Apa yang dilakukan server RADIUS dalam pengaturan WPA2 Enterprise?

17

Saya ingin memutakhirkan WiFi dari mode "WPA2 Personal" ke "WPA2 Enterprise" karena saya tahu pada prinsipnya, pada WiFi yang dijamin dengan "WPA2 Personal", perangkat yang tahu PSK dapat mengendus lalu lintas satu sama lain begitu mereka menangkap hubungan antara stasiun dan AP. Untuk mengurangi efek yang dimiliki perangkat tunggal yang dikompromikan pada WiFi (dalam mode "WPA2 Personal", itu akan dapat mendekripsi lalu lintas klien WiFi lain, tanpa kompromi, jika sebelumnya telah menangkap "permintaan terkait" dari yang lain). klien dalam mode promiscuous / monitor) Saya ingin memutakhirkan WiFi saya ke keamanan "WPA2 Enterprise", di mana, menurut pemahaman saya, ini tidak lagi mungkin.

Sayangnya, sekarang, untuk "WPA2 Enterprise", Anda memerlukan server RADIUS.

Sekarang, sejauh yang saya mengerti, server RADIUS hanya melakukan otentikasi, tetapi tidak melakukan enkripsi atau pertukaran materi utama. Jadi pada dasarnya, suatu AP mendapat permintaan asosiasi dari STA, klien memberikan kredensial, lalu AP meneruskannya ke server RADIUS, server RADIUS mengatakan "kredensial baik-baik saja", lalu AP mengizinkan rekan STA, jika tidak, tidak.

Apakah ini model yang tepat? Jika demikian, maka server RADIUS pada dasarnya hanyalah database yang penuh dengan kredensial pengguna (pasangan nama pengguna dan kata sandi). Jika demikian, maka saya ingin tahu mengapa mereka memerlukan mesin server lengkap untuk ini, karena, bahkan untuk ribuan pengguna, nama pengguna dan kata sandi tidak banyak data untuk menyimpan dan memverifikasi kredensial adalah tugas yang cukup mendasar, jadi sepertinya ini adalah hal yang juga bisa dengan mudah dilakukan oleh AP itu sendiri. Jadi mengapa memerlukan server khusus untuk ini?

Jadi mungkin saya salah dan server RADIUS tidak hanya digunakan untuk otentikasi, tetapi untuk enkripsi yang sebenarnya? Jika STA mengirim data ke jaringan menggunakan "WPA2 Enterprise", itu mengenkripsi dengan beberapa kunci sesi, maka AP menerima data yang dienkripsi, tetapi, bertentangan dengan "WPA2 Pribadi", ia tidak dapat mendekripsi, sehingga mengirimkan data pada ke server RADIUS, yang memiliki bahan utama (dan daya komputasi) untuk mendekripsi. Setelah RADIUS mendapatkan teks yang jelas, ia meneruskan materi yang tidak dienkripsi kembali ke jaringan kabel. Apakah ini caranya?

Alasan saya ingin tahu ini adalah sebagai berikut. Saya memiliki perangkat yang agak lama di sini, yang memiliki server RADIUS berjalan di atasnya. Tetapi, seperti yang saya katakan, perangkat ini cukup tua dan dengan demikian mengimplementasikan RADIUS versi lama dengan kelemahan keamanan yang diketahui. Sekarang saya ingin tahu apakah ini akan membahayakan keamanan WiFi saya jika digunakan untuk enkripsi mode "WPA2 Enterprise". Jika penyerang dapat berbicara dengan server RADIUS ketika tidak diautentikasi, ini mungkin membahayakan keamanan jaringan saya, jadi saya tidak boleh melakukan ini. Di sisi lain, jika penyerang hanya dapat berbicara dengan AP, yang pada gilirannya berbicara ke server RADIUS untuk memeriksa kredensial, maka "server RADIUS yang rentan" mungkin tidak terlalu menjadi masalah, karena penyerang tidak akan mendapatkan ke jaringan WiFi, dan dengan demikian tidak akan dapat berbicara dengan server RADIUS, di tempat pertama. Satu-satunya perangkat yang berbicara dengan server RADIUS adalah AP itu sendiri, untuk memeriksa kredensial, dengan semua materi kunci yang dihasilkan dan kriptografi dilakukan pada AP (tanpa kompromi) itu sendiri. Penyerang akan dicabut dan dengan demikian tidak dapat bergabung dengan jaringan dan mengeksploitasi kelemahan pada server RADIUS yang berpotensi rentan.

Jadi bagaimana tepatnya server RADIUS terlibat dengan keamanan "WPA2 Enterprise"?

no.human.being
sumber

Jawaban:

16

WPA2 Enterprise didasarkan pada bagian 802.11i yang didasarkan pada 802.1X. 802.1X TIDAK memerlukan server RADIUS, tapi begitulah biasanya dilakukan karena alasan warisan.

