web-dev-qa-db-de.com

Was macht der RADIUS Server in einem WPA2 Enterprise Setup?

Ich möchte mein WLAN von "WPA2 Personal" auf "WPA2 Enterprise" -Modus aktualisieren, da ich weiß, dass Geräte, die das PSK kennen, bei einem mit "WPA2 Personal" gesicherten WLAN im Prinzip den Datenverkehr des jeweils anderen abhören können, sobald sie es erfasst haben die Assoziation zwischen der Station und dem AP. Um den Effekt zu verringern, den ein einzelnes gefährdetes Gerät im WLAN hätte (im "WPA2 Personal" -Modus), wäre es in der Lage, den Datenverkehr eines anderen, nicht gefährdeten WLAN-Clients zu entschlüsseln, wenn es zuvor die "zugehörigen Anforderungen" des anderen erfasst hätte Clients im Promiscuous/Monitor-Modus) Ich möchte mein WLAN auf "WPA2 Enterprise" -Sicherheit upgraden, wobei dies meines Erachtens nicht mehr möglich ist.

Für "WPA2 Enterprise" benötigen Sie jetzt leider einen RADIUS Server.

Soweit ich weiß, führt der Server RADIUS nur die Authentifizierung durch, nicht jedoch die Verschlüsselung oder den Austausch von Schlüsselmaterial. Grundsätzlich erhält ein AP eine Zuordnungsanforderung von einer STA, der Client stellt Anmeldeinformationen bereit, und der AP leitet sie an den RADIUS Server weiter. Der RADIUS Server gibt an, dass die Anmeldeinformationen in Ordnung sind. dann lässt der AP die STA verbinden, sonst nicht.

Ist das das richtige Modell? Wenn ja, dann ist der Server RADIUS im Grunde nichts anderes als eine Datenbank voller Benutzeranmeldeinformationen (Benutzer- und Kennwortpaare). Wenn dem so ist, dann bin ich neugierig, warum sie dafür einen vollwertigen Servercomputer benötigen, da selbst für Tausende von Benutzern Benutzernamen und Kennwörter nicht viele Daten zu speichern sind und die Überprüfung von Anmeldeinformationen eine ziemlich grundlegende Aufgabe ist. es scheint also, dass dies eine Sache ist, die auch vom AP selbst leicht gemacht werden könnte. Warum brauchen Sie dafür einen dedizierten Server?

Vielleicht habe ich das falsch verstanden und der RADIUS Server wird nicht nur für die Authentifizierung verwendet, sondern auch für die eigentliche Verschlüsselung? Wenn eine STA Daten mit "WPA2 Enterprise" an ein Netzwerk sendet, verschlüsselt sie diese mit einem Sitzungsschlüssel. Der AP empfängt die verschlüsselten Daten, kann sie jedoch im Gegensatz zu "WPA2 Personal" nicht entschlüsseln und leitet sie daher weiter an den Server RADIUS, der über das Schlüsselmaterial (und die Rechenleistung) verfügt, um es zu entschlüsseln. Nachdem der RADIUS den Klartext erhalten hat, leitet er das unverschlüsselte Material zurück an das drahtgebundene Netzwerk. Wird das so gemacht?

