Was macht der RADIUS-Server in einem WPA2 Enterprise-Setup?

17

Ich möchte mein WLAN von "WPA2 Personal" auf "WPA2 Enterprise" -Modus aktualisieren, da ich weiß, dass Geräte, die das PSK kennen, bei einem mit "WPA2 Personal" gesicherten WLAN im Prinzip den Datenverkehr des jeweils anderen nach der Erfassung abhören können die Assoziation zwischen der Station und dem AP. Um den Effekt zu verringern, den ein einzelnes gefährdetes Gerät im WLAN hätte (im "WPA2 Personal" -Modus), wäre es in der Lage, den Datenverkehr eines anderen, nicht gefährdeten WLAN-Clients zu entschlüsseln, wenn es zuvor die "zugehörigen Anforderungen" des anderen erfasst hätte Clients im Promiscuous / Monitor-Modus) Ich möchte mein WLAN auf "WPA2 Enterprise" -Sicherheit upgraden, wo dies meines Erachtens nicht mehr möglich ist.

Für "WPA2 Enterprise" benötigen Sie jetzt leider einen RADIUS-Server.

Soweit ich weiß, führt der RADIUS-Server nur die Authentifizierung durch, nicht jedoch die Verschlüsselung oder den Austausch von Schlüsselmaterial. Grundsätzlich erhält ein AP eine Zuordnungsanforderung von einer STA, der Client gibt Anmeldeinformationen weiter, der AP gibt sie an den RADIUS-Server weiter, der RADIUS-Server meldet "Anmeldeinformationen sind in Ordnung", und der AP lässt die STA eine Zuordnung zu, andernfalls nicht.

Ist das das richtige Modell? Wenn ja, dann ist der RADIUS-Server im Grunde nichts anderes als eine Datenbank voller Benutzeranmeldeinformationen (Benutzer- und Kennwortpaare). Wenn dem so ist, dann bin ich neugierig, warum sie dafür einen vollwertigen Servercomputer benötigen, da selbst für Tausende von Benutzern Benutzernamen und Kennwörter nicht viele Daten zu speichern sind und das Überprüfen von Anmeldeinformationen eine ziemlich grundlegende Aufgabe ist. es scheint also, dass dies eine Sache ist, die auch vom AP selbst leicht gemacht werden könnte. Warum brauchen Sie dafür einen dedizierten Server?

Vielleicht habe ich das falsch verstanden und der RADIUS-Server wird nicht nur für die Authentifizierung, sondern auch für die eigentliche Verschlüsselung verwendet? Wenn eine STA Daten mit "WPA2 Enterprise" an ein Netzwerk sendet, verschlüsselt sie diese mit einem Sitzungsschlüssel. Der AP empfängt die verschlüsselten Daten, kann sie jedoch im Gegensatz zu "WPA2 Personal" nicht entschlüsseln und leitet sie daher weiter an den RADIUS-Server, der über das Schlüsselmaterial (und die Rechenleistung) zum Entschlüsseln verfügt. Nachdem der RADIUS den Klartext erhalten hat, leitet er das unverschlüsselte Material zurück an das kabelgebundene Netzwerk. Wird das so gemacht?

Der Grund, warum ich das wissen möchte, ist der folgende. Ich habe hier ein ziemlich altes Gerät, auf dem ein RADIUS-Server ausgeführt wird. Aber wie gesagt, das Gerät ist ziemlich alt und implementiert daher eine alte Version von RADIUS mit bekannten Sicherheitslücken. Jetzt möchte ich wissen, ob dies meine WiFi-Sicherheit gefährden würde, wenn es für die Verschlüsselung im "WPA2 Enterprise" -Modus verwendet wird. Wenn ein Angreifer ohne Authentifizierung mit dem RADIUS-Server kommunizieren kann, kann dies die Sicherheit meines Netzwerks gefährden. Daher sollte ich dies nicht tun. Wenn der Angreifer hingegen nur mit dem Zugriffspunkt sprechen kann, der wiederum mit dem RADIUS-Server spricht, um die Anmeldeinformationen zu überprüfen, ist ein "anfälliger RADIUS-Server" möglicherweise kein großes Problem, da der Angreifer dies nicht bekommt in das WiFi-Netzwerk und somit nicht in der Lage, mit dem RADIUS-Server zu sprechen, in erster Linie. Das einzige Gerät, das mit dem RADIUS-Server kommuniziert, ist der Zugriffspunkt selbst, um die Anmeldeinformationen zu überprüfen, wobei das gesamte Schlüsselmaterial generiert und die Kryptografie auf dem (nicht gefährdeten) Zugriffspunkt selbst durchgeführt wird. Der Angreifer wird widerrufen und kann sich nicht dem Netzwerk anschließen und Schwachstellen auf dem potenziell anfälligen RADIUS-Server ausnutzen.

