Was macht der RADIUS-Server in einem WPA2 Enterprise-Setup?

39268
no.human.being

Ich möchte mein WLAN von "WPA2 Personal" in den "WPA2 Enterprise" -Modus aufrüsten, da ich grundsätzlich weiß, dass bei einem mit "WPA2 Personal" gesicherten WLAN Geräte, die das PSK kennen, den Datenverkehr des jeweils anderen erfassen können, sobald sie erfasst wurden die Zuordnung zwischen der Station und dem AP. Um die Auswirkungen eines einzelnen gefährdeten Geräts auf das WLAN zu reduzieren (im Modus "WPA2 Personal"), könnte es den Datenverkehr des anderen, kompromisslosen WLAN-Clients entschlüsseln, wenn er zuvor die "zugehörigen Anfragen" vom anderen erfasst hätte Kunden im Promiscuous- / Monitor-Modus) Ich möchte mein WLAN auf die "WPA2 Enterprise" -Sicherheit aufrüsten, wo dies meines Erachtens nicht mehr möglich ist.

Leider benötigen Sie für "WPA2 Enterprise" einen RADIUS-Server.

Soweit ich es verstanden habe, führt der RADIUS-Server nur eine Authentifizierung durch, jedoch keine Verschlüsselung oder keinen Austausch von Schlüsselmaterial. Im Grunde erhält ein AP eine Zuordnungsanforderung von einer STA, der Client gibt die Anmeldeinformationen ein, dann gibt der AP diese an den RADIUS-Server weiter, der RADIUS-Server sagt "Anmeldeinformationen sind in Ordnung", dann lässt der AP die STA zuordnen, sonst nicht.

Ist das das richtige Modell? Wenn ja, ist der RADIUS-Server im Grunde nichts anderes als eine Datenbank mit Benutzeranmeldeinformationen (Benutzernamen und Kennwortpaare). Wenn dies der Fall ist, dann bin ich neugierig, warum sie dafür eine vollwertige Servermaschine benötigen, da selbst für Tausende von Benutzern Benutzernamen und Kennwörter nicht viele Daten zu speichern und das Überprüfen von Anmeldeinformationen eine ziemlich grundlegende Aufgabe ist. Es scheint also, dass dies auch vom AP selbst leicht erledigt werden kann. Warum brauchen Sie dafür einen dedizierten Server?

Vielleicht habe ich das falsch verstanden und der RADIUS-Server wird nicht nur für die Authentifizierung verwendet, sondern für die eigentliche Verschlüsselung. Wenn eine STA mit "WPA2 Enterprise" Daten an ein Netzwerk sendet, werden diese mit einem Sitzungsschlüssel verschlüsselt. Der AP empfängt die verschlüsselten Daten. Im Gegensatz zu "WPA2 Personal" kann er sie jedoch nicht entschlüsseln, sodass er die Daten weiterleitet an den RADIUS-Server, der über das Schlüsselmaterial (und die Rechenleistung) verfügt, um es zu entschlüsseln. Nachdem der RADIUS den Klartext erhalten hat, leitet er das unverschlüsselte Material zurück an das drahtgebundene Netzwerk. Ist das so, wie es gemacht wird?

Der Grund, warum ich das wissen möchte, ist folgender. Ich habe hier ein ziemlich altes Gerät, auf dem ein RADIUS-Server läuft. Aber wie gesagt, das Gerät ist ziemlich alt und implementiert somit eine alte Version von RADIUS mit bekannten Sicherheitslücken. Nun würde ich gerne wissen, ob dies meine WLAN-Sicherheit gefährden würde, wenn es für die Verschlüsselung im Modus "WPA2 Enterprise" verwendet wird. Wenn ein Angreifer ohne Authentifizierung mit dem RADIUS-Server kommunizieren kann, kann dies die Sicherheit meines Netzwerks beeinträchtigen. Daher sollte ich dies nicht tun. Wenn der Angreifer dagegen nur mit dem AP sprechen kann, der wiederum zur Überprüfung der Anmeldeinformationen mit dem RADIUS-Server spricht, ist ein "anfälliger RADIUS-Server" möglicherweise kein großes Problem, da der Angreifer dies nicht erfahren würde in das WiFi-Netzwerk und könnte daher überhaupt nicht mit dem RADIUS-Server kommunizieren. Das einzige Gerät, das mit dem RADIUS-Server spricht, wäre der AP selbst, um die Berechtigungsnachweise zu überprüfen, wobei das gesamte Schlüsselmaterial generiert und die Kryptographie auf dem (kompromisslosen) AP selbst durchgeführt wird. Der Angreifer würde widerrufen und kann daher nicht dem Netzwerk beitreten und Schwachstellen auf dem potenziell anfälligen RADIUS-Server ausnutzen.