Der Grund, warum ich das wissen möchte, ist der folgende. Ich habe hier ein ziemlich altes Gerät, auf dem ein RADIUS Server ausgeführt wird. Aber wie gesagt, das Gerät ist ziemlich alt und implementiert daher eine alte Version von RADIUS mit bekannten Sicherheitslücken. Jetzt möchte ich wissen, ob dies meine WiFi-Sicherheit gefährden würde, wenn es für die Verschlüsselung im "WPA2 Enterprise" -Modus verwendet wird. Wenn ein Angreifer ohne Authentifizierung mit dem Server RADIUS kommunizieren kann, kann dies die Sicherheit meines Netzwerks gefährden. Daher sollte ich dies nicht tun. Wenn der Angreifer hingegen nur mit dem AP kommunizieren kann, der wiederum mit dem RADIUS Server spricht, um die Anmeldeinformationen zu überprüfen, ist dies möglicherweise kein "anfälliger RADIUS Server" Ein großes Problem, da der Angreifer nicht in das WiFi-Netzwerk eindringen und daher nicht in der Lage wäre, in erster Linie mit dem RADIUS Server zu kommunizieren. Das einzige Gerät, das mit dem Server RADIUS kommuniziert, ist der Zugriffspunkt selbst, um die Anmeldeinformationen zu überprüfen, wobei das gesamte Schlüsselmaterial generiert und die Kryptografie auf dem (nicht gefährdeten) Zugriffspunkt selbst durchgeführt wird. Der Angreifer wird widerrufen und kann sich nicht dem Netzwerk anschließen und Schwachstellen auf dem potenziell anfälligen RADIUS Server ausnutzen.

Wie genau ist der RADIUS Server an der Sicherheit von "WPA2 Enterprise" beteiligt?

17
no.human.being

WPA2 Enterprise basiert auf Teilen von 802.11i, die auf 802.1X basieren. Für 802.1X ist KEIN RADIUS Server erforderlich, dies geschieht jedoch normalerweise aus älteren Gründen.

Die Serverrolle RADIUS befindet sich nur am Anfang der Verbindung, aber sie führt eine Kleinigkeit mehr aus, als Sie angegeben haben. Als Teil des Authentifizierungsmechanismus wird Schlüsselmaterial sicher auf dem RADIUS - Server generiert (und dasselbe Schlüsselmaterial wird auch auf dem WPA2-Client generiert). Nachdem der RADIUS Server den AP angewiesen hat, diese Verbindungsanforderung zu akzeptieren, sendet der RADIUS Server dieses Schlüsselmaterial in einer RADIUS "Schlüssel" -Nachricht (sie haben ein RADIUS MPPE- KEY-Nachricht/Attribut, das Microsoft als Vorreiter eingeführt hat, an den AP, sodass der AP weiß, welche Pro-Benutzer-Pro-Sitzung-Schlüssel (einschließlich des Pairwise Temporal Key oder PTK) für diese Sitzung verwendet werden sollen. Damit ist die Beteiligung des Servers RADIUS beendet.

Sie haben vollkommen Recht, dass es nicht viel Serverleistung erfordert, um einen RADIUS - Server auszuführen. Genau wie ein DHCP-Server oder ein DNS-Server für ein kleines Netzwerk oder eine kleine Domäne benötigen Sie keine Hardware der "Serverklasse", um es auszuführen. Wahrscheinlich reicht jede kleine eingebettete Netzwerkbox mit geringem Stromverbrauch aus. In modernen Netzwerken gibt es viele Protokolle, bei denen das "Server" -Ende nach heutigen Maßstäben nicht viel Leistung erfordert. Nur weil Sie den Begriff "Server" hören, sollten Sie nicht davon ausgehen, dass dafür leistungsstarke Serverhardware erforderlich ist.


Hintergrundgeschichte

Es fehlten die ursprünglichen Authentifizierungsmechanismen von PPP, und die Erstellung neuer Mechanismen erforderte eine Menge Standardarbeit. Daher wurde schließlich das Extensible Authentication Protocol (EAP) als Plug-In-System für die PPP-ähnliche Authentifizierung entwickelt. Natürlich waren RADIUS Server und PPP Clients die ersten Stellen, die EAP unterstützen mussten. Natürlich können Sie Ihr Einwahlmodem/PPP-Server oder Ihren VPN-Server oder Ihren PPPoE/PPPoA-Server (wirklich L2TP PPP) oder was auch immer lokal implementieren, aber jetzt RADIUS war so weit verbreitet, dass es hauptsächlich RADIUS Server waren, die es implementierten.

