RADIUSサーバーはWPA2 Enterpriseセットアップで何をしますか?


17

「WPA2 Personal」から「WPA2 Enterprise」モードにWiFiをアップグレードしたいのは、「WPA2 Personal」で保護されたWiFiでは、PSKを知っているデバイスが互いのトラフィックを傍受できることがわかっているからです。ステーションとAPの間の関連付け。WiFi上の単一の侵害されたデバイスが持つ影響を減らすために(「WPA2パーソナル」モードでは、他の「関連する要求」をキャプチャする前に他の、妥協のないWiFiクライアントのトラフィックを解読できます)プロミスキャス/モニターモードのクライアント)WiFiを「WPA2 Enterprise」セキュリティにアップグレードしたいのですが、私の理解では、これは不可能です。

残念ながら、「WPA2 Enterprise」には、RADIUSサーバーが必要です。

現在、私が理解している限りでは、RADIUSサーバーは認証のみを実行しますが、暗号化またはキーマテリアルの交換は実行しません。したがって、基本的に、APはSTAからアソシエーション要求を取得し、クライアントが資格情報を提供し、APがそれらをRADIUSサーバーに渡します。RADIUSサーバーは「資格情報はOK」と言い、APはSTAを関連付けます。

これは正しいモデルですか?その場合、RADIUSサーバーは基本的にユーザー資格情報(ユーザー名とパスワードのペア)でいっぱいのデータベースにすぎません。そうだとすれば、何千人ものユーザーであっても、ユーザー名とパスワードは保存する大量のデータではなく、資格情報の検証はかなり基本的なタスクであるため、なぜこれに本格的なサーバーマシンが必要なのか不思議ですこれは、AP自体でも簡単に実行できることのようです。では、なぜ専用のサーバーが必要なのでしょうか?

おそらくこれは間違っていて、RADIUSサーバーは認証だけでなく、実際の暗号化にも使用されているのでしょうか?STAが「WPA2 Enterprise」を使用してネットワークにデータを送信し、それをセッションキーで暗号化すると、APは暗号化されたデータを受信しますが、「WPA2 Personal」とは異なり、復号化できないため、データを渡しますRADIUSサーバーに送信します。RADIUSサーバーは、暗号化を解除するためのキーマテリアル(および計算能力)を持っています。RADIUSはクリアテキストを取得した後、暗号化されていない素材を有線ネットワークに返します。これはどのように行われますか?

これを知りたい理由は次のとおりです。RADIUSサーバーを実行している古いデバイスがここにあります。しかし、私が言ったように、デバイスはかなり古いため、既知のセキュリティ上の弱点を持つ古いバージョンのRADIUSを実装しています。「WPA2 Enterprise」モードの暗号化に使用した場合、これがWiFiセキュリティを危険にさらすかどうかを知りたいのですが。認証されていないときに攻撃者がRADIUSサーバーと通信できる場合、ネットワークのセキュリティが侵害される可能性があるため、これを行うべきではありません。一方、攻撃者がAPとしか通信できず、APが資格情報を確認するためにRADIUSサーバーと通信する場合、「脆弱なRADIUSサーバー」は、攻撃者が取得しないため、それほど問題にならない可能性があります。 WiFiネットワークに接続するため、そもそもRADIUSサーバーと通信できません。RADIUSサーバーと通信する唯一のデバイスは、資格情報を確認するためのAP自体であり、すべてのキーマテリアルが生成され、暗号化が(侵害されていない)AP自体で実行されます。攻撃者は取り消されるため、ネットワークに参加できず、潜在的に脆弱なRADIUSサーバーの弱点を悪用できます。

では、RADIUSサーバーは「WPA2 Enterprise」セキュリティにどの程度正確に関係していますか?