Wie genau ist der RADIUS-Server an der Sicherheit von "WPA2 Enterprise" beteiligt?

nein.menschliches.Wesen
quelle

Antworten:

16

WPA2 Enterprise basiert auf Teilen von 802.11i, die auf 802.1X basieren. Für 802.1X ist KEIN RADIUS-Server erforderlich, dies wird jedoch normalerweise aus älteren Gründen durchgeführt.

Die Rolle des RADIUS-Servers befindet sich nur am Anfang der Verbindung, aber sie macht eine Kleinigkeit mehr als Sie erwähnt haben. Im Rahmen des Authentifizierungsmechanismus wird das Schlüsselmaterial sicher auf dem RADIUS-Server generiert (und dasselbe Schlüsselmaterial wird auch auf dem WPA2-Client generiert). Nachdem der RADIUS-Server den AP angewiesen hat, diese Verbindungsanforderung zu akzeptieren, sendet der RADIUS-Server dieses Schlüsselmaterial in einer RADIUS-Schlüsselnachricht (sie haben eine RADIUS-MPPE-KEY-Nachricht / ein RADIUS-MPPE-KEY-Attribut, für das Microsoft Pionierarbeit geleistet hat) an den AP, so der AP weiß, welche Pro-Benutzer-Pro-Sitzung-Schlüssel (einschließlich des Pairwise Temporal Key oder PTK) für diese Sitzung verwendet werden sollen. Damit ist die Beteiligung des RADIUS-Servers beendet.

Sie haben absolut Recht, dass es nicht viel Serverleistung erfordert, um einen RADIUS-Server zu betreiben. Genau wie bei einem DHCP-Server oder einem DNS-Server für ein kleines Netzwerk oder eine kleine Domäne ist für die Ausführung keine Hardware der Serverklasse erforderlich. Wahrscheinlich reicht jede kleine eingebettete Netzwerkbox mit geringem Stromverbrauch aus. In modernen Netzwerken gibt es viele Protokolle, bei denen das "Server" -Ende nach heutigen Maßstäben nicht viel Leistung erfordert. Nur weil Sie den Begriff "Server" hören, sollten Sie nicht davon ausgehen, dass dafür leistungsstarke Serverhardware erforderlich ist.


Hintergrundgeschichte

Sie sehen, RADIUS war ursprünglich eine Möglichkeit, die Authentifizierung von Ihren DFÜ-Modem-PPP-Servern auf einen zentralen Server zu verlagern. Deshalb steht es für "Remote Authentication Dial-In User Service" (sollte "Dial-In User Remote Authentication Service" sein, aber DIURAS klingt nicht so gut wie RADIUS). Als PPP für die DSL-Authentifizierung (PPPoE, PPPoA) und die VPN-Authentifizierung (PPTP und L2TP-over-IPSec sind beide "PPP in einem verschlüsselten Tunnel") verwendet wurde, war es normal, weiterhin dieselben RADIUS-Server für die zentrale Authentifizierung für zu verwenden alle "RAS-Server" Ihres Unternehmens.

