Gostaria de atualizar meu WiFi do modo "WPA2 Personal" para "WPA2 Enterprise" porque sei que, em princípio, em um WiFi protegido com "WPA2 Personal", os dispositivos que conhecem o PSK podem farejar o tráfego um do outro depois de capturarem. a associação entre a estação e o AP. Para reduzir o efeito que um único dispositivo comprometido no Wi-Fi teria (no modo "WPA2 Pessoal"), seria capaz de descriptografar o tráfego de outro cliente Wi-Fi descomprometido, se antes capturasse os "pedidos associados" do outro clientes no modo promíscuo / monitor) Gostaria de atualizar meu WiFi para a segurança "WPA2 Enterprise", onde, segundo meu entendimento, isso não é mais possível.
Agora, infelizmente, para o "WPA2 Enterprise", você precisa de um servidor RADIUS.
Agora, tanto quanto eu entendo, o servidor RADIUS executa apenas autenticação, mas não executa criptografia ou troca de material chave. Então, basicamente, um AP recebe uma solicitação de associação de um STA, o cliente fornece credenciais e, em seguida, o AP os passa para o servidor RADIUS, o servidor RADIUS diz "credenciais estão OK" e o AP permite que o STA se associe, caso contrário não.
Esse é o modelo certo? Nesse caso, o servidor RADIUS não passa de um banco de dados cheio de credenciais de usuário (pares de nome de usuário e senha). Nesse caso, estou curioso para saber por que eles exigem uma máquina de servidor completa para isso, pois, mesmo para milhares de usuários, nomes de usuário e senhas não são muitos dados para armazenar e verificar credenciais é uma tarefa bastante básica, parece que isso também pode ser feito facilmente pelo próprio AP. Então, por que exigir um servidor dedicado para isso?
Então, talvez eu tenha entendido errado e o servidor RADIUS não seja usado apenas para autenticação, mas para a criptografia real? Se um STA envia dados para uma rede usando o "WPA2 Enterprise", ele os criptografa com alguma chave de sessão, o AP recebe os dados criptografados, mas, ao contrário do "WPA2 Personal", não pode descriptografá-los, passando os dados para ao servidor RADIUS, que possui o principal material (e poder computacional) para descriptografá-lo. Depois que o RADIUS obtém o texto não criptografado, ele passa o material não criptografado de volta para a rede com fio. É assim que é feito?
A razão pela qual quero saber isso é o seguinte. Eu tenho um dispositivo bastante antigo aqui, que possui um servidor RADIUS em execução. Mas, como eu disse, o dispositivo é bastante antigo e, portanto, implementa uma versão antiga do RADIUS com deficiências de segurança conhecidas. Agora, eu gostaria de saber se isso comprometeria a segurança do meu WiFi se usado para a criptografia no modo "WPA2 Enterprise". Se um invasor puder conversar com o servidor RADIUS quando não estiver autenticado, isso poderá comprometer a segurança da minha rede, portanto, não devo fazer isso. Por outro lado, se o invasor puder apenas falar com o AP, que, por sua vez, conversará com o servidor RADIUS para verificar as credenciais, um "servidor RADIUS vulnerável" poderá não ser um problema, pois o invasor não conseguiria na rede WiFi e, portanto, não seria capaz de falar com o servidor RADIUS, em primeiro lugar. O único dispositivo que conversava com o servidor RADIUS seria o próprio AP, para verificar as credenciais, com todo o material principal gerado e criptografia executada no próprio AP (sem compromissos). O invasor seria revogado e, portanto, não seria capaz de ingressar na rede e explorar pontos fracos no servidor RADIUS potencialmente vulnerável.
Então, como exatamente o servidor RADIUS está envolvido com a segurança "WPA2 Enterprise"?