Irgendwann wollte jemand eine Möglichkeit, eine Authentifizierung zu verlangen, wenn jemand an einen unbewachten Ethernet-Port in der Lobby oder in einem Konferenzraum angeschlossen wird. Daher wurde "EAP over LANs" dafür erstellt. "EAPoL" wurde als 802.1X standardisiert. 802.1X wurde später auf 802.11-Netzwerke in IEEE 802.11i angewendet. Und die Wi-Fi Alliance hat ein Interoperabilitäts-Zertifizierungs-, Marken- und Marketingprogramm für 802.11i erstellt und es als Wi-Fi Protected Access 2 (WPA2) bezeichnet.

Obwohl Ihr 802.11 AP selbst die gesamte 802.1X (WPA2-Enterprise) "Authenticator" -Rolle alleine (ohne die Hilfe eines RADIUS - Servers) erfüllen könnte, ist dies nur selten der Fall. In der Tat haben einige APs, die 802.1X-Standalone-Funktionen ausführen können, tatsächlich einen RADIUS -Server mit Open Source-Funktion in ihre Firmware eingebaut und führen die 802.1X-Authentifizierung über RADIUS per Loopback durch, da das Hooking einfacher ist Versuchen Sie nicht, Ihren eigenen EAP-Authentifizierungscode zu implementieren oder den Code aus einer Open-Source-Serversoftware RADIUS zu kopieren, und versuchen Sie, ihn direkt in die 802.11-bezogenen Dämonen Ihrer AP-Firmware zu integrieren.


In Anbetracht dieser Hintergrundgeschichte und je nachdem, wie alt der von Ihnen vorgeschlagene RADIUS Server ist, ist die wichtige Frage, ob er die EAP-Typen implementiert, die Sie für die Authentifizierung in Ihrem Netzwerk verwenden möchten. PEAP? TTLS?

Beachten Sie auch, dass RADIUS traditionell ein "Shared Secret" verwendet, das dem RADIUS - Client bekannt ist (der RADIUS - Client ist der "Network Access Server", in diesem Fall der AP, oder ein VPN oder PPP Server oder anderer "RAS-Server" in anderen Fällen) und der RADIUS Server, um sowohl den RADIUS Client als auch den Server gegenseitig zu authentifizieren und ihre Kommunikation zu verschlüsseln. Auf den meisten RADIUS Servern können Sie für jeden AP unterschiedliche Shared Secrets festlegen, die auf der IP-Adresse des AP basieren. Ein Angreifer in Ihrem Netzwerk müsste also in der Lage sein, diese IP-Adresse zu übernehmen und dieses gemeinsame Geheimnis zu erraten, damit der RADIUS - Server mit ihr spricht. Wenn der Angreifer noch nicht im Netzwerk ist, kann er nur versuchen, speziell gestaltete/beschädigte EAP-Nachrichten zu senden, die der AP über RADIUS an den RADIUS - Server weiterleitet. Wenn das von Ihnen befürchtete Sicherheitsproblem über fehlerhafte EAP-Nachrichten ausgenutzt werden kann, liegt möglicherweise weiterhin ein Problem vor.

16
Spiff

WPA Enterprise (WPA mit EAP) ermöglicht Ihnen viele andere Authentifizierungsmethoden, wie digitale Zertifikate, RSA-Token usw. Es sollte mit einem Radius-Server implementiert werden, da all diese Methoden über einfache Benutzernamen und Passwörter hinausgehen und das Radius-Protokoll das ist De-facto-Standard für die meisten Systeme, die AAA benötigen (Authentifizierung, Autorisierung, Abrechnung).

Nachdem das gesagt ist,

1) Der Radius-Server kann einfach durch Firewall-Regeln geschützt werden, die nur Pakete von APs akzeptieren (der WLAN-Client spricht niemals direkt mit dem Radius-Server).

2) ein alter radius könnte nicht funktionieren, ich empfehle einen der neuesten freeradius server

Weitere Informationen zur Funktionsweise und zu den erforderlichen Aktionen: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

3
claudiuf