「WPA2 Personal」から「WPA2 Enterprise」モードにWiFiをアップグレードしたいのは、「WPA2 Personal」で保護されたWiFiでは、PSKを知っているデバイスが互いのトラフィックを傍受できることがわかっているからです。ステーションとAPの間の関連付け。WiFi上の単一の侵害されたデバイスが持つ影響を減らすために(「WPA2パーソナル」モードでは、他の「関連する要求」をキャプチャする前に他の、妥協のないWiFiクライアントのトラフィックを解読できます)プロミスキャス/モニターモードのクライアント)WiFiを「WPA2 Enterprise」セキュリティにアップグレードしたいのですが、私の理解では、これは不可能です。
残念ながら、「WPA2 Enterprise」には、RADIUSサーバーが必要です。
現在、私が理解している限りでは、RADIUSサーバーは認証のみを実行しますが、暗号化またはキーマテリアルの交換は実行しません。したがって、基本的に、APはSTAからアソシエーション要求を取得し、クライアントが資格情報を提供し、APがそれらをRADIUSサーバーに渡します。RADIUSサーバーは「資格情報はOK」と言い、APはSTAを関連付けます。
これは正しいモデルですか?その場合、RADIUSサーバーは基本的にユーザー資格情報(ユーザー名とパスワードのペア)でいっぱいのデータベースにすぎません。そうだとすれば、何千人ものユーザーであっても、ユーザー名とパスワードは保存する大量のデータではなく、資格情報の検証はかなり基本的なタスクであるため、なぜこれに本格的なサーバーマシンが必要なのか不思議ですこれは、AP自体でも簡単に実行できることのようです。では、なぜ専用のサーバーが必要なのでしょうか?
おそらくこれは間違っていて、RADIUSサーバーは認証だけでなく、実際の暗号化にも使用されているのでしょうか?STAが「WPA2 Enterprise」を使用してネットワークにデータを送信し、それをセッションキーで暗号化すると、APは暗号化されたデータを受信しますが、「WPA2 Personal」とは異なり、復号化できないため、データを渡しますRADIUSサーバーに送信します。RADIUSサーバーは、暗号化を解除するためのキーマテリアル(および計算能力)を持っています。RADIUSはクリアテキストを取得した後、暗号化されていない素材を有線ネットワークに返します。これはどのように行われますか?
これを知りたい理由は次のとおりです。RADIUSサーバーを実行している古いデバイスがここにあります。しかし、私が言ったように、デバイスはかなり古いため、既知のセキュリティ上の弱点を持つ古いバージョンのRADIUSを実装しています。「WPA2 Enterprise」モードの暗号化に使用した場合、これがWiFiセキュリティを危険にさらすかどうかを知りたいのですが。認証されていないときに攻撃者がRADIUSサーバーと通信できる場合、ネットワークのセキュリティが侵害される可能性があるため、これを行うべきではありません。一方、攻撃者がAPとしか通信できず、APが資格情報を確認するためにRADIUSサーバーと通信する場合、「脆弱なRADIUSサーバー」は、攻撃者が取得しないため、それほど問題にならない可能性があります。 WiFiネットワークに接続するため、そもそもRADIUSサーバーと通信できません。RADIUSサーバーと通信する唯一のデバイスは、資格情報を確認するためのAP自体であり、すべてのキーマテリアルが生成され、暗号化が(侵害されていない)AP自体で実行されます。攻撃者は取り消されるため、ネットワークに参加できず、潜在的に脆弱なRADIUSサーバーの弱点を悪用できます。
では、RADIUSサーバーは「WPA2 Enterprise」セキュリティにどの程度正確に関係していますか?