回答:


16

WPA2 Enterpriseは、802.1Xに基づく802.11iの一部に基づいています。802.1XはRADIUSサーバーを必要としませんが、それがレガシーの理由で一般的に行われている方法です。

RADIUSサーバーの役割は、接続の開始時のみですが、あなたが述べた以上に1つの小さなことを行います。認証メカニズムの一部として、RADIUSサーバーでキー情報が安全に生成されます(WPA2クライアントでも同じキー情報が生成されます)。RADIUSサーバーがAPにその接続要求を受け入れるように指示した後、RADIUSサーバーはそのキー情報をRADIUS「キー」メッセージ(Microsoftが開拓したRADIUS MPPE-KEYメッセージ/属性を再利用)でAPに送信します。そのセッションに使用するユーザーごとのセッションキー(ペアワイズテンポラルキーまたはPTKを含む)を知っています。これで、RADIUSサーバーの関与が終了します。

RADIUSサーバーを実行するためにサーバーの処理能力をそれほど必要としないことは間違いありません。小規模なネットワークまたはドメインのDHCPサーバーまたはDNSサーバーと同じように、「サーバークラス」ハードウェアを実行する必要はありません。おそらく、小さな低電力の組み込みネットワークボックスであれば十分でしょう。今日の標準では、「サーバー」側が多くの馬力を必要としない現代のネットワークには多くのプロトコルがあります。「サーバー」という言葉を聞いたからといって、それが頑丈なサーバーハードウェアを必要とすると仮定しないでください。


バックストーリー

ご存知のように、RADIUSは元々、ダイヤルアップモデムPPPサーバーから認証を中央サーバーに移動する方法でした。それが「リモート認証ダイヤルインユーザーサービス」の略です(「ダイアルインユーザーリモート認証サービス」である必要がありますが、DIURASはRADIUSほど良く聞こえません)。PPPがDSL認証(PPPoE、PPPoA)とVPN認証(PPTPとL2TP-over-IPSecは両方とも「暗号化トンネル内のPPP」)に使用され始めたとき、同じRADIUSサーバーを集中認証に引き続き使用するのが自然でしたすべての企業の「リモートアクセスサーバー」。

PPPの元の認証メカニズムが不足していたため、新しい標準を作成するために多くの標準化団体の関与が必要だったため、最終的に、拡張認証プロトコル(EAP)はPPPに似た認証用の認証タイプのプラグインシステムとして作成されました。当然、RADIUSサーバーとPPPクライアントは、EAPをサポートするために必要な最初の場所でした。もちろん、ダイヤルインモデム/ PPPサーバー、VPNサーバー、またはPPPoE / PPPoA(実際にはL2TP PPP)サーバーなど、EAPをローカルに実装することもできますが、今ではRADIUSが非常に広く展開されていますそれを実装したのは、主にRADIUSサーバーでした。

最終的に、誰かがロビーまたは会議室の保護されていないイーサネットポートに接続するたびに認証を要求する方法を望んでいたため、「EAP over LANs」が作成されました。既知の「EAPoL」は802.1Xとして標準化されました。802.1Xは後にIEEE 802.11iの802.11ネットワークに適用されました。また、Wi-Fi Allianceは、802.11iを中心とした相互運用性認定/ブランド/マーケティングプログラムを作成し、Wi-Fi Protected Access 2(WPA2)と呼びました。

したがって、802.11 AP自体は802.1X(WPA2-Enterprise)の「認証」ロール全体を単独で(RADIUSサーバーの助けを借りずに)果たすことができますが、一般的には行われていません。実際、802.1Xスタンドアロンを実行できる一部のAPでは、実際にファームウェアにソースRADIUSサーバーを構築してオープンし、ループバック経由でRADIUSを介して802.1X認証を実行します。独自のEAP認証コードを実装するか、一部のオープンソースRADIUSサーバーソフトウェアからコードのコピーをコピーして、APファームウェアの802.11関連デーモンに直接統合してみてください。


その背景と、提案されているRADIUSサーバーの古さによって、重要な問題は、ネットワークでの認証に使用するEAPタイプを実装するかどうかです。PEAP?TTLS?

