Was macht der RADIUS-Server in einem WPA2 Enterprise-Setup?

Question

Was macht der RADIUS-Server in einem WPA2 Enterprise-Setup?

Ich möchte mein WLAN vom Modus "WPA2 Personal" auf den Modus "WPA2 Enterprise" aktualisieren, da ich weiß, dass Geräte, die die PSK kennen, auf einem mit "WPA2 Personal" gesicherten WLAN grundsätzlich den Datenverkehr des anderen erfassen können, sobald sie die Verbindung zwischen der Station und dem AP erfasst haben. Um den Effekt zu verringern, den ein einzelnes kompromittiertes Gerät auf dem WLAN haben würde (im Modus "WPA2 Personal"), wäre es in der Lage, den Datenverkehr eines anderen, kompromisslosen WLAN-Clients zu entschlüsseln, wenn dies der Fall wäre bevor ich die "zugeordneten Anforderungen" von den anderen Clients im Promiscuous/Monitor-Modus erhalte) möchte ich mein WLAN auf die Sicherheit "WPA2 Enterprise" aktualisieren, wo dies nach meinem Verständnis nicht mehr möglich ist.

Nun benötigen Sie leider für "WPA2 Enterprise" einen RADIUS-Server.

Soweit ich weiß, führt der RADIUS-Server nur die Authentifizierung durch, führt jedoch keine Verschlüsselung oder keinen Austausch von Schlüsselmaterial durch. Grundsätzlich erhält ein AP eine Assoziationsanfrage von einem STA stellt der Client Anmeldeinformationen bereit, dann übergibt der AP sie an den RADIUS-Server, der RADIUS-Server sagt "Anmeldeinformationen sind in Ordnung", dann lässt der AP den STA assoziieren, andernfalls nicht.

Ist das das richtige Modell? Wenn ja, dann ist der RADIUS-Server im Grunde nichts anderes als eine Datenbank voller Benutzeranmeldeinformationen (Benutzername und Passwort-Paare). Wenn das so ist, dann bin ich neugierig, warum sie dafür eine ausgewachsene Servermaschine benötigen, da selbst für Tausende von Benutzern Benutzernamen und Passwörter nicht viele Daten zum Speichern und Überprüfen von Anmeldeinformationen sind eine ziemlich grundlegende Aufgabe, daher scheint es, dass dies auch vom AP selbst leicht erledigt werden kann. Warum also einen dedizierten Server dafür benötigen?

Also habe ich das vielleicht falsch verstanden und der RADIUS-Server wird nicht nur für die Authentifizierung verwendet, sondern auch für die eigentliche Verschlüsselung? Wenn ein STA Daten mit "WPA2 Enterprise" an ein Netzwerk sendet, verschlüsselt er sie mit einem Sitzungsschlüssel, dann empfängt der AP die verschlüsselten Daten, aber im Gegensatz zu " WPA2 Persönlich", es kann es nicht entschlüsseln, also gibt es die Daten an den RADIUS-Server weiter, der über das Schlüsselmaterial (und die Rechenleistung) verfügt, um es zu entschlüsseln. Nachdem der RADIUS den Klartext erhalten hat, leitet er das unverschlüsselte Material wieder an das kabelgebundene Netzwerk weiter. Ist das, wie es gemacht wird?

Der Grund, warum ich das wissen möchte, ist der folgende. Ich habe hier ein ziemlich altes Gerät, auf dem ein RADIUS-Server ausgeführt wird. Aber wie gesagt, das Gerät ist ziemlich alt und implementiert somit eine alte Version natürlich mit bekannten Sicherheitslücken. Jetzt würde ich gerne wissen, ob dies meine WLAN-Sicherheit beeinträchtigen würde, wenn es für die Verschlüsselung im "WPA2 Enterprise" - Modus verwendet wird. Wenn ein Angreifer nicht authentifiziert mit dem RADIUS-Server sprechen kann, kann dies die Sicherheit meines Netzwerks beeinträchtigen. Wenn der Angreifer hingegen nur mit dem AP sprechen kann, der wiederum mit dem RADIUS-Server zum Überprüfen der Anmeldeinformationen spricht, ist ein" anfälliger RADIUS-Server " möglicherweise kein großes Problem, da der Angreifer würde nicht in das WLAN-Netzwerk gelangen und daher überhaupt nicht mit dem RADIUS-Server sprechen können. Das einzige Gerät, das mit dem RADIUS-Server spricht, wäre der AP selbst, um die Anmeldeinformationen zu überprüfen, wobei das gesamte Schlüsselmaterial generiert und die Kryptographie auf dem (kompromisslosen) AP selbst durchgeführt wird. Der Angreifer würde widerrufen und somit nicht in der Lage sein, sich dem Netzwerk anzuschließen und Schwächen auf dem potenziell anfälligen RADIUS-Server auszunutzen.

