oluşturulmasını desteklemediğine dikkat edin. Bahsettiğiniz iki tipe aşina değilim, bu yüzden bu amaç için uygun olduklarından emin olmak için başka bir yerde kontrol etmek isteyebilirsiniz.
Spiff

1
Güzel yaz. Ayrı bir sunucu olması önemli bir nedenden bahsetmediniz. Bu, ev dağıtımları için geçerli değildir, ancak "bunun neden var olduğunun" büyük bir parçasıdır. Herhangi bir kurumsal dağıtımda, erişim noktaları gerçekte güvenilmezdir, çünkü ortak alanlarda bulunurlar ve bu nedenle herhangi bir kullanıcı bilgisi içermemelidirler. Ayrıca, istemciye güvenli bir tünel sağlayan herhangi bir EAP türüyle (PEAP, TTLS, TLS), AP kimlik doğrulamasına bile katılmaz, bu nedenle, merdiven :)
Cephane Goettsch

3

WPA Enterprise (EAP ile WPA), dijital sertifikalar, RSA belirteçleri vb. Gibi birçok kimlik doğrulama yöntemine sahip olmanızı sağlar. Tüm bu yöntemler basit kullanıcı adlarının + parolaların ötesinde olduğundan ve yarıçap protokolünün AAA'ya ihtiyaç duyan çoğu sistem için fiili standart (kimlik doğrulama, yetkilendirme, muhasebe).

Bu söyleniyor,

1) yarıçap sunucusu, yalnızca AP'lerden gelen paketleri kabul ederek güvenlik duvarı kurallarıyla kolayca korunabilir (wifi istemcisi asla doğrudan yarıçap sunucusuyla konuşmaz)

2) eski bir yarıçap kullanmak işe yaramayabilir, en son freeradius sunucularından birini öneririm

Bunun nasıl çalıştığı ve yapmanız gerekenler hakkında daha fazla bilgi: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?


Evet. Ben sadece "sofistike kimlik doğrulama yöntemleri" gerek yok çünkü RADIUS için gerçek bir sunucu koyarak değil güç tasarrufu (ve gürültü) düşündüm, sadece kablosuz istemcilerin "birbirlerine koklama" önlemek istiyorum muhtemelen olmayacak, sadece ekstra bir paranoya ;-)). Yani temelde kablosuz (doğal olarak yayın ortamı) bir "anahtarlamalı ağ" gizliliğini istiyorum, bu yüzden gerçek "bağlantı başına" veya "istemci başına" anahtarları gerekir. "WPA2 Enterprise" muhtemelen ihtiyaçlarımı karşılayacaktı. Linux çalıştıran gömülü bir karta RADIUS kurmayı deneyebilirim.
no.human.being

-2

FreeRadius mutlu bir Ahududu PI üzerinde çalışacaktır. Her zamanki işletim sistemi Debian'ın bir lezzeti olan Raspbian'dır - yani bir sunucunun DHCP / DNS gibi yapmasını isteyebileceğiniz her şeyi yapacaktır. Bu ucuz - çıplak bir tahta için 40 dolar - ama bir seçenek ve güç kaynağı gibi "seçenek" ekstralar için bütçe 80 veya 90 dolar ... Ben birkaç yıldır bir Pi üzerinde yarıçapı çalışıyor -24 / 7. Ayrıca zenmap ve Wireshark vardır. Bir SD kart bittiğinde ve SD kartı PC'nize kopyalayabildiğiniz için işleri denemek için bir oluşturma platformudur. Bir şey deneyin ve eğer taktıysanız SD'yi bilgisayarınızdan geri yükleyin.


2
Bu cevap bir RADIUS sunucusunun rolünü açıklamıyor
janv8000
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.