また、RADIUSは従来、RADIUSクライアントに知られている「共有秘密」を使用することに注意してください(RADIUSクライアントは「ネットワークアクセスサーバー」です。この場合はAP、またはVPNまたはPPPサーバーまたは他の「リモートアクセスサーバー」 RADIUSクライアントとサーバーを相互に認証し、それらの通信を暗号化するため。ほとんどのRADIUSサーバーでは、APのIPアドレスに基づいて、APごとに異なる共有秘密を指定できます。そのため、ネットワーク上の攻撃者は、RADIUSサーバーに通信させるために、そのIPアドレスを引き継いで、その共有秘密を推測できる必要があります。攻撃者がまだネットワーク上にいなかった場合、攻撃者は、特別に細工された/破損したEAPメッセージを、APがRADIUSを介してRADIUSサーバーに中継することのみを試みることができます。


可能であれば、おそらくEAP-EKEまたはEAP-PWDを使用します。基本的に、ネットワークに接続できるユーザーを保護し、他のトラフィックを傍受できないようにします。WPA2-PSKがDHを介して「セッションキー」を確立する場合、それは私にとって完璧ですが、残念ながら(何らかの理由で)そうではありません。高度な認証方法は必要ありません。私が望むのは、ステーションが互いのトラフィックを傍受するのを防ぐことです。他のすべてについては、WPA2-PSKのセキュリティに問題はありません。
no.human.being

@ no.human.beingすべてのEAPメソッドが802.11i / WPA2-Enterpriseに必要なキー情報の作成をサポートしているわけではないことに注意してください。私はあなたが言及した2つのタイプに精通していないので、他の場所をチェックして、それらがこの目的に適していることを確認したいかもしれません。
SPIFF

1
いいね。別のサーバーがある重要な理由については言及しませんでした。これはホーム展開には適用されませんが、「なぜこれが存在するのか」の大部分です。エンタープライズ展開では、アクセスポイントは公共の場所にあり、ユーザー情報を含めるべきではないため、実際には信頼されていません。さらに、クライアントに安全なトンネルを提供するEAPタイプ(PEAP、TTLS、TLS)を使用すると、APは認証にまったく参加しないため、ユーザーの資格情報を侵害されてもユーザー資格情報を傍受することはできません。はしご:)
弾薬Goettsch

3

WPA Enterprise(WPA with EAP)を使用すると、デジタル証明書、RSAトークンなど、他の多くの認証方法を使用できます。これらの方法はすべて単純なユーザー名+パスワードを超えており、radiusプロトコルはAAA(認証、許可、アカウンティング)を必要とするほとんどのシステムの事実上の標準。

これは言われています

1)RADIUSサーバーはファイアウォールルールで簡単に保護でき、APからのパケットのみを受け入れます(wifiクライアントは決してradiusサーバーと直接対話しません)

2)古い半径を使用すると動作しない場合があるため、最新のfreeradiusサーバーのいずれかをお勧めします

これがどのように機能し、何をする必要があるかについての詳細:http : //wiki.freeradius.org/guide/WPA-HOWTO#Why-Would-I-Want-WPA


うん。「洗練された認証方法」を必要としないため、RADIUS用の実際のサーバーを設置しないことで電力(およびノイズ)を節約できると思っただけです。たぶん、そうではないでしょう、それは単なる余分な妄想です;-))。基本的に、ワイヤレス(本質的にブロードキャストメディア)の「スイッチドネットワーク」のプライバシーが必要なので、実際の「リンクごと」または「クライアントごと」のキーが必要です。「WPA2 Enterprise」はおそらく私のニーズに合っているでしょう。Linuxを実行している組み込みボードでRADIUSをセットアップしてみます。
no.human.being 14年

-2

FreeRadiusはRaspberry PIで動作します。通常のOSはRaspbianで、これはDebianのフレーバーです。したがって、DHCP / DNSなど、サーバーで実行したいことをすべて実行します。安い-ベアボードで40ドル-ケースや電源などの「オプション」の追加機能を備えた予算は80〜90ドルです。 /7。zenmapとWiresharkもあります。これは、SDカードから実行されるものを試すための作成プラットフォームであり、SDカードをPCにコピーできます。何かを試してみて、それをマックした場合はPCからSDを復元します。


2
この回答では、RADIUSサーバーの役割は説明されていません
-janv8000
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.