Wie genau ist der RADIUS-Server an der Sicherheit von "WPA2 Enterprise" beteiligt?

16

3 Antworten auf die Frage

16
Spiff

WPA2 Enterprise basiert auf Teilen von 802.11i, die auf 802.1X basieren. 802.1X erfordert KEINEN RADIUS-Server. Dies ist jedoch aus Gründen der Vergangenheit der Fall.

Die Rolle des RADIUS-Servers liegt nur am Anfang der Verbindung, aber er tut etwas mehr als Sie erwähnt haben. Als Teil des Authentifizierungsmechanismus wird das Schlüsselmaterial sicher auf dem RADIUS-Server generiert (und dasselbe Schlüsselmaterial wird auch auf dem WPA2-Client generiert). Nachdem der RADIUS-Server den AP aufgefordert hat, diese Verbindungsanforderung zu akzeptieren, sendet der RADIUS-Server dieses Schlüsselmaterial in einer RADIUS-"key" -Nachricht (sie hat eine RADIUS MPPE-KEY-Nachricht / ein Attribut, die Microsoft entwickelt hat) an den AP weiter, so der AP weiß, welche Schlüssel pro Benutzer pro Sitzung (einschließlich Pairwise Temporal Key oder PTK) für diese Sitzung verwendet werden sollen. Damit ist die Beteiligung des RADIUS-Servers beendet.

Sie haben absolut Recht, dass es wirklich nicht viel Serverleistung erfordert, um einen RADIUS-Server zu betreiben. Genau wie ein DHCP-Server oder ein DNS-Server für ein kleines Netzwerk oder eine Domäne benötigen Sie wirklich keine "Server-Class" -Hardware, auf der Sie es ausführen können. Vermutlich reicht jede kleine Embedded-Netzwerkbox mit geringem Stromverbrauch aus. In modernen Netzwerken gibt es viele Protokolle, bei denen das "Server" -Element nach heutigen Maßstäben nicht viel PS erfordert. Nur weil Sie den Begriff "Server" hören, gehen Sie nicht davon aus, dass dafür Server-Hardware erforderlich ist.

Hintergrundgeschichte

Sie sehen, RADIUS war ursprünglich eine Möglichkeit, die Authentifizierung von Ihren DFÜ-Modem-PPP-Servern auf einen zentralen Server zu verlagern. Deshalb steht es für "Remote Authentication Dial-In User Service" (es sollte "DFÜ-Benutzer Remote Authentication Service" sein, aber DIURAS klingt nicht so gut wie RADIUS). Wenn PPP für die DSL-Authentifizierung (PPPoE, PPPoA) und für die VPN-Authentifizierung (PPTP und L2TP-over-IPSec sind beide "PPP in einem verschlüsselten Tunnel") eingesetzt werden, war es normal, für die zentralisierte Authentifizierung weiterhin dieselben RADIUS-Server zu verwenden alle "Remote Access Server" Ihres Unternehmens.

Die ursprünglichen Authentifizierungsmechanismen von PPP fehlten, und es wurden viele Standards für die Erstellung neuer Authentifizierungsprotokolle benötigt. Daher wurde das Extensible Authentication Protocol (EAP) als ein Authentifizierungssystem für die Authentifizierung mit PPP erstellt. Natürlich waren RADIUS-Server und PPP-Clients die ersten Standorte, die zur Unterstützung von EAP erforderlich waren. Sie können natürlich Ihr Einwahlmodem / PPP-Server oder Ihren VPN-Server oder Ihren PPPoE / PPPoA-Server (oder wirklich L2TP-PPP-Server) oder ähnliches EAP lokal implementieren lassen, aber RADIUS war inzwischen so weit verbreitet dass es hauptsächlich RADIUS-Server waren, die es implementiert haben.