Peran server RADIUS hanya di awal koneksi, tetapi melakukan satu hal kecil lebih dari yang Anda sebutkan. Sebagai bagian dari mekanisme otentikasi, material kunci dibuat dengan aman di server RADIUS (dan material kunci yang sama juga dihasilkan pada klien WPA2). Setelah server RADIUS memberi tahu AP untuk menerima permintaan koneksi itu, server RADIUS mengirimkan materi kunci tersebut dalam pesan "kunci" RADIUS (mereka menggunakan kembali pesan / atribut RADIUS MPPE-KEY yang atributnya telah dirintis oleh Microsoft) ke AP, jadi AP tahu apa kunci per pengguna per sesi (termasuk Kunci Temporal Pairwise atau PTK) yang akan digunakan untuk sesi itu. Itu mengakhiri keterlibatan server RADIUS.

Anda memang benar bahwa itu benar-benar tidak memerlukan banyak tenaga kuda server untuk menjalankan server RADIUS. Sama seperti server DHCP atau server DNS untuk jaringan atau domain kecil, Anda benar-benar tidak memerlukan perangkat keras "kelas server" untuk menjalankannya. Mungkin kotak jaringan tertanam kecil berdaya rendah akan melakukan. Ada banyak protokol dalam jaringan modern di mana "server" akhirnya tidak memerlukan banyak tenaga kuda menurut standar saat ini. Hanya karena Anda mendengar istilah "server", jangan menganggap itu membutuhkan perangkat keras server tugas berat.


Cerita belakang

Soalnya, RADIUS pada awalnya adalah cara untuk memindahkan otentikasi dari server PPP-modem modem dial-up Anda, dan ke server terpusat. Itu sebabnya singkatan dari "Layanan Pengguna Dial-In Otentikasi Jarak Jauh" (seharusnya "Layanan Otentikasi Pengguna Jarak Jauh Dial-In", tetapi DIURAS tidak terdengar sebagus RADIUS). Ketika PPP mulai digunakan untuk otentikasi DSL (PPPoE, PPPoA) dan otentikasi VPN (PPTP dan L2TP-over-IPSec keduanya "PPP di dalam terowongan terenkripsi"), itu wajar untuk terus menggunakan server RADIUS yang sama untuk otentikasi terpusat untuk semua "Server Akses Jarak Jauh" perusahaan Anda.

Mekanisme otentikasi asli PPP masih kurang, dan membutuhkan banyak keterlibatan badan standar untuk membuat yang baru, sehingga akhirnya, Protokol Otentikasi yang Diperluas (EAP) diciptakan untuk menjadi sistem plug-in auth-type untuk otentikasi seperti PPP. Secara alami, server RADIUS dan klien PPP adalah tempat pertama yang perlu mendukung EAP. Anda tentu saja dapat memiliki server modem / PPP dial-in, atau server VPN, atau server PPPoE / PPPoA Anda (sungguh-sungguh, L2TP PPP), atau apa pun, mengimplementasikan EAP secara lokal, tetapi saat ini, RADIUS telah dikerahkan secara luas. bahwa sebagian besar server RADIUS yang mengimplementasikannya.

Akhirnya seseorang menginginkan cara untuk meminta otentikasi setiap kali seseorang terhubung ke port Ethernet yang tidak dijaga di lobi atau ruang konferensi, jadi "EAP over LANs" diciptakan untuk ini. "EAPoL" seperti yang dikenal, distandarisasi sebagai 802.1X. 802.1X kemudian diterapkan ke jaringan 802.11 di IEEE 802.11i. Dan Wi-Fi Alliance menciptakan program sertifikasi / branding / pemasaran interoperabilitas sekitar 802.11i, dan menyebutnya Wi-Fi Protected Access 2 (WPA2).

Jadi, sementara 802.11 AP Anda sendiri dapat memenuhi seluruh peran "Authenticator" 802.1X (WPA2-Enterprise) dengan sendirinya (tanpa bantuan server RADIUS), itu tidak biasa dilakukan. Bahkan, dalam beberapa AP yang mampu melakukan 802.1X mandiri, mereka benar-benar membangun dan membuka server RADIUS sumber ke dalam firmware mereka, dan melakukan otentikasi 802.1X melalui RADIUS melalui loopback, karena lebih mudah untuk menghubungkannya dengan cara itu daripada mencoba untuk laksanakan kode EAP autentikator Anda sendiri, atau salin kode tersebut dari beberapa perangkat lunak server RADIUS open source dan cobalah untuk secara langsung mengintegrasikannya ke daemon terkait firmware AP 802.11 Anda.


Mengingat latar belakang itu, dan tergantung pada berapa usia server RADIUS yang Anda usulkan, pertanyaan penting adalah apakah mengimplementasikan tipe EAP yang ingin Anda gunakan untuk otentikasi pada jaringan Anda. PEAP? TTLS?

