web-dev-qa-db-ja.com

RADIUSサーバーはWPA2 Enterpriseセットアップで何をしますか?

「WPA2パーソナル」モードから「WPA2エンタープライズ」モードにWiFiをアップグレードしたいのは、原則として、「WPA2パーソナル」で保護されたWiFiでは、PSKを知っているデバイスがキャプチャした後、お互いのトラフィックを傍受できるからです。ステーションとAP間の関連付け。 WiFi上の単一の危険にさらされたデバイスが持つ影響を減らすために(「WPA2パーソナル」モードでは、他の「関連リクエスト」をキャプチャする前に、他の妥協のないWiFiクライアントのトラフィックを復号化できます。無差別/監視モードのクライアント)WiFiを「WPA2エンタープライズ」セキュリティにアップグレードしたいのですが、私の理解によれば、これはもう不可能です。

残念ながら、「WPA2 Enterprise」の場合、RADIUSサーバーが必要です。

今、私が理解している限り、RADIUSサーバーは認証のみを実行し、暗号化やキーマテリアルの交換は実行しません。したがって、基本的に、APはクライアントであるSTAからアソシエーション要求を取得します資格情報を提供し、APはそれらをRADIUSサーバーに渡します、RADIUSサーバーは「資格情報は問題ありません」と言い、APはSTAに関連付けます。それ以外の場合はない。

これは正しいモデルですか?もしそうなら、RADIUSサーバーは、基本的にはユーザー資格情報(ユーザー名とパスワードのペア)でいっぱいのデータベースにすぎません。もしそうなら、本格的なサーバーが必要な理由に興味があります。このためのサーバーマシン。何千人ものユーザーにとっても、ユーザー名とパスワードは保存するデータ量が多くなく、資格情報の確認はかなり基本的なタスクであるため、これはAPでも簡単に実行できることのようです。それでは、なぜこのために専用サーバーが必要なのでしょうか。

おそらく私はこれを間違っており、RADIUSサーバーは認証だけでなく実際の暗号化にも使用されていますか?STAが "WPA2 Enterprise"を使用してネットワークにデータを送信する場合、それは一部のセッションキー、次にAPは暗号化されたデータを受信しますが、「WPA2 Personal」とは逆に、それを復号化できないため、キーを持っているRADIUSサーバーにデータを渡します材料(および計算能力)を使用して復号化します。RADIUSがクリアテキストを取得した後、暗号化されていない材料を有線ネットワークに戻します。これはどのように行われますか?

これを知りたいのは以下の理由です。ここにはかなり古いデバイスがあり、RADIUSサーバーが実行されています。しかし、私が言ったように、デバイスはかなり古いため、RADIUS既知のセキュリティ上の弱点があります。「WPA2 Enterprise」モードの暗号化に使用すると、これが私のWiFiセキュリティを危険にさらすかどうかを知りたいです。攻撃者がRADIUSサーバーが認証されていない場合、これはネットワークのセキュリティを危険にさらす可能性があるので、私はこれを行うべきではありません。一方、攻撃者がAPとしか通信できない場合、APはRADIUS資格情報をチェックするサーバー、次に「脆弱なRADIUSサーバー」はそれほど問題ではないかもしれません。攻撃者はWiFiネットワークに侵入できないため、次のことができません。最初にRADIUSサーバーと通信します。RADIUSサーバーと通信する唯一のデバイスは、資格情報をチェックするためのAP自体です。生成された鍵素材と実行された暗号(妥協のない)AP自体に。攻撃者は取り消され、ネットワークに参加できなくなり、潜在的に脆弱なRADIUSサーバー上の脆弱性を悪用する可能性があります。

RADIUSサーバーは「WPA2 Enterprise」セキュリティにどの程度正確に関与しているのでしょうか?

17
no.human.being

WPA2 Enterpriseは、802.1Xに基づく802.11iの一部に基づいています。 802.1XはRADIUSサーバーを必要としませんが、これはレガシーの理由で一般的に行われている方法です。

RADIUSサーバーの役割は接続の開始時のみですが、それはあなたが述べたよりも少しだけ多くのことを行います。認証メカニズムの一部として、鍵情報はRADIUSサーバーで安全に生成されます(同じ鍵情報がWPA2クライアントでも生成されます)。 RADIUSサーバーがAPにその接続要求を受け入れるように指示した後、RADIUSサーバーはその鍵情報をRADIUS "key"メッセージで送信します(_を再利用しましたRADIUSマイクロソフトが開拓したMPPE-KEYメッセージ/属性)をAPに送信します。これにより、APは、ユーザーごとのセッションごとのキー(ペアワイズテンポラルキーまたはPTKを含む)がそのセッションに使用することを認識します。これでRADIUSサーバーの関与が終了します。