Es fehlten die ursprünglichen Authentifizierungsmechanismen von PPP, und die Erstellung neuer Mechanismen erforderte eine Menge Standardarbeit. Daher wurde schließlich das Extensible Authentication Protocol (EAP) als Plug-In-System für die PPP-ähnliche Authentifizierung entwickelt. Natürlich waren RADIUS-Server und PPP-Clients die ersten Stellen, die EAP unterstützen mussten. Sie könnten natürlich Ihr Einwählmodem / PPP-Server oder Ihren VPN-Server oder Ihren PPPoE / PPPoA-Server (wirklich L2TP PPP) oder was auch immer lokal implementieren, aber RADIUS war inzwischen so weit verbreitet dass es hauptsächlich RADIUS-Server waren, die es implementiert haben.

Irgendwann wollte jemand eine Möglichkeit, eine Authentifizierung zu fordern, wenn jemand an einen unbewachten Ethernet-Port in der Lobby oder in einem Konferenzraum angeschlossen wird. Daher wurde "EAP over LANs" dafür erstellt. "EAPoL" wurde als 802.1X standardisiert. 802.1X wurde später auf 802.11-Netzwerke in IEEE 802.11i angewendet. Die Wi-Fi Alliance hat ein Interoperabilitäts-Zertifizierungs-, Branding- und Marketingprogramm für 802.11i erstellt und es als Wi-Fi Protected Access 2 (WPA2) bezeichnet.

Obwohl Ihr 802.11 AP selbst die gesamte 802.1X (WPA2-Enterprise) "Authenticator" -Rolle alleine (ohne die Hilfe eines RADIUS-Servers) erfüllen könnte, ist dies nur selten der Fall. In der Tat haben einige APs, die 802.1X-Standalone ausführen können, tatsächlich RADIUS-Server für Open Source in ihre Firmware eingebaut und führen die 802.1X-Authentifizierung über RADIUS über Loopback durch, da es einfacher ist, sie auf diese Weise anzuschließen, als dies zu versuchen Implementieren Sie Ihren eigenen EAP-Authentifizierungscode oder kopieren Sie den Code aus einer Open-Source-RADIUS-Serversoftware und versuchen Sie, ihn direkt in die 802.11-bezogenen Daemons Ihrer AP-Firmware zu integrieren.


In Anbetracht dieser Hintergrundgeschichte und abhängig davon, wie alt der von Ihnen vorgeschlagene RADIUS-Server ist, ist die wichtige Frage, ob er die EAP-Typen implementiert, die Sie für die Authentifizierung in Ihrem Netzwerk verwenden möchten. PEAP? TTLS?

Beachten Sie auch, dass RADIUS traditionell ein dem RADIUS-Client bekanntes "Shared Secret" verwendet (der RADIUS-Client ist der "Network Access Server": in diesem Fall der AP oder ein VPN- oder PPP-Server oder ein anderer "Remote Access Server") Fällen) und dem RADIUS-Server, um sowohl den RADIUS-Client als auch den Server gegenseitig zu authentifizieren und ihre Kommunikation zu verschlüsseln. Auf den meisten RADIUS-Servern können Sie je nach IP-Adresse des AP unterschiedliche Shared Secrets für jeden AP festlegen. Ein Angreifer in Ihrem Netzwerk müsste also in der Lage sein, diese IP-Adresse zu übernehmen und dieses gemeinsame Geheimnis zu erraten, damit der RADIUS-Server mit ihm spricht. Wenn der Angreifer noch nicht im Netzwerk ist, kann er nur versuchen, speziell gestaltete / beschädigte EAP-Nachrichten zu senden, die der AP über RADIUS an den RADIUS-Server weiterleitet.