Wie genau ist also die RADIUS server mit "WPA2 Enterprise" Sicherheit?

17

wireless-networking security encryption wpa2 radius

Author: no.human.being, 2014-03-08

Source

3 answers

Mit WPA Enterprise (WPA mit EAP) können Sie viele andere Authentifizierungsmethoden wie digitale Zertifikate, RSA-Token usw. verwenden. Es sollte mit einem Radius-Server implementiert werden, da alle diese Methoden über einfache Benutzernamen+Kennwörter hinausgehen und das Radius-Protokoll der De-facto-Standard für die meisten Systeme ist, die AAA benötigen (Authentifizierung, Autorisierung, Buchhaltung).

Dies wird gesagt,

1) Der Radius-Server kann leicht durch Firewall-Regeln geschützt werden und akzeptiert nur Pakete von APs (der WLAN-Client spricht niemals direkt mit dem Radius-Server)

2) Die Verwendung eines alten Radius funktioniert möglicherweise nicht, ich empfehle einen der neuesten Freeradius-Server

Weitere Details darüber, wie dies funktioniert und was Sie tun müssen: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA?

3

Author: claudiuf,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2014-03-08 21:58:24

FreeRadius läuft gerne auf einem Raspberry PI. Das übliche Betriebssystem ist Raspbian, eine Variante von Debian -es wird also alles tun, was ein Server tun soll, z. B. DHCP / DNS. Es ist billig-40 Dollar für ein nacktes Board - aber Budget 80 oder 90 Dollar "Option" Extras zu haben-wie ein Fall und Stromversorgung... Ich betreibe Radius seit ein paar Jahren auf einem Pi -24 / 7. Es hat auch zenmap und Wireshark. Es ist eine großartige Plattform, um Dinge auszuprobieren, da es von einer SD-Karte läuft und Sie können kopieren Sie die SD-Karte auf Ihren PC. Versuchen Sie etwas und stellen Sie die SD von Ihrem PC wieder her, wenn Sie es vermasselt haben.

-2

Author: Sean,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-01-11 18:45:51

score 16 · Accepted Answer

WPA2 Enterprise basiert auf Teilen von 802.11 i, die auf 802.1 X basieren 802.1 X benötigt KEINEN RADIUS-Server, aber so wird es normalerweise aus Legacy-Gründen gemacht.

Die Rolle des RADIUS-Servers befindet sich nur am Anfang der Verbindung, macht aber eine Kleinigkeit mehr als Sie erwähnt haben. Als Teil des Authentifizierungsmechanismus wird das Schlüsselmaterial sicher auf dem RADIUS-Server generiert (und das gleiche Schlüsselmaterial wird auch auf dem WPA2-Client generiert). Nach dem RADIUS der RADIUS-Server weist den AP an, diese Verbindungsanforderung zu akzeptieren, der RADIUS-Server sendet dieses Schlüsselmaterial in einer RADIUS-Schlüsselnachricht (sie haben eine RADIUS-MPPE-Schlüsselnachricht/ein RADIUS-Attribut wiederverwendet, das Microsoft Pionierarbeit geleistet hat) an den AP, damit der AP weiß, welche Schlüssel pro Benutzer pro Sitzung (einschließlich des paarweisen temporalen Schlüssels oder PTK) für diese Sitzung verwendet werden sollen. Damit endet die Beteiligung des RADIUS-Servers.

Du hast absolut Recht, dass es wirklich nicht viel Serverleistung zu laufen, einen RADIUS-server. Genau wie ein DHCP-Server oder ein DNS-Server Für ein kleines Netzwerk oder eine Domäne benötigen Sie keine "Server Class" - Hardware, um sie auszuführen. Wahrscheinlich wird jede kleine Low-Power-Embedded-Netzwerk-Box tun. Es gibt viele Protokolle in modernen Netzwerken, bei denen das "Server" - Ende nach heutigen Standards nicht viel Leistung erfordert. Nur weil Sie den Begriff "Server" hören, gehen Sie nicht davon aus, dass es schwere Server-Hardware erfordert.