RADIUSサーバーを実行するのにサーバーの処理能力をあまり必要としないことは間違いありません。小規模なネットワークまたはドメインのDHCPサーバーまたはDNSサーバーと同様に、DHCPサーバーを実行するための「サーバークラス」ハードウェアは実際には必要ありません。おそらく、少しの低電力組み込みネットワークボックスでも十分です。 「サーバー」側が今日の標準でそれほど馬力を必要としない現代のネットワーキングには多くのプロトコルがあります。 「サーバー」という言葉を聞いたからといって、それが強力なサーバーハードウェアを必要とすると仮定しないでください。


バックストーリー

PPPの元の認証メカニズムは欠如しており、新しいものを作成するために多くの標準化団体の関与が必要でした。そのため、最終的に、拡張認証プロトコル(EAP)は、PPPのような認証用の認証タイプのプラグインシステムとして作成されました。当然、RADIUSサーバーとPPPクライアントは、EAPをサポートする必要がある最初の場所でした。もちろん、ダイヤルインモデム/ PPPサーバー、VPNサーバー、PPPoE/PPPoA(実際には、L2TP PPP)サーバーなど、ローカルにEAPを実装することもできますが、今ではRADIUSは非常に広く展開されているため、ほとんどがRADIUSサーバーに実装されていました。

最終的に、誰かがロビーまたは会議室の無防備なイーサネットポートに接続するたびに認証を要求する方法を誰かが望んだので、このために「EAP over LAN」が作成されました。 「EAPoL」は、既知のとおり、802.1Xとして標準化されました。 802.1Xは、後でIEEE 802.11iの802.11ネットワークに適用されました。また、Wi-Fi Allianceは、802.11iを中心とした相互運用性認定/ branding/marketingプログラムを作成し、Wi-Fi Protected Access 2(WPA2)と呼んでいました。

したがって、802.11 AP自体が802.1X(WPA2エンタープライズ)の「オーセンティケーター」の役割全体を(RADIUSサーバーの助けを借りずに)単独で満たすことはできますが、一般的には行われません。実際、802.1Xスタンドアロンを実行できる一部のAPでは、実際にファームウェアにRADIUSサーバーを構築してオープンソースにし、ループバック経由でRADIUSを介して802.1X認証を実行します。独自のEAPオーセンティケーターコードを実装したり、オープンソースRADIUSサーバーソフトウェアからコードをコピーしてAPファームウェアの802.11に直接統合したりするよりも、その方法で接続する方が簡単です。関連デーモン。


その裏話を考えると、提案されたRADIUSサーバーの古さに応じて、重要な問題は、ネットワークでの認証に使用するEAPタイプを実装するかどうかです。 PEAP? TTLS?

また、RADIUSは従来、RADIUSクライアントに知られている「共有シークレット」を使用することに注意してください(RADIUSクライアントは「ネットワークアクセスサーバー」です。この場合、またはVPNまたはPPPサーバーまたはその他の「リモートアクセスサーバー」)およびRADIUSサーバー、RADIUSクライアントとサーバーを相互に接続し、通信を暗号化します。ほとんどのRADIUSサーバーでは、APのIPアドレスに基づいて、APごとに異なる共有シークレットを指定できます。そのため、ネットワーク上の攻撃者は、RADIUSサーバーと通信するために、そのIPアドレスを乗っ取り、その共有秘密を推測できる必要があります。攻撃者がまだネットワーク上にない場合、攻撃者はAPがRADIUSを介してRADIUSにリレーする特別に細工された/破損したEAPメッセージの送信のみを試みることができます。サーバ。懸念されるセキュリティ問題が不正なEAPメッセージを介して悪用される可能性がある場合でも、問題が発生する可能性があります。

16
Spiff

WPAエンタープライズ(EAPを使用したWPA)では、デジタル証明書、RSAトークンなど、他の多くの認証方法を使用できます。これらの方法はすべて単純なユーザー名+パスワードを超えており、RADIUSプロトコルはAAA(認証、承認、アカウンティング)を必要とするほとんどのシステムの事実上の標準。

これは言われている、

1)RADIUSサーバーはファイアウォールルールで簡単に保護でき、APからのパケットのみを受け入れます(WiFiクライアントはRADIUSサーバーと直接通信しません)

2)古い半径を使用すると機能しない場合があります。最新のfreeradiusサーバーの1つをお勧めします

これがどのように機能し、何をする必要があるかについての詳細: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA

3
claudiuf