O que o servidor RADIUS faz em uma instalação WPA2 Enterprise?


17

Gostaria de atualizar meu WiFi do modo "WPA2 Personal" para "WPA2 Enterprise" porque sei que, em princípio, em um WiFi protegido com "WPA2 Personal", os dispositivos que conhecem o PSK podem farejar o tráfego um do outro depois de capturarem. a associação entre a estação e o AP. Para reduzir o efeito que um único dispositivo comprometido no Wi-Fi teria (no modo "WPA2 Pessoal"), seria capaz de descriptografar o tráfego de outro cliente Wi-Fi descomprometido, se antes capturasse os "pedidos associados" do outro clientes no modo promíscuo / monitor) Gostaria de atualizar meu WiFi para a segurança "WPA2 Enterprise", onde, segundo meu entendimento, isso não é mais possível.

Agora, infelizmente, para o "WPA2 Enterprise", você precisa de um servidor RADIUS.

Agora, tanto quanto eu entendo, o servidor RADIUS executa apenas autenticação, mas não executa criptografia ou troca de material chave. Então, basicamente, um AP recebe uma solicitação de associação de um STA, o cliente fornece credenciais e, em seguida, o AP os passa para o servidor RADIUS, o servidor RADIUS diz "credenciais estão OK" e o AP permite que o STA se associe, caso contrário não.

Esse é o modelo certo? Nesse caso, o servidor RADIUS não passa de um banco de dados cheio de credenciais de usuário (pares de nome de usuário e senha). Nesse caso, estou curioso para saber por que eles exigem uma máquina de servidor completa para isso, pois, mesmo para milhares de usuários, nomes de usuário e senhas não são muitos dados para armazenar e verificar credenciais é uma tarefa bastante básica, parece que isso também pode ser feito facilmente pelo próprio AP. Então, por que exigir um servidor dedicado para isso?

Então, talvez eu tenha entendido errado e o servidor RADIUS não seja usado apenas para autenticação, mas para a criptografia real? Se um STA envia dados para uma rede usando o "WPA2 Enterprise", ele os criptografa com alguma chave de sessão, o AP recebe os dados criptografados, mas, ao contrário do "WPA2 Personal", não pode descriptografá-los, passando os dados para ao servidor RADIUS, que possui o principal material (e poder computacional) para descriptografá-lo. Depois que o RADIUS obtém o texto não criptografado, ele passa o material não criptografado de volta para a rede com fio. É assim que é feito?

A razão pela qual quero saber isso é o seguinte. Eu tenho um dispositivo bastante antigo aqui, que possui um servidor RADIUS em execução. Mas, como eu disse, o dispositivo é bastante antigo e, portanto, implementa uma versão antiga do RADIUS com deficiências de segurança conhecidas. Agora, eu gostaria de saber se isso comprometeria a segurança do meu WiFi se usado para a criptografia no modo "WPA2 Enterprise". Se um invasor puder conversar com o servidor RADIUS quando não estiver autenticado, isso poderá comprometer a segurança da minha rede, portanto, não devo fazer isso. Por outro lado, se o invasor puder apenas falar com o AP, que, por sua vez, conversará com o servidor RADIUS para verificar as credenciais, um "servidor RADIUS vulnerável" poderá não ser um problema, pois o invasor não conseguiria na rede WiFi e, portanto, não seria capaz de falar com o servidor RADIUS, em primeiro lugar. O único dispositivo que conversava com o servidor RADIUS seria o próprio AP, para verificar as credenciais, com todo o material principal gerado e criptografia executada no próprio AP (sem compromissos). O invasor seria revogado e, portanto, não seria capaz de ingressar na rede e explorar pontos fracos no servidor RADIUS potencialmente vulnerável.

Então, como exatamente o servidor RADIUS está envolvido com a segurança "WPA2 Enterprise"?

Respostas:


16

O WPA2 Enterprise é baseado em partes do 802.11i baseadas no 802.1X. O 802.1X NÃO requer um servidor RADIUS, mas é assim que geralmente é feito por motivos herdados.