Juga, perhatikan bahwa RADIUS secara tradisional menggunakan "Rahasia Bersama" yang dikenal oleh klien RADIUS (klien RADIUS adalah "Network Access Server": AP dalam hal ini, atau VPN atau server PPP atau "Remote Access Server" lainnya di lain kasing) dan server RADIUS, untuk mengotentikasi klien RADIUS dan server satu sama lain, dan untuk mengenkripsi komunikasi mereka. Sebagian besar server RADIUS memungkinkan Anda menentukan Rahasia Bersama yang berbeda untuk setiap AP, berdasarkan alamat IP AP. Jadi penyerang di jaringan Anda harus dapat mengambil alih alamat IP itu, dan tebak rahasia yang dibagikan itu, agar server RADIUS berbicara dengannya. Jika penyerang belum masuk jaringan, penyerang hanya akan dapat mencoba mengirim pesan EAP yang dibuat khusus / rusak yang akan diteruskan AP melalui RADIUS ke server RADIUS.

Spiff
sumber
Saya mungkin akan menggunakan EAP-EKE atau EAP-PWD jika saya bisa. Yang ingin saya lakukan pada dasarnya adalah melindungi pengguna, yang dapat terhubung ke jaringan, agar tidak dapat mencegat lalu lintas orang lain. Jika WPA2-PSK akan membuat "kunci sesi" melalui DH, itu akan menjadi sempurna bagi saya tetapi sayangnya (untuk alasan apa pun) tidak. Saya tidak memerlukan metode otentikasi canggih. Yang saya inginkan adalah mencegah stasiun mencegat lalu lintas satu sama lain. Untuk yang lainnya, saya baik-baik saja dengan keamanan WPA2-PSK.
no.human.being
@ no.human.being Berhati-hatilah bahwa tidak semua metode EAP mendukung pembuatan materi kunci yang diperlukan untuk 802.11i / WPA2-Enterprise. Saya tidak terbiasa dengan dua jenis yang Anda sebutkan, jadi Anda mungkin ingin memeriksa di tempat lain untuk memastikan mereka cocok untuk tujuan ini.
Spiff
1
Menulis bagus. Anda tidak menyebutkan satu alasan penting ada server yang terpisah. Ini tidak berlaku untuk penempatan di rumah, tetapi ini adalah bagian besar dari "mengapa ini ada." Dalam penyebaran perusahaan apa pun, titik akses sebenarnya tidak dapat dipercaya, karena letaknya di tempat umum dan karenanya tidak boleh mengandung informasi pengguna apa pun. Selain itu, dengan jenis EAP apa pun yang menyediakan terowongan aman untuk klien (PEAP, TTLS, TLS), AP bahkan tidak berpartisipasi dalam autentikasi sama sekali, sehingga tidak dapat mencegat kredensial pengguna bahkan jika itu dikompromikan oleh seseorang dengan ladder :)
Ammo Goettsch
3

WPA Enterprise (WPA with EAP) memungkinkan Anda untuk memiliki banyak metode otentikasi lainnya, seperti sertifikat digital, token RSA, dll. Ini harus diimplementasikan dengan server radius, karena semua metode tersebut di luar nama pengguna + kata sandi sederhana dan protokol radius adalah standar de facto untuk sebagian besar sistem yang membutuhkan AAA (otentikasi, otorisasi, akuntansi).

Ini dikatakan,

1) server radius dapat dengan mudah dilindungi oleh aturan firewall, hanya menerima paket dari AP (klien wifi tidak akan pernah berbicara langsung ke server radius)

2) menggunakan jari-jari lama mungkin tidak berfungsi, saya sarankan salah satu server freeradius terbaru

Rincian lebih lanjut tentang cara kerjanya dan apa yang perlu Anda lakukan: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?

claudiuf
sumber
Ya. Saya hanya berpikir saya bisa menghemat daya (dan kebisingan) dengan tidak memasang server aktual untuk RADIUS karena saya tidak memerlukan "metode otentikasi canggih", saya hanya ingin mencegah klien nirkabel dari "saling mengendus" (mereka mungkin tidak akan, itu hanya paranoia ekstra ;-)). Jadi pada dasarnya saya ingin privasi dari "jaringan yang diaktifkan" pada nirkabel (yang merupakan media yang disiarkan secara inheren) jadi saya perlu kunci "per tautan" atau "per klien" yang sebenarnya. "WPA2 Enterprise" mungkin akan sesuai dengan kebutuhan saya. Saya mungkin mencoba mengatur RADIUS pada papan tertanam yang menjalankan Linux.
no.human.being
-2

FreeRadius akan dengan senang hati berjalan pada Raspberry PI. OS yang biasa adalah Raspbian yang merupakan rasa dari Debian -jadi ia akan melakukan semua hal yang Anda ingin server lakukan misalnya DHCP / DNS. Itu murah - 40 dolar untuk papan telanjang - tetapi anggaran 80 atau 90 dolar untuk memiliki "opsi" tambahan - seperti kasus, dan catu daya ... Saya telah menjalankan radius pada Pi selama beberapa tahun -24 / 7. Ini juga memiliki zenmap dan Wireshark. Ini adalah platform buat untuk mencoba segala sesuatunya karena kartu SD dan Anda dapat menyalin kartu SD ke PC Anda. Coba sesuatu, dan kembalikan SD dari PC Anda jika Anda mengubahnya.

Sean
sumber
2
Jawaban ini tidak menjelaskan peran server RADIUS
janv8000