Saya ingin memutakhirkan WiFi dari mode "WPA2 Personal" ke "WPA2 Enterprise" karena saya tahu pada prinsipnya, pada WiFi yang dijamin dengan "WPA2 Personal", perangkat yang tahu PSK dapat mengendus lalu lintas satu sama lain begitu mereka menangkap hubungan antara stasiun dan AP. Untuk mengurangi efek yang dimiliki perangkat tunggal yang dikompromikan pada WiFi (dalam mode "WPA2 Personal", itu akan dapat mendekripsi lalu lintas klien WiFi lain, tanpa kompromi, jika sebelumnya telah menangkap "permintaan terkait" dari yang lain). klien dalam mode promiscuous / monitor) Saya ingin memutakhirkan WiFi saya ke keamanan "WPA2 Enterprise", di mana, menurut pemahaman saya, ini tidak lagi mungkin.
Sayangnya, sekarang, untuk "WPA2 Enterprise", Anda memerlukan server RADIUS.
Sekarang, sejauh yang saya mengerti, server RADIUS hanya melakukan otentikasi, tetapi tidak melakukan enkripsi atau pertukaran materi utama. Jadi pada dasarnya, suatu AP mendapat permintaan asosiasi dari STA, klien memberikan kredensial, lalu AP meneruskannya ke server RADIUS, server RADIUS mengatakan "kredensial baik-baik saja", lalu AP mengizinkan rekan STA, jika tidak, tidak.
Apakah ini model yang tepat? Jika demikian, maka server RADIUS pada dasarnya hanyalah database yang penuh dengan kredensial pengguna (pasangan nama pengguna dan kata sandi). Jika demikian, maka saya ingin tahu mengapa mereka memerlukan mesin server lengkap untuk ini, karena, bahkan untuk ribuan pengguna, nama pengguna dan kata sandi tidak banyak data untuk menyimpan dan memverifikasi kredensial adalah tugas yang cukup mendasar, jadi sepertinya ini adalah hal yang juga bisa dengan mudah dilakukan oleh AP itu sendiri. Jadi mengapa memerlukan server khusus untuk ini?
Jadi mungkin saya salah dan server RADIUS tidak hanya digunakan untuk otentikasi, tetapi untuk enkripsi yang sebenarnya? Jika STA mengirim data ke jaringan menggunakan "WPA2 Enterprise", itu mengenkripsi dengan beberapa kunci sesi, maka AP menerima data yang dienkripsi, tetapi, bertentangan dengan "WPA2 Pribadi", ia tidak dapat mendekripsi, sehingga mengirimkan data pada ke server RADIUS, yang memiliki bahan utama (dan daya komputasi) untuk mendekripsi. Setelah RADIUS mendapatkan teks yang jelas, ia meneruskan materi yang tidak dienkripsi kembali ke jaringan kabel. Apakah ini caranya?
Alasan saya ingin tahu ini adalah sebagai berikut. Saya memiliki perangkat yang agak lama di sini, yang memiliki server RADIUS berjalan di atasnya. Tetapi, seperti yang saya katakan, perangkat ini cukup tua dan dengan demikian mengimplementasikan RADIUS versi lama dengan kelemahan keamanan yang diketahui. Sekarang saya ingin tahu apakah ini akan membahayakan keamanan WiFi saya jika digunakan untuk enkripsi mode "WPA2 Enterprise". Jika penyerang dapat berbicara dengan server RADIUS ketika tidak diautentikasi, ini mungkin membahayakan keamanan jaringan saya, jadi saya tidak boleh melakukan ini. Di sisi lain, jika penyerang hanya dapat berbicara dengan AP, yang pada gilirannya berbicara ke server RADIUS untuk memeriksa kredensial, maka "server RADIUS yang rentan" mungkin tidak terlalu menjadi masalah, karena penyerang tidak akan mendapatkan ke jaringan WiFi, dan dengan demikian tidak akan dapat berbicara dengan server RADIUS, di tempat pertama. Satu-satunya perangkat yang berbicara dengan server RADIUS adalah AP itu sendiri, untuk memeriksa kredensial, dengan semua materi kunci yang dihasilkan dan kriptografi dilakukan pada AP (tanpa kompromi) itu sendiri. Penyerang akan dicabut dan dengan demikian tidak dapat bergabung dengan jaringan dan mengeksploitasi kelemahan pada server RADIUS yang berpotensi rentan.
Jadi bagaimana tepatnya server RADIUS terlibat dengan keamanan "WPA2 Enterprise"?
sumber
WPA Enterprise (WPA with EAP) memungkinkan Anda untuk memiliki banyak metode otentikasi lainnya, seperti sertifikat digital, token RSA, dll. Ini harus diimplementasikan dengan server radius, karena semua metode tersebut di luar nama pengguna + kata sandi sederhana dan protokol radius adalah standar de facto untuk sebagian besar sistem yang membutuhkan AAA (otentikasi, otorisasi, akuntansi).
Ini dikatakan,
1) server radius dapat dengan mudah dilindungi oleh aturan firewall, hanya menerima paket dari AP (klien wifi tidak akan pernah berbicara langsung ke server radius)
2) menggunakan jari-jari lama mungkin tidak berfungsi, saya sarankan salah satu server freeradius terbaru
Rincian lebih lanjut tentang cara kerjanya dan apa yang perlu Anda lakukan: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?
sumber
FreeRadius akan dengan senang hati berjalan pada Raspberry PI. OS yang biasa adalah Raspbian yang merupakan rasa dari Debian -jadi ia akan melakukan semua hal yang Anda ingin server lakukan misalnya DHCP / DNS. Itu murah - 40 dolar untuk papan telanjang - tetapi anggaran 80 atau 90 dolar untuk memiliki "opsi" tambahan - seperti kasus, dan catu daya ... Saya telah menjalankan radius pada Pi selama beberapa tahun -24 / 7. Ini juga memiliki zenmap dan Wireshark. Ini adalah platform buat untuk mencoba segala sesuatunya karena kartu SD dan Anda dapat menyalin kartu SD ke PC Anda. Coba sesuatu, dan kembalikan SD dari PC Anda jika Anda mengubahnya.
sumber