Me gustaría actualizar mi WiFi del modo "WPA2 Personal" al modo "WPA2 Enterprise" porque sé que, en principio, en un WiFi asegurado con "WPA2 Personal", los dispositivos que saben que el PSK pueden detectar el tráfico del otro una vez que capturaron La asociación entre la estación y el AP. Para reducir el efecto que tendría un solo dispositivo comprometido en el WiFi (en modo "WPA2 Personal", sería capaz de descifrar el tráfico de otro cliente WiFi no comprometido, si antes hubiera capturado las "solicitudes asociadas" del otro clientes en modo promiscuo / monitor) Me gustaría actualizar mi WiFi a la seguridad "WPA2 Enterprise", donde, según tengo entendido, esto ya no es posible.
Ahora, desafortunadamente, para "WPA2 Enterprise", necesita un servidor RADIUS.
Ahora, por lo que entiendo, el servidor RADIUS solo realiza la autenticación, pero no realiza el cifrado o el intercambio de material clave. Básicamente, un AP recibe una solicitud de asociación de un STA, el cliente proporciona credenciales, luego el AP los pasa al servidor RADIUS, el servidor RADIUS dice "las credenciales están bien", luego el AP deja que el STA se asocie, de lo contrario no.
¿Es este el modelo correcto? Si es así, el servidor RADIUS no es más que una base de datos llena de credenciales de usuario (pares de nombre de usuario y contraseña). Si es así, tengo curiosidad por saber por qué requieren una máquina de servidor completa para esto, ya que, incluso para miles de usuarios, los nombres de usuario y las contraseñas no son una gran cantidad de datos para almacenar y verificar las credenciales es una tarea bastante básica, así que parece que esto es algo que también podría hacer fácilmente el propio AP. Entonces, ¿por qué requiere un servidor dedicado para esto?
Entonces, ¿tal vez me equivoqué y el servidor RADIUS no solo se usa para la autenticación, sino para el cifrado real? Si un STA envía datos a una red usando "WPA2 Enterprise", lo cifra con alguna clave de sesión, luego el AP recibe los datos cifrados, pero, al contrario de "WPA2 Personal", no puede descifrarlos, por lo que pasa los datos a al servidor RADIUS, que tiene el material clave (y la potencia de cálculo) para descifrarlo. Después de que RADIUS ha obtenido el texto claro, luego pasa el material sin cifrar de nuevo a la red cableada. ¿Es así como se hace?
La razón por la que quiero saber esto es la siguiente. Tengo un dispositivo bastante antiguo aquí, que tiene un servidor RADIUS ejecutándose en él. Pero, como dije, el dispositivo es bastante antiguo y, por lo tanto, implementa una versión antigua de RADIUS con debilidades de seguridad conocidas. Ahora me gustaría saber si esto comprometería mi seguridad WiFi si se usa para el cifrado en modo "WPA2 Enterprise". Si un atacante puede hablar con el servidor RADIUS cuando no está autenticado, esto podría comprometer la seguridad de mi red, por lo que no debería hacer esto. Por otro lado, si el atacante solo puede hablar con el AP, que a su vez habla con el servidor RADIUS para verificar las credenciales, entonces un "servidor RADIUS vulnerable" podría no ser un gran problema, ya que el atacante no obtendría en la red WiFi y, por lo tanto, no podría hablar con el servidor RADIUS, en primer lugar. El único dispositivo que habla con el servidor RADIUS sería el AP mismo, para verificar las credenciales, con todo el material clave generado y la criptografía realizada en el AP (sin compromisos). El atacante sería revocado y, por lo tanto, no podría unirse a la red y explotar las debilidades en el servidor RADIUS potencialmente vulnerable.
Entonces, ¿cómo es exactamente el servidor RADIUS involucrado con la seguridad "WPA2 Enterprise"?
fuente
WPA Enterprise (WPA con EAP) le permite tener muchos otros métodos de autenticación, como certificados digitales, tokens RSA, etc. Debe implementarse con un servidor radius, porque todos esos métodos están más allá de los nombres de usuario + contraseñas simples y el protocolo radius es el estándar de facto para la mayoría de los sistemas que necesitan AAA (autenticación, autorización, contabilidad).
Dicho esto,
1) el servidor radius puede protegerse fácilmente mediante reglas de firewall, aceptando paquetes solo de AP (el cliente wifi nunca hablará directamente al servidor radius)
2) el uso de un radio antiguo podría no funcionar, recomiendo uno de los últimos servidores freeradius
Más detalles sobre cómo funciona esto y qué debe hacer: http://wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA ?
fuente
FreeRadius se ejecutará en un Raspberry PI. El sistema operativo habitual es Raspbian, que es una versión de Debian, por lo que hará todas las cosas que desee que haga un servidor, por ejemplo, DHCP / DNS. Es barato, 40 dólares por una tabla desnuda, pero un presupuesto de 80 o 90 dólares para tener extras "opcionales", como un estuche y una fuente de alimentación ... He estado usando el radio en un Pi durante un par de años -24 / 7. También tiene zenmap y Wireshark. Es una plataforma de creación para probar cosas, ya que se ejecuta desde una tarjeta SD y puede copiar la tarjeta SD a su PC. Intente algo y restaure la tarjeta SD desde su PC si la arruinó.
fuente