Spiff
quelle
Ich würde wahrscheinlich EAP-EKE oder alternativ EAP-PWD verwenden, wenn ich kann. Alles, was ich tun möchte, ist, Benutzer, die eine Verbindung zum Netzwerk herstellen können, davor zu schützen, den Datenverkehr anderer abzufangen. Wenn WPA2-PSK "Sitzungsschlüssel" über DH einrichten würde, wäre das perfekt für mich, aber leider (aus welchem ​​Grund auch immer) nicht. Ich benötige keine ausgeklügelten Authentifizierungsmethoden. Ich möchte nur verhindern, dass Stationen den Verkehr des jeweils anderen abfangen. Für alles andere bin ich gut mit der Sicherheit von WPA2-PSK.
no.human.being
@ no.human.being Beachten Sie, dass nicht alle EAP-Methoden die Erstellung des für 802.11i / WPA2-Enterprise erforderlichen Schlüsselmaterials unterstützen. Ich kenne die beiden Typen, die Sie erwähnt haben, nicht. Vielleicht möchten Sie sie an anderer Stelle überprüfen, um sicherzustellen, dass sie für diesen Zweck geeignet sind.
Spiff
1
Schön zu schreiben. Sie haben keinen wichtigen Grund genannt, warum es einen separaten Server gibt. Dies gilt nicht für Heimbereitstellungen, aber es ist ein großer Teil von "warum dies existiert". In jeder Unternehmensbereitstellung sind die Zugriffspunkte tatsächlich nicht vertrauenswürdig, da sie sich in öffentlichen Bereichen befinden und daher keine Benutzerinformationen enthalten sollten. Bei jedem EAP-Typ, der einen sicheren Tunnel für den Client bereitstellt (PEAP, TTLS, TLS), nimmt der AP überhaupt nicht an der Authentifizierung teil, sodass Benutzeranmeldeinformationen nicht abgefangen werden können, selbst wenn sie von jemandem mit einem kompromittiert werden Leiter :)
Munition Goettsch
3

WPA Enterprise (WPA mit EAP) ermöglicht Ihnen viele andere Authentifizierungsmethoden, wie digitale Zertifikate, RSA-Token usw. Es sollte mit einem Radius-Server implementiert werden, da alle diese Methoden über einfache Benutzernamen und Passwörter hinausgehen und das Radius-Protokoll das ist De-facto-Standard für die meisten Systeme, die AAA benötigen (Authentifizierung, Autorisierung, Abrechnung).

Nachdem das gesagt ist,

1) Der Radius-Server kann leicht durch Firewall-Regeln geschützt werden, die nur Pakete von APs akzeptieren (der WLAN-Client wird niemals direkt mit dem Radius-Server sprechen).

2) ein alter radius könnte nicht funktionieren, ich empfehle einen der neuesten freeradius server

Weitere Details dazu, wie das funktioniert und was Sie tun müssen: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

claudiuf
quelle
Ja. Ich dachte nur, ich könnte Strom (und Lärm) sparen, indem ich keinen tatsächlichen Server für RADIUS einrichte, da ich keine "ausgeklügelten Authentifizierungsmethoden" benötige wahrscheinlich nicht, es ist nur eine zusätzliche Paranoia ;-)). Ich möchte also im Grunde die Privatsphäre eines "gesendeten Netzwerks" über WLAN (das von Natur aus ein Broadcast-Medium ist), also benötige ich tatsächliche "Pro-Link" - oder "Pro-Client" -Schlüssel. "WPA2 Enterprise" würde wahrscheinlich meinen Bedürfnissen entsprechen. Ich könnte versuchen, RADIUS auf einem Embedded-Board unter Linux einzurichten.
no.human.being
-2

FreeRadius läuft problemlos auf einem Raspberry PI. Das übliche Betriebssystem ist Raspbian, eine Variante von Debian. Es erledigt also alles, was Sie von einem Server erwarten, z. B. DHCP / DNS. Es ist billig - 40 Dollar für ein nacktes Board -, aber Budget 80 oder 90 Dollar, um "optionale" Extras zu haben - wie zum Beispiel ein Gehäuse und ein Netzteil ... Ich bin seit ein paar Jahren mit einem Pi im Radius unterwegs -24 / 7. Es hat auch Zenmap und Wireshark. Es ist eine Erstellungsplattform zum Ausprobieren, da es von einer SD-Karte ausgeführt wird und Sie die SD-Karte auf Ihren PC kopieren können. Probieren Sie etwas aus und stellen Sie die SD-Karte von Ihrem PC wieder her, wenn Sie sie kaputt gemacht haben.

Sean
quelle
2
Diese Antwort erklärt nicht die Rolle eines RADIUS-Servers
janv8000