A função do servidor RADIUS é apenas no início da conexão, mas faz uma pequena coisa mais do que você mencionou. Como parte do mecanismo de autenticação, o material de codificação é gerado com segurança no servidor RADIUS (e o mesmo material de codificação também é gerado no cliente WPA2). Depois que o servidor RADIUS diz ao AP para aceitar essa solicitação de conexão, o servidor RADIUS envia esse material de chave em uma mensagem de "chave" RADIUS (eles reutilizaram uma mensagem / atributo RADIUS MPPE-KEY que a Microsoft havia pioneiro) para o AP, então o AP sabe quais chaves por usuário por sessão (incluindo a chave temporal emparelhada ou PTK) a serem usadas para essa sessão. Isso encerra o envolvimento do servidor RADIUS.

Você está absolutamente certo de que realmente não é preciso muita potência do servidor para executar um servidor RADIUS. Assim como um servidor DHCP ou DNS para uma pequena rede ou domínio, você realmente não precisa de hardware de "classe de servidor" para executá-lo. Provavelmente qualquer pequena caixa de rede incorporada de baixa potência serve. Existem muitos protocolos nas redes modernas em que o "servidor" não requer muita potência pelos padrões de hoje. Só porque você ouviu o termo "servidor", não presuma que ele exija hardware de servidor pesado.


História de fundo

Veja, o RADIUS era originalmente uma maneira de mover a autenticação dos servidores PPP do modem dial-up para um servidor centralizado. É por isso que significa "Serviço de usuário discado para autenticação remota" (deve ser "Serviço de autenticação remota para usuário discado", mas DIURAS não soa tão bom quanto RADIUS). Quando o PPP começou a ser usado para autenticação DSL (PPPoE, PPPoA) e autenticação VPN (PPTP e L2TP sobre IPSec são "PPP dentro de um túnel criptografado"), era natural continuar usando os mesmos servidores RADIUS para autenticação centralizada. todos os "Servidores de acesso remoto" da sua empresa.

Os mecanismos de autenticação original do PPP estavam ausentes e exigiram muito envolvimento do corpo de padrões para criar novos; assim, eventualmente, o EAP (Extensible Authentication Protocol) foi criado para ser um sistema de plug-in do tipo auth para autenticação do tipo PPP. Naturalmente, servidores RADIUS e clientes PPP foram os primeiros lugares necessários para dar suporte ao EAP. Você poderia, é claro, ter seu modem modem / servidor PPP, ou seu servidor VPN, ou seu servidor PPPoE / PPPoA (realmente, L2TP PPP), ou qualquer outra coisa, implementar o EAP localmente, mas agora o RADIUS estava tão amplamente implantado que foram principalmente servidores RADIUS que o implementaram.

Eventualmente, alguém queria uma maneira de exigir autenticação sempre que alguém se conectasse a uma porta Ethernet desprotegida no lobby ou em uma sala de conferências, para que "EAP sobre LANs" fosse criado para isso. "EAPoL", como era conhecido, foi padronizado como 802.1X. O 802.1X foi aplicado posteriormente às redes 802.11 no IEEE 802.11i. E a Wi-Fi Alliance criou um programa de certificação / marca / marketing de interoperabilidade em torno do 802.11i e chamou de Wi-Fi Protected Access 2 (WPA2).

Portanto, embora o próprio AP 802.11 possa cumprir toda a função "Autenticador" do 802.1X (WPA2-Enterprise) por si só (sem a ajuda de um servidor RADIUS), isso geralmente não é feito. De fato, em alguns APs capazes de executar o 802.1X autônomo, eles realmente criaram e abrem o servidor RADIUS em seu firmware e fazem a autenticação 802.1X via RADIUS via loopback, porque é mais fácil conectá-lo dessa maneira do que tentar implemente seu próprio código de autenticador EAP ou copie o código de algum software de servidor RADIUS de código aberto e tente integrá-lo diretamente nos daemons relacionados ao 802.11 do firmware do AP.


Dado esse histórico, e dependendo da idade do servidor RADIUS proposto, a questão importante é se ele implementa o (s) tipo (s) de EAP que você deseja usar para autenticação na sua rede. PEAP? TTLS?