Hintergrundgeschichte

Sie sehen, RADIUS war ursprünglich ein Weg, sich zu bewegen authentifizierung aus Ihrem DFÜ-Modem PPP-Server und in einen zentralen Server. Deshalb steht es für " Remote Authentication Dial-In User Service "(es sollte "Dial-In User Remote Authentication Service" sein, aber DIAL klingt nicht so gut wie RADIUS). Als PPP für die DSL-Authentifizierung (PPPoE, PPPoA) und VPN-Authentifizierung (PPTP und L2TP-over-IPSec sind beide "PPP in einem verschlüsselten Tunnel") verwendet wurde, war es natürlich, weiterhin dieselben RADIUS-Server für zentralisierte authentifizierung für alle "Remote Access Server"Ihres Unternehmens.

Die ursprünglichen Authentifizierungsmechanismen von PPP fehlten und erforderten eine große Beteiligung des Normenkörpers, um neue zu erstellen, so dass schließlich das Extensible Authentication Protocol (EAP) als Auth-Plug-In-System für die PPP-ähnliche Authentifizierung erstellt wurde. Natürlich waren RADIUS-Server und PPP-Clients die ersten Orte, die EAP unterstützen mussten. Sie können natürlich Ihr Einwahlmodem/PPP-Server oder Ihren VPN-Server haben, oder Ihr PPPoE / PPPoA-Server (wirklich L2TP PPP) oder was auch immer, implementiert EAP lokal, aber inzwischen war RADIUS so weit verbreitet, dass es hauptsächlich RADIUS-Server waren, die es implementiert haben.

Schließlich wollte jemand eine Möglichkeit, Authentifizierung zu verlangen, wenn jemand in einen unbewachten Ethernet-Port in der Lobby oder einem Konferenzraum Stecker, so "EAP over LANs" wurde für diese erstellt. "EAPoL", wie es bekannt war, wurde standardisiert als 802.1 X. 802.1 X wurde später auf 802.11-Netzwerke in IEEE 802.11 i angewendet. Und die Wi-Fi Alliance erstellte ein Interoperabilitätszertifizierungs - / Branding - / Marketingprogramm um 802.11 i und nannte es Wi-Fi Protected Access 2 (WPA2).

Während also Ihr 802.11 AP selbst die gesamte 802.1 X (WPA2-Enterprise) "Authenticator" - Rolle alleine (ohne die Hilfe eines RADIUS-Servers) erfüllen könnte, ist es einfach nicht üblich. In der Tat, in einigen APs, die in der Lage sind 802.1 X Standalone zu tun, sie tatsächlich gebaut und Open-Source-RADIUS-Server in ihre Firmware, und tun 802.1 X authentifizierung über RADIUS über Loopback, da es einfacher ist, es auf diese Weise anzuschließen, als zu versuchen, Ihren eigenen EAP-Authentifizierungscode zu implementieren, oder kopieren Sie den Code aus einer Open-Source-RADIUS-Serversoftware und versuchen Sie, ihn direkt in die 802.11-bezogenen Daemons Ihrer AP-Firmware zu integrieren.

Angesichts dieser Hintergrundgeschichte und je nachdem, wie alt Ihr vorgeschlagener RADIUS-Server ist, ist die wichtige Frage, ob er die EAP-Typen implementiert, die Sie für die Authentifizierung auf Ihrem verwenden möchten Netzwerk. PEAP? TTLS?

Beachten Sie außerdem, dass RADIUS traditionell ein "Shared Secret" verwendet, das dem RADIUS-Client bekannt ist (der RADIUS-Client ist der "Network Access Server": in diesem Fall der AP oder ein VPN-oder PPP-Server oder ein anderer "Remote Access Server" in anderen Fällen) und der RADIUS-Server, um den RADIUS-Client und den RADIUS-Server miteinander zu authentifizieren und ihre Kommunikation zu verschlüsseln. Auf den meisten RADIUS-Servern können Sie verschiedene gemeinsam genutzte Geheimnisse für jeden AP angeben, basierend auf der IP-Adresse des AP. So ein Angreifer in Ihrem Netzwerk müsste in der Lage sein, diese IP-Adresse zu übernehmen und dieses gemeinsam genutzte Geheimnis zu erraten, damit der RADIUS-Server mit ihm spricht. Wenn der Angreifer noch nicht im Netzwerk war, konnte der Angreifer nur versuchen, speziell erstellte/beschädigte EAP-Nachrichten zu senden, die der AP über RADIUS an den RADIUS-Server weiterleitete. Wenn das Sicherheitsproblem, über das Sie besorgt sind, über fehlerhafte EAP-Nachrichten ausgenutzt werden könnte, haben Sie möglicherweise immer noch ein Problem.