Irgendwann wollte jemand eine Möglichkeit zur Authentifizierung, wenn sich jemand an einen unbewachten Ethernet-Port in der Lobby oder einen Konferenzraum anschließt. Daher wurde "EAP über LANs" erstellt. Die so genannte "EAPoL" wurde als 802.1X standardisiert. 802.1X wurde später auf 802.11-Netzwerke in IEEE 802.11i angewendet. Die Wi-Fi Alliance hat ein Interoperabilitätszertifizierungs-, Marken- und Marketingprogramm für 802.11i entwickelt und Wi-Fi Protected Access 2 (WPA2) genannt.

Obwohl Ihr 802.11-AP selbst die gesamte "Authenticator" -Rolle von 802.1X (WPA2-Enterprise) selbst (ohne die Hilfe eines RADIUS-Servers) erfüllen kann, wird dies normalerweise nicht getan. Tatsächlich bauten sie in einigen APs, die 802.1X Standalone ausführen können, tatsächlich einen RADIUS-Server mit offener Quelle in ihre Firmware ein und führen die 802.1X-Authentifizierung über RADIUS via Loopback durch, da es einfacher ist, ihn auf diese Weise anzuschließen, als zu versuchen Implementieren Sie Ihren eigenen EAP-Authentifizierungscode oder eine Kopie des Codes aus einer Open-Source-RADIUS-Serversoftware und versuchen Sie, diese direkt in die 802.11-bezogenen Daemons Ihrer AP-Firmware zu integrieren.

Angesichts dieser Hintergrundgeschichte und abhängig davon, wie alt Ihr vorgeschlagener RADIUS-Server ist, ist die wichtige Frage, ob er die EAP-Typen implementiert, die Sie zur Authentifizierung in Ihrem Netzwerk verwenden möchten. PEAP? TTLS?

Beachten Sie außerdem, dass RADIUS traditionell ein "Shared Secret" verwendet, das dem RADIUS-Client bekannt ist (der RADIUS-Client ist der "Network Access Server"): In diesem Fall der AP oder ein VPN- oder PPP-Server oder ein anderer "Remote Access Server" in einem anderen Fällen) und den RADIUS-Server, um den RADIUS-Client und den Server miteinander zu authentifizieren und ihre Kommunikation zu verschlüsseln. Bei den meisten RADIUS-Servern können Sie basierend auf der IP-Adresse des AP unterschiedliche Shared Secrets für jeden AP angeben. Ein Angreifer in Ihrem Netzwerk muss also diese IP-Adresse übernehmen und das gemeinsame Geheimnis erraten können, damit der RADIUS-Server mit ihm sprechen kann. Wenn der Angreifer noch nicht im Netzwerk war, kann der Angreifer nur versuchen, speziell gestaltete / beschädigte EAP-Nachrichten zu senden, die der AP über RADIUS an den RADIUS-Server weiterleiten würde.