Além disso, observe que o RADIUS tradicionalmente usa um "Segredo Compartilhado" conhecido pelo cliente RADIUS (o cliente RADIUS é o "Servidor de Acesso à Rede": o AP nesse caso, ou um servidor VPN ou PPP ou outro "Servidor de Acesso Remoto" em outro casos) e o servidor RADIUS, para autenticar o cliente e o servidor RADIUS e criptografar sua comunicação. A maioria dos servidores RADIUS permite especificar segredos compartilhados diferentes para cada ponto de acesso, com base no endereço IP do ponto de acesso. Portanto, um invasor na sua rede precisaria assumir esse endereço IP e adivinhar esse segredo compartilhado, para que o servidor RADIUS falasse com ele. Se o invasor ainda não estivesse na rede, ele poderia tentar enviar mensagens EAP especialmente criadas / corrompidas que o AP retransmitiria via RADIUS para o servidor RADIUS.


Eu provavelmente usaria EAP-EKE ou, alternativamente, EAP-PWD, se puder. Tudo o que quero fazer é basicamente proteger os usuários, que podem se conectar à rede, de interceptar o tráfego de outras pessoas. Se o WPA2-PSK estabeleceria "chaves de sessão" via DH, isso seria perfeito para mim, mas infelizmente (por qualquer motivo) não é. Não preciso de métodos sofisticados de autenticação. Tudo o que quero é impedir que as estações interceptem o tráfego uma da outra. Para todo o resto, eu estou bem com a segurança do WPA2-PSK.
21714 Maranhão

@ no.human.being Lembre-se de que nem todos os métodos EAP suportam a criação do material de codificação necessário para o 802.11i / WPA2-Enterprise. Eu não estou familiarizado com os dois tipos que você mencionou, portanto, convém verificar em outro lugar para garantir que eles sejam adequados para esse fim.
Spiff

1
Bom escrever. Você não mencionou uma razão importante para a existência de um servidor separado. Isso não se aplica a implantações domésticas, mas é uma grande parte do "por que isso existe". Em qualquer implantação corporativa, os pontos de acesso não são realmente confiáveis, pois estão localizados em áreas públicas e, portanto, não devem conter nenhuma informação do usuário. Além disso, com qualquer tipo de EAP que forneça um encapsulamento seguro para o cliente (PEAP, TTLS, TLS), o ponto de acesso nem sequer participa da autenticação, portanto, não pode interceptar as credenciais do usuário, mesmo que seja comprometido por alguém com um ladder :)
Munição Goettsch 16/10

3

O WPA Enterprise (WPA com EAP) permite que você tenha muitos outros métodos de autenticação, como certificados digitais, tokens RSA, etc. Ele deve ser implementado com um servidor radius, porque todos esses métodos estão além de nomes de usuário + senhas simples e o protocolo radius é o padrão de fato para a maioria dos sistemas que precisam de AAA (autenticação, autorização, contabilidade).

Dito isso,

1) o servidor radius pode ser facilmente protegido por regras de firewall, aceitando pacotes apenas dos APs (o cliente wifi nunca falará diretamente com o servidor radius)

2) usar um raio antigo pode não funcionar, eu recomendo um dos mais recentes servidores freeradius

Mais detalhes sobre como isso funciona e o que você precisa fazer: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?


Sim. Eu apenas pensei que poderia economizar energia (e ruído) ao não instalar um servidor real para o RADIUS, porque não preciso de "métodos sofisticados de autenticação". Gostaria apenas de impedir que os clientes sem fio "farejem uns aos outros" (eles provavelmente não, é apenas uma paranóia extra ;-)). Então, basicamente, eu quero a privacidade de uma "rede comutada" em redes sem fio (que é um meio de transmissão inerente), então preciso das chaves "por link" ou "por cliente" reais. "WPA2 Enterprise" provavelmente atenderia às minhas necessidades. Talvez eu tente configurar o RADIUS em uma placa incorporada executando o Linux.
no.human.being

-2

O FreeRadius será executado ocasionalmente em um PI de framboesa. O sistema operacional habitual é o Raspbian, que é uma versão do Debian; portanto, ele fará todas as coisas que você deseja que um servidor faça, por exemplo, DHCP / DNS. É barato - 40 dólares para uma prancha vazia -, mas orçamento de 80 ou 90 dólares para ter extras "opcionais" - como um gabinete e uma fonte de alimentação ... Estou usando um Pi há alguns anos - 24 / 7 Ele também possui o zenmap e o Wireshark. É uma plataforma de criação para experimentar, uma vez que sai de um cartão SD e você pode copiar o cartão SD para o seu PC. Tente alguma coisa e restaure o SD do seu PC, se você o alterou.


2
Esta resposta não explica o papel de um servidor RADIUS
Janv8000
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.