Ich würde wahrscheinlich EAP-EKE oder alternativ EAP-PWD verwenden, wenn ich kann. Alles, was ich tun möchte, ist grundsätzlich, Benutzer, die in der Lage sind, sich mit dem Netzwerk zu verbinden, davor schützen, den Datenverkehr anderer Personen abzufangen. Wenn WPA2-PSK "Session Keys" per DH einrichten würde, wäre das für mich perfekt, aber leider (aus welchem ​​Grund auch immer) nicht. Ich brauche keine ausgefeilten Authentifizierungsmethoden. Alles, was ich will, ist, zu verhindern, dass Stationen den Verkehr des anderen abfangen. Für alles andere bin ich mit der Sicherheit von WPA2-PSK zufrieden. no.human.being vor 10 Jahren 0
@ no.human.being Beachten Sie, dass nicht alle EAP-Methoden die Erstellung des für 802.11i / WPA2-Enterprise erforderlichen Schlüsselmaterials unterstützen. Ich kenne die beiden von Ihnen genannten Typen nicht. Daher möchten Sie vielleicht an anderer Stelle nachsehen, ob sie für diesen Zweck geeignet sind. Spiff vor 10 Jahren 0
Schön schreiben. Sie haben keinen wichtigen Grund erwähnt, warum es einen separaten Server gibt. Dies gilt nicht für Home-Bereitstellungen, es ist jedoch ein großer Teil des Grunds, warum dies existiert. In jeder Unternehmensimplementierung sind die Zugriffspunkte tatsächlich nicht vertrauenswürdig, da sie sich in öffentlichen Bereichen befinden und daher keine Benutzerinformationen enthalten sollten. Darüber hinaus nimmt der AP bei jedem EAP-Typ, der einen sicheren Tunnel für den Client bereitstellt (PEAP, TTLS, TLS), überhaupt nicht an der Authentifizierung teil, so dass er keine Benutzeranmeldeinformationen abfangen kann, selbst wenn er von einem Benutzer mit einem E-Mail gefährdet wird Leiter :) Ammo Goettsch vor 6 Jahren 1
3
claudiuf

WPA Enterprise (WPA mit EAP) ermöglicht Ihnen viele andere Authentifizierungsmethoden wie digitale Zertifikate, RSA-Token usw. Es sollte mit einem Radius-Server implementiert werden, da alle diese Methoden über einfache Benutzernamen + Kennwörter hinausgehen und das Radiusprotokoll das Protokoll ist De-facto-Standard für die meisten Systeme, die AAA benötigen (Authentifizierung, Autorisierung, Abrechnung).

Nachdem das gesagt ist,

1) Der Radius-Server kann leicht durch Firewall-Regeln geschützt werden und akzeptiert nur Pakete von APs (der WLAN-Client spricht niemals direkt mit dem Radius-Server).

2) Wenn ein alter Radius nicht funktioniert, empfehle ich einen der neuesten Freeradius-Server

Weitere Informationen dazu, wie dies funktioniert und was Sie tun müssen: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

Ja. Ich dachte nur, ich könnte Energie (und Rauschen) sparen, indem ich keinen echten Server für RADIUS bereitstelle, weil ich keine "ausgefeilten Authentifizierungsmethoden" brauche. Ich möchte nur verhindern, dass drahtlose Clients sich gegenseitig "schnüffeln" (sie wahrscheinlich nicht, es ist nur ein bisschen mehr Paranoia ;-)). Im Grunde möchte ich die Vertraulichkeit eines "Switched Network" über Wireless (das inhärent Broadcast-Medium ist), also brauche ich "Per Link" - oder "Per Client" -Schlüssel. "WPA2 Enterprise" würde wahrscheinlich meinen Bedürfnissen entsprechen. Ich könnte versuchen, RADIUS auf einem Embedded Board unter Linux einzurichten. no.human.being vor 10 Jahren 0
-2
Sean

FreeRadius läuft gerne auf einem Raspberry PI. Das übliche Betriebssystem ist Raspbian, eine Variante von Debian. Es wird also alles tun, was ein Server zB DHCP / DNS tun sollte. Es ist billig - 40 Dollar für ein nacktes Board - aber 80 oder 90 Dollar, um "optionale" Extras zu haben - wie ein Fall und eine Stromversorgung ... Ich bin seit ein paar Jahren auf einem Pi-Radius -24 unterwegs / 7. Es hat auch Zenmap und Wireshark. Es ist eine Plattform zum Ausprobieren, da es von einer SD-Karte ausgeführt wird und Sie die SD-Karte auf Ihren PC kopieren können. Probieren Sie etwas aus und stellen Sie die SD-Karte von Ihrem PC wieder her, wenn Sie sie vermasselten.

Diese Antwort erläutert nicht die Rolle eines RADIUS-Servers janv8000 vor 7 Jahren 2

Verwandte Probleme